Le groupe de piratage Nobelium continue de s’introduire dans les réseaux gouvernementaux et d’entreprise du monde entier en ciblant leurs fournisseurs de services cloud et gérés et en utilisant un nouveau logiciel malveillant personnalisé « Ceeloader ».
Nobelium est le nom de Microsoft pour l’acteur de la menace derrière l’attaque de la chaîne d’approvisionnement SolarWinds de l’année dernière qui a conduit à la compromission de plusieurs agences fédérales américaines. Ce groupe serait la division de piratage du Service russe de renseignement étranger (SVR), communément appelé APT29, The Dukes ou Cozy Bear.
Bien que Nobelium soit un groupe de piratage avancé utilisant des logiciels malveillants et des outils personnalisés, ils laissent toujours des traces d’activité que les chercheurs peuvent utiliser pour analyser leurs attaques.
Dans un nouveau rapport de Mandiant, les chercheurs ont utilisé cette activité pour découvrir les tactiques, techniques et procédures (TTP) utilisées par le groupe de piratage, ainsi qu’un nouveau téléchargeur personnalisé appelé « Ceeloader ».
De plus, les chercheurs divisent Nobelium en deux groupes d’activités distincts attribués à UNC3004 et UNC2652, ce qui pourrait signifier que Nobelium est deux groupes de piratage coopérants.
Attaque de la chaîne d’approvisionnement
Sur la base de l’activité observée par Mandiant, les acteurs Nobelium continuent de violer les fournisseurs de cloud et les MSP afin d’obtenir un accès initial à l’environnement réseau de leurs clients en aval.
« Dans au moins un cas, l’acteur de la menace a identifié et compromis un compte VPN local et a utilisé ce compte VPN pour effectuer une reconnaissance et obtenir un accès supplémentaire aux ressources internes dans l’environnement de la victime CSP, ce qui a finalement conduit à la compromission des comptes de domaine internes « , a expliqué Mandiant.
Dans au moins une autre violation, le groupe de piratage a utilisé le logiciel malveillant de vol de mot de passe CRYPTBOT pour voler des jetons de session valides utilisés pour s’authentifier auprès de l’environnement Microsoft 365 de la victime.
Il est à noter que Nobelium compromet plusieurs comptes au sein d’un même environnement, en utilisant chacun d’eux pour des fonctions distinctes, ne risquant ainsi pas l’ensemble de l’opération en cas d’exposition.
« Les acteurs de la menace ont exploité des comptes privilégiés compromis et utilisé SMB, WMI distant, l’enregistrement de tâches planifiées à distance et PowerShell pour exécuter des commandes dans les environnements victimes. » – Mandant
« L’acteur de la menace a utilisé les protocoles principalement pour effectuer une reconnaissance, distribuer des balises (Cobalt Strike) sur le réseau, ainsi que pour exécuter des commandes Windows natives pour la collecte d’informations d’identification. »
Un nouveau malware personnalisé « Ceeloader »
Nobelium est connu pour son développement et son utilisation de logiciels malveillants personnalisés qui permettent l’accès par porte dérobée aux réseaux, le téléchargement d’autres logiciels malveillants, le traçage du réseau, le vol d’informations d’identification NTLM et d’autres comportements malveillants.
Mandiant a découvert un nouveau téléchargeur personnalisé appelé « Ceeloader » écrit en C et prend en charge l’exécution de charges utiles shellcode directement en mémoire.
Le malware est fortement obscurci et mélange les appels à l’API Windows avec de gros blocs de code indésirable pour échapper à la détection par les logiciels de sécurité.
Ceeloader communique via HTTP, tandis que la réponse C2 est déchiffrée à l’aide d’AES-256 en mode CBC.
Le téléchargeur Ceeloader personnalisé est installé et exécuté par une balise Cobalt Strike selon les besoins et n’inclut pas la persistance pour lui permettre de s’exécuter automatiquement au démarrage de Windows.
Nobelium a utilisé de nombreuses souches de logiciels malveillants personnalisés dans le passé, en particulier lors des attaques Solarwinds et lors d’une attaque de phishing contre l’Agence des États-Unis pour le développement international (USAID).
Plusieurs astuces pour se cacher
Pour entraver les tentatives de traçage des attaques, Nobelium utilise des adresses IP résidentielles (proxy), TOR, VPS (Virtual Private Services) et VPN (Virtual Private Networks) pour accéder à l’environnement de la victime.
Dans certains cas, Mandiant a identifié des sites WordPress compromis utilisés pour héberger des charges utiles de deuxième étape qui sont récupérées et lancées en mémoire par Ceeloader.
Enfin, les acteurs ont utilisé des systèmes légitimes hébergés sur Microsoft Azure avec des adresses IP proches du réseau de la victime.
Cette approche permet de mélanger l’activité externe et le trafic interne, ce qui rend la détection de l’activité malveillante peu probable et l’analyse plus difficile.
Nobelium toujours actif
Mandiant prévient que l’activité de Nobelium est fortement axée sur la collecte de renseignements, car les chercheurs ont vu des preuves que les pirates ont exfiltré des documents d’intérêt politique pour la Russie.
Microsoft a précédemment lié UNC2652 et UNC3004 à UNC2452, le groupe responsable de l’attaque de la chaîne d’approvisionnement SolarWinds, il est donc plausible qu’ils soient tous sous le même parapluie « Nobelium ».
Cependant, Mandiant souligne qu’il n’y a pas suffisamment de preuves pour attribuer cela avec un niveau de confiance élevé.
Ce qui compte pour les défenseurs, c’est que les pirates informatiques utilisent toujours des tiers et des fournisseurs de confiance comme les CSP pour infiltrer des réseaux cibles précieux. Les organisations doivent donc rester vigilantes, envisager constamment de nouveaux IOC et maintenir leurs systèmes à jour.
Mandiant a mis à jour le Livre blanc UNC2452 sur ce front avec tous les nouveaux TTP observés lors des campagnes 2021.