La campagne de phishing de Nobelium cible les entités françaises

  • FrançaisFrançais



  • Dans un rapport, l’ANSSI (Agence Nationale de la Cybersécurité) a révélé avoir observé plusieurs campagnes de phishing dirigées contre des entités françaises depuis février 2021. Ces comptes de messagerie compromis d’organisations françaises ont été utilisés pour diffuser le malware et envoyer des e-mails malveillants à des institutions étrangères et ils ont été attribués à l’ensemble Nobelium.

    Selon le rapport, les entités françaises ont également été destinataires d’e-mails malveillants envoyés par des institutions étrangères compromises. L’agence a attribué ces attaques aux Ensemble d’intrusion Nobelium. Le groupe de piratage Nobelium soutenu par la Russie est également responsable de l’attaque SolarWinds de l’année dernière.

    Selon Microsoft, Nobelium était actif en octobre 2021. L’ensemble d’intrusion a peut-être été utilisé lors de campagnes d’attaques ciblant les serveurs Active Directory Federation Services pour compromettre des organismes gouvernementaux, des groupes de réflexion et des entreprises privées aux États-Unis et en Europe.

    « Le Microsoft Threat Intelligence Center (MSTIC) a observé que NOBELIUM tentait de compromettre les systèmes via un fichier HTML joint à un e-mail de phishing. Lorsqu’il est ouvert par l’utilisateur ciblé, un code JavaScript dans le HTML écrit un fichier ISO sur le disque et encourage la cible à l’ouvrir, ce qui entraîne le montage du fichier ISO comme un lecteur externe ou réseau. À partir de là, un fichier de raccourci (LNK) exécuterait une DLL d’accompagnement, ce qui entraînerait l’exécution de Cobalt Strike Beacon sur le système », a ajouté Microsoft.

    Recommandations

    1. Restreindre l’exécution des pièces jointes

    Compte tenu de la chaîne de compromission, qui repose sur l’ouverture d’une pièce jointe malveillante dans le cadre d’une campagne de phishing, il est recommandé de ne pas exécuter les fichiers suspects.

    2. Renforcement de la sécurité d’Active Directory

    L’ensemble d’intrusion a tendance à se concentrer sur les serveurs Active Directory (AD) en particulier. Des mesures de sécurité plus strictes devraient être appliquées. L’ANSSI a élaboré un guide contenant des recommandations de renforcement de la sécurité, consultable sur le site du CERT-FR.

    Les attentats au nobélium

    • Pentagone (août 2015)
    • Comité national démocrate (2016)
    • Groupes de réflexion et ONG américains (2016)
    • Gouvernement norvégien (2017)
    • Ministères néerlandais (2017)
    • Opération Fantôme
    • Données sur le vaccin COVID-19 (2020)
    • Attaque de la chaîne d’approvisionnement des logiciels malveillants SUNBURST (2020)
    • Comité national républicain (2021)

    Mandiant, qui suit de près l’acteur de la menace russe depuis l’attaque de la chaîne d’approvisionnement de SolarWinds, a partagé quelques observations dans son rapport.

    • Compromis de plusieurs solutions technologiques, services et sociétés de revente depuis 2020.
    • Utilisation d’informations d’identification probablement obtenues à partir d’une campagne de malware de vol d’informations par un acteur tiers pour obtenir un accès initial aux organisations.
    • Utilisation de comptes avec des privilèges d’emprunt d’identité d’application pour collecter des données de messagerie sensibles depuis le premier trimestre 2021.
    • Utilisation à la fois des services proxy IP résidentiels et de l’infrastructure géolocalisée nouvellement fournie pour communiquer avec les victimes compromises.
    • Utilisation de nouveaux TTP pour contourner les restrictions de sécurité dans les environnements, y compris, mais sans s’y limiter, l’extraction de machines virtuelles pour déterminer les configurations de routage interne.
    • Utilisation d’un nouveau téléchargeur sur mesure appelé CEELOADER.
    • Abus d’authentification multi-facteurs utilisant les notifications « push » sur les smartphones.

    « Dans la plupart des cas, les activités postérieures à la compromission comprenaient le vol de données pertinentes pour les intérêts russes. Dans certains cas, le vol de données semble être obtenu principalement pour créer de nouvelles routes pour accéder à d’autres environnements de victimes. Les acteurs de la menace continuent d’innover et d’identifier de nouvelles techniques et de nouveaux métiers pour maintenir un accès persistant aux environnements des victimes, entraver la détection et brouiller les efforts d’attribution », a déclaré Mandiant.

    Cela reflète ce qui a été rapporté dans le cas des organisations françaises où les e-mails compromis sont en outre utilisés pour lancer des attaques contre des institutions étrangères – créant des routes pour accéder à d’autres environnements de victimes.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.