Nobelium, l’acteur de la menace attribué au compromis massif de la chaîne d’approvisionnement de SolarWinds, a de nouveau été lié à une série d’attaques ciblant plusieurs fournisseurs, services et revendeurs de solutions cloud, alors que le groupe de piratage continue d’affiner et de rééquiper ses tactiques à un rythme alarmant. rythme en réponse aux divulgations publiques.

Les intrusions, qui sont suivies par Mandiant sous deux groupes d’activités différents UNC3004 et UNC2652, sont toutes deux associées à UNC2452, un groupe de menaces non catégorisé qui a depuis été lié aux services de renseignement russes. UNC2652, en particulier, a été observé ciblant des entités diplomatiques avec des e-mails de phishing contenant des pièces jointes HTML contenant du code JavaScript malveillant, déposant finalement une balise Cobalt Strike sur les appareils infectés.

« Dans la plupart des cas, les activités post-compromis comprenaient le vol de données pertinentes pour les intérêts russes », a déclaré les chercheurs de Mandiant Luke Jenkins, Sarah Hawley, Parnian Najafi et Doug Bienstock. mentionné dans un nouveau rapport. « Dans certains cas, le vol de données semble être obtenu principalement pour créer de nouvelles routes pour accéder à d’autres environnements de victimes. »

Les révélations surviennent exactement un an après la révélation des détails d’une campagne de piratage soutenue par le Kremlin qui a pénétré les serveurs du fournisseur de gestion de réseau SolarWinds pour distribuer des binaires logiciels contaminés à un certain nombre de clients de premier plan, dont neuf agences fédérales américaines.

Au contraire, le développement est encore une autre indication de la capacité de l’acteur de la menace à continuellement « innover et identifier de nouvelles techniques et de nouveaux métiers pour maintenir un accès persistant aux environnements des victimes, entraver la détection et brouiller les efforts d’attribution », tout en soulignant également « l’efficacité de tirer parti des tiers parties et des relations de confiance avec les fournisseurs pour mener à bien des opérations néfastes. »

Microsoft avait précédemment qualifié Nobelium d' »opérateurs habiles et méthodiques qui suivent les meilleures pratiques de sécurité des opérations (OpSec) ».

Depuis que l’incident de SolarWinds a été révélé, le groupe APT a été connecté à une série d’attaques visant des groupes de réflexion, des entreprises et des entités gouvernementales du monde entier, alors même qu’une boîte à outils de logiciels malveillants en constante expansion a été utilisée dans le but de prendre pied dans le système attaqué et de télécharger d’autres composants malveillants.

Fin octobre 2021, Microsoft a mis fin à une campagne d’intrusion qui a compromis jusqu’à 14 clients en aval de plusieurs fournisseurs de services cloud (CSP), fournisseurs de services gérés (MSP) et autres organisations de services informatiques. Les attaques d’empoisonnement ont fonctionné en pénétrant les fournisseurs de services, puis en utilisant l’accès privilégié et les informations d’identification appartenant à ces fournisseurs pour frapper un large éventail d’organisations qui s’appuyaient sur les CSP.

Sécurité opérationnelle de premier ordre et artisanat avancé

Certaines des autres techniques intégrées par le groupe dans son livre de jeu impliquent l’utilisation d’informations d’identification potentiellement obtenues à partir d’une campagne de logiciels malveillants de vol d’informations organisée par un acteur tiers pour obtenir un accès initial aux organisations, une chaîne d’infection qui a abouti aux postes de travail des victimes. infecté par le malware CryptBot après avoir consulté des sites Web de mauvaise réputation proposant des logiciels piratés, corroborant un rapport similaire de Red Canary publié la semaine dernière.

Également utilisé par Nobelium est un nouvel outil baptisé Ceeloader, un téléchargeur sur mesure conçu pour déchiffrer une charge utile shellcode à exécuter en mémoire sur le système compromis, ainsi que l’abus de notifications push sur les smartphones pour contourner les protections d’authentification multifacteur (MFA). .

« Dans ces cas, l’acteur menaçant avait une combinaison de nom d’utilisateur et de mot de passe valide », a déclaré le chercheur. « De nombreux fournisseurs de MFA permettent aux utilisateurs d’accepter une notification push d’une application téléphonique ou de recevoir un appel téléphonique et d’appuyer sur une touche comme deuxième facteur. L’acteur de la menace en a profité et a envoyé plusieurs demandes MFA à l’appareil légitime de l’utilisateur final jusqu’à ce que accepté l’authentification, permettant à l’auteur de la menace d’accéder éventuellement au compte. »

D’autres tactiques intéressantes incluent –

• Compromettre plusieurs comptes dans un environnement et utiliser chacun de ces comptes pour différentes fonctions afin de limiter l’exposition,
• En utilisant une combinaison de Tor, de serveurs privés virtuels (VPS) et de réseaux privés virtuels publics (VPN) pour accéder aux environnements des victimes,
• Hébergement de charges utiles de deuxième étape sous forme de blobs cryptés sur des sites Web légitimes exécutant WordPress, et
• Utilisation de plages d’adresses IP résidentielles pour s’authentifier auprès des environnements victimes.

« Cette activité d’intrusion reflète un ensemble d’acteurs de la menace doté de ressources suffisantes opérant avec un niveau élevé de préoccupation pour la sécurité opérationnelle », ont déclaré les chercheurs. « L’abus d’un tiers, en l’occurrence un CSP, peut faciliter l’accès à un large éventail de victimes potentielles grâce à un seul compromis. »