Archives par mot-clé : Cobalt Strike

Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Dans le monde entier, des entreprises font confiance à des services de stockage tels que DropBox et Google Drive pour leurs opérations quotidiennes. Cette confiance est pourtant mise à mal par des acteurs malveillants qui, comme le montrent les dernières recherches, redoublent d’ingéniosité pour exploiter la situation au profit d’attaques extrêmement difficiles à détecter et à prévenir.

Les dernières campagnes orchestrées au moyen d’une menace persistante avancée (APT), que l’Unit 42 connait et suit sous le nom de Cloaked Ursa (également appelée APT29, Nobelium ou Cozy Bear) ont donné à voir un niveau de sophistication inédit ainsi que des capacités à s’immiscer rapidement dans des services populaires de stockage sur le cloud afin d’échapper à la détection.

Ce groupe n’en est d’ailleurs pas à son coup d’essai dans le détournement de services cloud légitimes et fiables. Au fil de leurs recherches, les spécialistes ont découvert que leurs deux campagnes les plus récentes exploitaient pour la première fois les services de stockage Google Drive.

La réplication des données opérée sur le cloud Google Drive, à laquelle s’ajoute la confiance de millions de clients à travers le monde, rend les opérations de ce malware particulièrement inquiétantes. En effet, lorsque l’utilisation de services fiables est associée au chiffrement, comme c’est le cas ici, il devient bien plus difficile pour les entreprises de détecter les activités malveillantes en lien avec la campagne.

Cloaked Ursa

Depuis longtemps, le secteur de la cybersécurité considère la menace Cloaked Ursa comme affiliée au gouvernement russe. Ce lien expliquerait notamment la mission historique du groupe, qui remonte aux campagnes de malware lancées en 2008 contre la Tchétchénie et d’anciens pays du bloc soviétique. Un autre des faits d’armes plus récents attribués au groupe est le piratage du Comité national démocrate (DNC) des États-Unis, en 2016, de même que la cyberattaque SolarWinds de 2020 qui a compromis toute une chaîne d’approvisionnement.

Plus précis quant à l’identification des auteurs de l’attaque, les États-Unis comme le Royaume-Uni ont publiquement pointé du doigt le Service des renseignements extérieurs de la Fédération de Russie (SVR), c’est-à-dire les activités d’espionnage. Les dernières campagnes de cet acteur ont servi à faire croire qu’un rendez-vous se préparait avec un ambassadeur. L’Unit 42 pense que ces campagnes ciblaient des missions diplomatiques occidentales qui se sont déroulées entre mai et juin 2022. Les leurres inclus dans ces campagnes suggèrent qu’une ambassade étrangère au Portugal, ainsi qu’une ambassade étrangère au Brésil, ont été prises pour cible. Dans les deux cas, les documents de phishing contenaient un fichier HTML malveillant (EnvyScout) utilisé pour entreposer d’autres fichiers similaires dans le réseau ciblé, notamment un payload Cobalt Strike.