Les analystes de la sécurité ont découvert une récente campagne de phishing menée par des pirates informatiques russes connus sous le nom d’APT29 (Cozy Bear ou Nobelium) ciblant des diplomates et des entités gouvernementales.
L’APT29 est un acteur parrainé par l’État qui se concentre sur le cyberespionnage et est actif depuis au moins 2014. Son champ de ciblage est déterminé par les intérêts stratégiques géopolitiques russes actuels.
Dans une nouvelle campagne repérée par les analystes des menaces de Mandiant, APT29 cible les diplomates et diverses agences gouvernementales par le biais de plusieurs campagnes de phishing.
Les messages prétendent contenir des mises à jour importantes de la politique et proviennent d’adresses e-mail légitimes appartenant à des ambassades.
Un autre aspect notable de cette campagne est l’abus d’Atlassian Trello et d’autres plates-formes de services cloud légitimes pour la communication de commande et de contrôle (C2).
Détails de la campagne de phishing
La campagne de harponnage a commencé en janvier 2022 et s’est poursuivie jusqu’en mars 2022 en plusieurs vagues qui ont porté sur divers sujets et reposaient sur plusieurs adresses d’expéditeur.
Dans tous les cas, les e-mails de phishing provenaient d’une adresse e-mail légitimement compromise appartenant à un diplomate, de sorte que les destinataires feraient davantage confiance au contenu transmis de cette manière.
Mandiant a découvert que les adresses initialement compromises étaient répertoriées comme points de contact sur les sites Web des ambassades.
L’e-mail utilisait la technique de contrebande HTML pour livrer un fichier IMG ou ISO au destinataire, une technique qu’APT29 a utilisée à plusieurs reprises dans le passé avec beaucoup de succès, y compris dans les attaques de SolarWinds.
L’archive ISO contient un fichier de raccourci Windows (LNK) qui exécutait un fichier DLL malveillant intégré lorsqu’il était cliqué.
Pour inciter la victime à cliquer, le fichier LNK prétend être un fichier de document avec la véritable extension masquée et une fausse icône.
Chute de logiciels malveillants
L’exécution de la DLL entraîne la livraison du téléchargeur BEATDROP, qui s’exécute en mémoire après avoir créé un thread suspendu dans lequel s’injecter, et se connecte à Trello pour la communication C2.
Trello est largement utilisé dans les environnements d’entreprise, il est donc peu probable que l’utilisation de son API pour le trafic réseau malveillant déclenche des signaux critiques des produits de sécurité.
Dans des efforts ultérieurs, APT29 a remplacé BEATDROP par un nouveau chargeur C++ BEACON basé sur Cobalt Strike qui offre des capacités de niveau supérieur.
Ces fonctionnalités incluent l’enregistrement des frappes, la capture d’écran, un mode serveur proxy, l’exfiltration des informations d’identification du compte, l’énumération et l’analyse des ports.
Les deux chargeurs ont déployé BOOMIC, que Microsoft suit sous le nom de VaporRage, découvert et analysé en mai 2021. Dans de nombreux cas, BOOMIC a été chargé latéralement quelques minutes seulement après le déploiement du chargeur.
BOOMIC établit la persistance en modifiant le registre Windows, puis télécharge diverses charges utiles de shellcode obfusquées et les exécute en mémoire.
Mandiant a observé divers sites Web légitimes compromis servant de C2 de BOOMIC, ce qui permet d’éviter les problèmes de liste de blocage d’URL.
Mouvement latéral
Après avoir établi une présence dans un environnement, APT29 augmente les privilèges en moins de 12 heures, en utilisant diverses méthodes comme l’écriture de fichiers contenant des tickets Kerberos.
Ensuite, ils effectuent une reconnaissance approfondie du réseau pour identifier les points de pivot valides et arracher des mots de passe plus précieux, et enfin, se déplacent latéralement en déposant plus de balises Cobalt Strike, puis BOOMIC sur les systèmes adjacents.
« L’analyse de SharedReality.dll a identifié qu’il s’agissait d’un compte-gouttes en mémoire uniquement écrit en langage Go qui décrypte et exécute une charge utile BEACON intégrée. La charge utile BEACON a été identifiée comme étant SMB BEACON qui communique via le canal nommé SharedReality.dll », Mandiant dit.
« APT29 a ensuite été observé en utilisant l’usurpation d’identité d’un utilisateur privilégié pour copier SharedReality.dll dans le répertoire Temp de plusieurs systèmes. Le groupe l’a ensuite déployé via une tâche planifiée nommée SharedRealitySvcDLC, qui a été installée et exécutée. Après l’exécution de la tâche planifiée, la tâche a ensuite été immédiatement supprimée » – Mandiant
Peu importe le suivi persistant et étroit d’APT29 par des équipes compétentes de renseignement sur les menaces, le groupe reste une menace d’espionnage de haut niveau pour les cibles de haut intérêt.