Les attaques de NOBELIUM APT contre la chaîne d’approvisionnement informatique mondiale pour espionner les clients en aval
Table des matières :
Le groupe APT infâme Nobelium frappe à nouveau ! Cette fois, l’acteur de menace soutenu par la Russie cible les fournisseurs de services technologiques à l’échelle mondiale pour espionner leurs clients en aval. Les hackers ont ciblé au moins 140 organisations de services informatiques depuis mai 2021, dont 14 ont été compromises avec succès.
Groupe APT NOBELIUM
Le groupe APT NOBELIUM (APT29, CozyBear, et The Dukes) est supposé être une division de piratage secrète du Service de Renseignement Extérieur de Russie (SVR). C’est un acteur relativement nouveau dans l’arène des menaces cybernétiques, les premiers signaux d’activité de l’APT ayant été retracés à la fin de l’année 2019. Depuis lors, NOBELIUM s’est forgé une réputation en tant que collectif de piratage hautement sophistiqué tirant parti d’un lot impressionnant d’échantillons de logiciels malveillants sur mesure pour réaliser des intrusions révolutionnaires.
Initialement, NOBELIUM est entré sous les projecteurs après que le gouvernement américain ait accusé le groupe d’avoir orchestré l’ attaque de la chaîne d’approvisionnement de SolarWinds qui a abouti à la compromission de plusieurs agences gouvernementales américaines. NOBELIUM a implanté des souches malveillantes dans les systèmes de cibles de haut profil telles que le Département de la Sécurité Intérieure (DHS), l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA), et le Trésor américain pour recueillir des données de surveillance et obtenir un accès persistant en porte dérobée à l’infrastructure.
Les analystes en sécurité de Microsoft supposent que NOBELIUM élève constamment la barre en termes de portée et de sophistication des actions malveillantes de l’APT. Depuis le début de 2021, l’acteur malveillant a ajouté plusieurs nouveaux échantillons malveillants à son arsenal, notamment Sunburst, Sunspot, Teardrop, Goldmax, Sibot, et GoldFinder. En mai 2021, le groupe a lancé une vaste campagne de phishing ciblé qui usurpait l’identité de l’USAID pour cibler des actifs gouvernementaux de 24 pays. Et entre le 1er juillet et le 19 octobre de cette année, Microsoft estime plus de 22 868 tentatives de piratage contre 609 vendeurs.
NOBELIUM attaque la chaîne d’approvisionnement IT mondiale
La nouvelle campagne, découverte par Microsoft en octobre 2021, partage tous les attributs typiques des tactiques NOBELIUM. Pour atteindre des cibles de haut profil et maintenir l’accès aux systèmes d’intérêt, les acteurs soutenus par l’État ont concentré leurs efforts sur les fournisseurs de services technologiques.
NOBELIUM a mené des intrusions similaires à l’incident SolarWinds, pénétrant les comptes privilégiés des fournisseurs de services technologiques pour se déplacer latéralement dans les environnements cloud et espionner les clients en aval. La majorité des intrusions ne reposaient pas sur des failles de sécurité, mais plutôt sur des outils et techniques sophistiqués, notamment le balayage de mots de passe, le vol de jetons, les attaques de la chaîne d’approvisionnement, l’abus d’API et le phishing ciblé.
La campagne a montré que NOBELIUM tente d’établir un canal de surveillance persistant permettant aux adversaires d’espionner les cibles d’intérêt du gouvernement russe. Heureusement, la campagne a été découverte à ses débuts, permettant ainsi aux fournisseurs de services informatiques de sécuriser leurs systèmes contre les attaques malveillantes de NOBELIUM.
Microsoft a notifié toutes les organisations affectées et publié un avis technique pour décrire les tactiques et techniques de NOBELIUM.
Détection des attaques APT de NOBELIUM
Pour protéger l’infrastructure de votre entreprise contre les attaques de NOBELIUM, vous pouvez télécharger un ensemble de règles Sigma développées par l’équipe de SOC Prime.
Exécution de commande sur Azure VM (via azureactivité)
La détection propose des traductions pour les plateformes SIEM SECURITY ANALYTICS suivantes : Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
La règle est mappée à la méthodologie MITRE ATT&CK en traitant des tactiques d’Exécution, d’Évasion de Défense, de Persistance, d’Escalade de Privilèges, et d’Accès Initial. En particulier, la détection traite de l’Interpréteur de Commandes et Scripts (t1059) ainsi que des Comptes Valides (t1078).
Mise à jour des Informations d’Identification de Compte Service Principal (via azuread)
La détection propose des traductions pour les plateformes SIEM SECURITY ANALYTICS suivantes : Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
La règle est mappée à la méthodologie MITRE ATT&CK en traitant des tactiques de Persistance. En particulier, la détection traite de la sous-technique des Informations d’Identification Cloud Supplémentaires (t1098.001) de la technique de Manipulation de Compte (t1098).
Connexions Utilisateur Non-Interactives (via azuread)
La détection propose des traductions pour les plateformes SIEM SECURITY ANALYTICS suivantes : Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.
La règle est mappée à la méthodologie MITRE ATT&CK en traitant des tactiques de Persistance et de la technique de Manipulation de Compte (t1098).
Suivez ce lien pour trouver plus de règles de détection couvrant l’activité malveillante du groupe APT Nobelium.
Explorez la plateforme Detection as Code de SOC Prime pour vous défendre contre les attaques plus rapidement et plus efficacement que jamais. Chassez instantanément les dernières menaces dans plus de 20 technologies SIEM XDR supportées, augmentez la sensibilisation à toutes les dernières attaques dans le contexte des vulnérabilités exploitées et de la matrice MITRE ATT&CK, et optimisez vos opérations de sécurité, tout en obtenant des retours anonymes de la communauté mondiale de la cybersécurité. Enthousiaste à l’idée de créer votre propre contenu de détection et d’obtenir de l’argent pour votre contribution ? Rejoignez notre Programme Threat Bounty !
