Liés à la Russie APT29 (alias Cozy Bear) a été attribué à une campagne de cyberespionnage en cours ciblant les ministères des Affaires étrangères et les entités diplomatiques situées dans les États membres de l’OTAN, l’Union européenne et l’Afrique.
Selon le service de contre-espionnage militaire polonais et l’équipe CERT Polska, l’activité observée partage des chevauchements tactiques avec un cluster suivi par Microsoft sous le nom de Nobelium, qui est connu pour son attaque très médiatisée contre SolarWinds en 2020.
Les opérations de Nobelium ont été attribuées au service russe de renseignement extérieur (RVS), une organisation chargée de protéger « les individus, la société et l’État des menaces étrangères ».
Cela dit, la campagne représente une évolution des tactiques du groupe de piratage soutenu par le Kremlin, indiquant des tentatives persistantes d’amélioration de ses cyber-armes pour infiltrer les systèmes des victimes à des fins de collecte de renseignements.
« De nouveaux outils ont été utilisés en même temps et indépendamment les uns des autres, ou en remplacement de ceux dont l’efficacité avait diminué, permettant à l’acteur de maintenir un rythme opérationnel continu et élevé », précisent les agences. a dit.
Les attaques commencent par des e-mails de harponnage se faisant passer pour des ambassades européennes qui visent à inciter les diplomates ciblés à ouvrir des pièces jointes contenant des logiciels malveillants sous le couvert d’une invitation ou d’une réunion.
Intégrée dans la pièce jointe PDF se trouve une URL piégée qui conduit au déploiement d’un compte-gouttes HTML appelé EnvyScout (alias ROOTSAW), qui est ensuite utilisé comme conduit pour fournir trois souches jusque-là inconnues SNOWYAMBER, HALFRIG et QUARTERRIG.
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
SNOWYAMBER, également appelé GraphicalNeutrino par Recorded Future, exploite le service de prise de notes Notion pour la commande et le contrôle (C2) et le téléchargement de charges utiles supplémentaires telles que Brute Ratel.
QUARTERRIG fonctionne également comme un téléchargeur capable de récupérer un exécutable à partir d’un serveur contrôlé par un acteur. HALFRIG, d’autre part, agit comme un chargeur pour lancer la boîte à outils de post-exploitation Cobalt Strike qu’il contient.
Il convient de noter que la divulgation concorde avec les récentes découvertes de BlackBerry, qui détaillent une campagne Nobelium ciblant les pays de l’Union européenne, avec un accent particulier sur les agences qui « aident les citoyens ukrainiens à fuir le pays et aident le gouvernement ukrainien ».
