Le groupe APT NOBELIUM cible les gouvernements du monde entier avec une campagne massive de spear-phishing

[post-views]
juin 02, 2021 · 4 min de lecture
Le groupe APT NOBELIUM cible les gouvernements du monde entier avec une campagne massive de spear-phishing

Les experts de Microsoft ont révélé un changement significatif dans une campagne de spear-phishing lancée par le groupe APT NOBELIUM affilié à la Russie contre des agences gouvernementales majeures, des groupes de réflexion et des ONG dans le monde entier. Selon les chercheurs, le collectif de hackers a attaqué plus de 150 organisations à travers 24 pays dans le but d’infecter les victimes avec des logiciels malveillants et de gagner un accès furtif aux réseaux internes. Notamment, le même acteur est supposé être derrière l’attaque révolutionnaire de la chaîne d’approvisionnement SolarWinds qui a frappé le monde en décembre 2020.

Chaîne de destruction d’attaque

Selon l’ enquête de Microsoft, la campagne de phishing a commencé en janvier 2021 et a inclus une vaste gamme d’expériences et d’essais. Les hackers ont alterné entre différentes méthodes de livraison et techniques pour obtenir l’impact le plus sévère.

Aux premiers stades de la campagne, les acteurs de la menace ont abusé de la plate-forme Google Firebase pour déposer un fichier ISO malveillant et suivre les profils d’utilisateur ayant interagi avec les messages de phishing. Les praticiens de la sécurité estiment qu’il s’agissait d’une phase de reconnaissance initiale puisque aucune charge malveillante n’a été livrée durant cette période. Par la suite, les hackers de NOBELIUM ont perfectionné leur approche et ont commencé à utiliser des pièces jointes de courriels HTML pour cacher le malware dans le document HTML. Néanmoins, le volume de courriels malveillants était considérablement bas, donnant lieu à penser qu’il s’agissait du cycle final d’essai.

En mai 2021, les chercheurs en sécurité ont détecté une augmentation majeure des activités néfastes. Cette fois, les hackers de NOBELIUM ont réussi à prendre le contrôle du compte officiel de l’USAID sur la plate-forme de messagerie de masse Constant Contact pour diffuser des messages posant un niveau plus élevé de crédibilité. Les emails délivraient un lien malveillant qui, s’il était cliqué, redirigeait les victimes vers un faux fichier HTML qui déposait des logiciels malveillants supplémentaires visant l’espionnage informatique. En particulier, les chercheurs en sécurité ont suivi quatre échantillons (NativeZone, BoomBox, EnvyScout, VaporRage) étant livrés au cours de la campagne. La combinaison de ces souches a permis aux acteurs de NOBELIUM de se déplacer latéralement dans l’environnement infecté, de télécharger des charges utiles de deuxième étape et d’exfiltrer les informations des victimes.

Plus de 3 000 comptes liés à 150 actifs gouvernementaux majeurs, groupes de consultants et entités publiques ont été attaqués. L’énorme quantité de courriels de phishing a déclenché les systèmes de détection qui ont pu en bloquer la plupart. Néanmoins, une partie des messages antérieurs peut avoir passé la routine de détection automatisée en raison de mauvaises configurations ou avant que les protections ne soient mises en place.

Détection du Phishing de NOBELIUM APT

Bien que certaines intrusions aient été bloquées automatiquement, les adversaires ont pu pénétrer des dizaines d’organisations. Pour protéger l’infrastructure de votre entreprise et empêcher les infections possibles, vous pouvez télécharger un ensemble de règles Sigma publié par nos développeurs avertis de Threat Bounty.

Campagnes de Phishing APT29

Détection de Téléchargeur de Cyberattaque NOBELIUM (via sysmon)

Restez à l’écoute de notre blog pour ne pas manquer les autres détections liées à cette campagne néfaste. Toutes les nouvelles règles seront ajoutées à cet article de blog.

Abonnez-vous gratuitement au Marché de Détection des Menaces et accédez à une vaste collection d’algorithmes SIEM et EDR adaptés à l’environnement et au profil de menace de l’entreprise. Notre bibliothèque de contenu SOC agrège plus de 100K requêtes, parseurs, tableaux de bord prêts pour SOC, règles YARA et Snort, modèles de Machine Learning et guides de réponse aux incidents directement mappés aux frameworks CVE et MITRE ATT&CK®. Vous efforcez de maîtriser votre compétence de chasse aux menaces et de concevoir des règles Sigma ? Rejoignez le Programme de Threat Bounty de SOC Prime !

Aller à la Plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Attaques Mocha Manakin : Les Hackers Propagent un Cheval de Troie Personnalisé NodeJS Nommé NodeInitRAT en Utilisant la Technique Coller-et-Exécuter 6 min de lecture Dernières Menaces Détection des Attaques Mocha Manakin : Les Hackers Propagent un Cheval de Troie Personnalisé NodeJS Nommé NodeInitRAT en Utilisant la Technique Coller-et-Exécuter by Veronika Telychko Uncoder AI visualise le comportement des menaces avec des flux d’attaque automatisés 3 min de lecture Plateforme SOC Prime Uncoder AI visualise le comportement des menaces avec des flux d’attaque automatisés by Steven Edwards Détection de campagne Gamaredon : un groupe APT soutenu par la Russie cible l’Ukraine en utilisant des fichiers LNK pour propager le backdoor Remcos 6 min de lecture Dernières Menaces Détection de campagne Gamaredon : un groupe APT soutenu par la Russie cible l’Ukraine en utilisant des fichiers LNK pour propager le backdoor Remcos by Veronika Telychko
Toutes les actualités