Ces derniers mois, afin d'installer des portes dérobées dans les entreprises, le groupe de pirates russes à l'origine de l'attaque par chaîne d'approvisionnement ayant affecté les mises à jour logicielles de la plate-forme SolarWinds Orion a perfectionné ses attaques par courrier électronique. Récemment, ce cybergang a intensifié ses efforts en lançant une attaque à partir d'un compte de marketing par courriel appartenant à l'USAID. Via ce compte détourné, le groupe a visé environ 3 000 personnes dans plus de 150 entreprises dans 24 pays. Le lien de ces cybercriminels agissant sous les noms d'APT29, Cozy Bear, The Dukes et Nobelium, avec le service de renseignement extérieur russe (SVR) a été dénoncé par les gouvernements américain et britannique. Habituellement, Nobelium cible les organisations gouvernementales ou liées à un gouvernement, en utilisant parfois des exploits de type zero-day pour obtenir un accès initial aux systèmes. Dans le cadre de cette dernière campagne de courriels observée par Microsoft, environ un quart des cibles de Nobelium étaient des organisations impliquées dans le développement international, l'humanitaire et les droits de l'homme.

« Les activités de Nobelium et celles d'acteurs similaires sont souvent liées à des sujets de préoccupation pour le pays à partir duquel ils opèrent », a déclaré Tom Burt, vice-président de la division Customer Security & Trust de Microsoft, dans un billet de blog. « Cette fois, Nobelium a ciblé de nombreuses organisations humanitaires et de défense des droits de l'homme. Au plus fort de la pandémie de Covid-19, l'acteur russe Strontium a ciblé des entreprises de santé impliquées dans les vaccins. En 2019, Strontium a ciblé des organisations sportives et antidopage. Auparavant, nous avions révélé le rôle de Strontium et d'autres acteurs dans des élections majeures aux États-Unis et ailleurs. Cela montre une fois encore à quel point de plus en plus d'États-nations se servent des cyberattaques dans des objectifs politiques divers. Cette fois, les attaques de Nobelium se concentrant sur les droits de l'homme et les organisations humanitaires », a-t-il encore déclaré.

Des charges utiles et une sélection des cibles plus précises

En janvier dernier, après la découverte de l’attaque SolarWinds et la mise en place par les entreprises de solutions de détection et de protection contre les portes dérobées de Nobelium, le groupe a changé d'approche et s'est tourné vers les attaques par courrier électronique. Selon Microsoft, ces attaques ont commencé lentement et ont utilisé les fonctionnalités de la plate-forme Firebase de Google pour le développement d'applications mobiles et Web afin d’y héberger une image disque ISO malveillante, puis d’élaborer des courriels permettant d'obtenir des informations sur les ordinateurs des utilisateurs ayant cliqué sur les URL.

Dans une itération suivante, le groupe a remplacé l'URL par une pièce jointe HTML qui, une fois ouverte, écrivait le fichier ISO sur le disque et encourageait les utilisateurs à l'ouvrir. Les fichiers ISO sont montés comme des disques externes dans le gestionnaire de fichiers de Windows et leur contenu est accessible. Dans ce cas, le fichier ISO malveillant contenait un fichier de raccourci (LNK) qui, une fois ouvert, chargeait une DLL malveillante qui était en fait une version personnalisée de l'implant Cobalt Strike Beacon. Cobalt Strike est un framework de test de pénétration qui a été adopté par les pirates et les Red Teams et le beacon est la charge utile ou la porte dérobée déposée sur les systèmes compromis. L’implant personnalisé utilisé par Nobelium a été baptisé NativeZone par Microsoft. L'ISO contient également un document leurre qui s’ouvre en même temps de façon à ne pas éveiller la méfiance de l'utilisateur.

Des cyberattaques récurrentes qui montent en puissance

Les campagnes de courrier électronique du groupe se sont poursuivies tout au long des mois de février, mars et avril, de manière ciblée, et pendant cette période le groupe a apporté diverses modifications à ses techniques de livraison et de reconnaissance des charges utiles. Au lieu d'utiliser Firebase pour collecter des informations sur les systèmes ciblés, Nobelium a opté pour un autre service et a intégré la fonctionnalité directement dans la pièce jointe de l'e-mail HTML. Plus tard, il a également ajouté un implant de première phase écrit en .NET, appelé BoomBox, qui utilise Dropbox pour héberger les informations recueillies sur le système de la victime ou pour télécharger des fichiers supplémentaires.

Le 15 mai dernier, le groupe a lancé sa plus grande campagne de courriels, ciblant 3 000 comptes individuels. Les courriels étaient conçus de manière à faire croire qu’ils avaient été envoyés par l'Agence des États-Unis pour le développement international USAID, chargée du développement économique et de l’assistance humanitaire dans le monde, et utilisaient des documents sur la fraude électorale comme appât. Les courriels ont été envoyés par Constant Contact, un service légitime de marketing par courriel, après que les pirates ont eu accès au compte de l'USAID sur la plate-forme. Les e-mails frauduleux comportent les en-têtes et les adresses d'envoi légitimes de Constant Contact et contiennent un lien pointant vers l'infrastructure de Constant Contact. A partir de là, l'utilisateur est redirigé vers un serveur et un domaine contrôlés par Nobelium, qui lui envoie l'ISO. Comme dans les campagnes précédentes, l'ISO contient un fichier LNK, un document PDF leurre et l’implant Cobalt Strike Beacon personnalisé.

« Selon les chercheurs en sécurité de Microsoft, les opérations de spear phishing de Nobelium sont récurrentes et ont augmenté en fréquence et en portée », a expliqué Microsoft dans une analyse de l'attaque. « Il est probable que le groupe va entreprendre de nouvelles actions en utilisant un ensemble de tactiques en évolution ». Microsoft a livré des indicateurs de compromission pour les campagnes ainsi qu'un ensemble de recommandations pour les utilisateurs de Microsoft Defender Antivirus, Microsoft Defender for Endpoint, Microsoft Office ou de ses produits en ligne. En particulier, le fournisseur conseille d’activer la protection fournie par le cloud, d’exécuter EDR en mode blocage, d’activer la protection du réseau, d’utiliser l'authentification à deux facteurs pour les comptes de messagerie et d'autres services qui la prennent en charge. Et aussi d’utiliser la découverte de périphériques et d’activer une règle de réduction de la surface d'attaque qui empêche les applications Office de créer des processus sous-jacents.

Des services tiers exploités 

La dernière campagne d'e-mails de Nobelium se distingue par le fait qu'elle a été lancée à partir d'un compte légitime compromis sur un service tiers. Tout comme l'attaque par chaîne d'approvisionnement SolarWinds, celle-ci abuse d'une relation de confiance existante entre les victimes et une organisation. Les attaques par compromission du courrier électronique ou « Business email compromise » (BEC), au cours desquelles les pirates incitent les employés à effectuer des paiements fictifs en se faisant passer pour des dirigeants d'entreprise, utilisent parfois des comptes de messagerie piratés. Ce n'est pas non plus la première fois que Nobelium abuse des services en ligne ou cible des entreprises IT pour les utiliser comme rampe de lancement de ses attaques.

Le cybergang consacre également beaucoup de temps et d'efforts à la reconnaissance et à la collecte d'informations sur les victimes. « Si l'on ajoute à cela l'attaque contre SolarWinds, il est clair que Nobelium cherche à accéder à des fournisseurs de technologies de confiance et à infecter leurs clients », a déclaré M. Burt de Microsoft. « En s'appuyant sur le ferroutage - ou piggybacking - des mises à jour logicielles et maintenant sur les fournisseurs de courriels de masse, Nobelium augmente les risques de dommages collatéraux consécutifs aux opérations d'espionnage et sape la confiance dans l'écosystème technologique ».