Nouvelles Familles de Malware BEATDROP et BOOMMIC Utilisées par APT29 : Campagnes de Phishing avec Techniques de Contrebande HTML, Accès à Long Terme pour des Finalités d’Espionnage

[post-views]
mai 03, 2022 · 4 min de lecture
Nouvelles Familles de Malware BEATDROP et BOOMMIC Utilisées par APT29 : Campagnes de Phishing avec Techniques de Contrebande HTML, Accès à Long Terme pour des Finalités d’Espionnage

APT29 est un groupe d’espionnage parrainé par l’État russe également appelé par les experts en cybersécurité Nobelium APT. L’étendue de leurs attaques correspond aux objectifs géopolitiques actuels de la Russie. Leurs dernières attaques se caractérisent par l’utilisation des chargeurs BEATDROP et BEACON pour déployer le malware BOOMMIC (VaporRage).

Les analystes en sécurité signalent que les dernières campagnes de phishing ont été conçues pour cibler les diplomates et diverses agences gouvernementales dans le but de maintenir l’accès à un environnement pour des fins d’espionnage.

Détecter l’activité d’APT29 : Nouveaux malwares BEATDROP et BOOMMIC

Les règles ci-dessous détectent la présence malveillante d’APT29 par les indicateurs suivants : mouvement latéral en le déployant via une tâche planifiée nommée SharedRealitySvcDLC ; SMB BEACON sur plusieurs systèmes pour faciliter la mise en scène de BEACON sur des systèmes distants ; détection de la charge utile SMB BEACON via les journaux pipe_event. Les règles développées par nos développeurs Threat Bounty de premier plan Nattatorn Chuensangarun, Emir Erdogan, Kaan Yeniyol:

Mouvement latéral possible du groupe APT29 avec mise en scène SMB BEACON (process_creation)

Mouvement latéral possible d’APT29 par l’utilisation de la tâche planifiée BEACON (via cmdline)

Mouvement latéral suspect d’APT29 par l’utilisation de SMB Beacon (via pipe_event)

SMB Beacon suspect (APT29) (Avril 2022) Persistance par création de tâche planifiée (via sécurité)

Les campagnes de phishing APT29 téléchargent les malwares BEATDROP et BOOMMIC (via process_creation)

Appuyez sur Afficher tout bouton pour vérifier la liste complète des détections associées à APT29, disponible dans le dépôt du Threat Detection Marketplace de la plateforme SOC Prime.

Enthousiaste à l’idée de vous connecter avec les leaders de l’industrie et développer votre propre contenu ? Rejoignez l’initiative participative de SOC Prime en tant que contributeur de contenu et partagez vos propres règles Sigma et YARA avec la communauté mondiale de la cybersécurité tout en renforçant la défense collaborative contre les cybermenaces à l’échelle mondiale.

Voir les détections Rejoignez Threat Bounty

Détails des campagnes de phishing d’APT29

La première mention concernant cette campagne de phishing multifacette est apparue au début de 2022. Les chercheurs de Mandiant ont découvert qu’APT29 envoyait des e-mails de spear-phishing, imitant des avis administratifs d’ambassades, en utilisant des adresses e-mail légitimes mais piratées appartenant à l’origine à des entités diplomatiques. Il est probable que l’utilisation de services cloud légaux comme Trello d’Atlassian pour le commandement et le contrôle soit une tentative de rendre l’identification et la mitigation plus difficiles pour les victimes.

Dans cette campagne de phishing, les attaquants ont utilisé la technique nommé HTML smuggling, qui est une méthode de phishing utilisant HTML5 et JavaScript pour chiffrer des chaînes dans une pièce jointe HTML ou une page web pour cacher des charges utiles nuisibles. Lorsqu’un utilisateur ouvre une pièce jointe ou clique sur un lien, le navigateur décode ces chaînes. Les acteurs d’APT29 l’ont utilisé pour livrer des fichiers IMG et ISO – cette méthode éprouvée a fait ses preuves dans les célèbres attaques de la chaîne d’approvisionnement SolarWinds. supply-chain attacks.

Ensuite, les analystes en sécurité ont détecté le déploiement des téléchargeurs BEATDROP écrit en C et BEACON en C++. BEATDROP se connecte à Trello pour la communication C2 et fonctionne en mémoire après s’être établi et injecté dans un fil suspendu. Selon les données actuelles, il est maintenant remplacé par un BEACON en C++ plus efficace que les adversaires utilisent pour permettre le balayage de port, la capture d’écran, l’enregistrement des frappes et l’exfiltration de données.

BEATDROP et BEACON sont utilisés pour installer BOOMIC aka VaporRage afin d’établir une persistance dans un système compromis.

Rejoignez la plateforme Detection as Code de SOC Prime pour obtenir des profits récurrents tout en utilisant les avantages de la défense collaborative. SOC Prime a également publié une collection significative de règles Sigma gratuites disponibles dans notre plateforme Detection as Code à la lumière de l’invasion russe en Ukraine et de l’augmentation du nombre de cyberattaques parrainées par l’État liées à la Russie. Le contenu de détection aide les professionnels de la défense cybernétique à repérer les attaques lancées par des APT de haut profil liés à la Russie, alimenté par la recherche approfondie de l’équipe SOC Prime et des développeurs du Threat Bounty Program.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes