Archives par mot-clé : Cozy Bear

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Espionnage Spy, Piratage

Amazon déjoue une attaque sophistiquée d’APT29

Amazon a bloqué une opération de watering-hole d’APT29, visant à subtiliser des identifiants Microsoft grâce à des sites compromis, du JavaScript obfusqué et des redirections sélectives.

Amazon a neutralisé une campagne d’APT29, groupe lié au renseignement russe, qui exploitait des sites web compromis pour piéger des connexions Microsoft. Les assaillants utilisaient du JavaScript obfusqué et des mécanismes de redirection conditionnelle afin de tromper une partie des visiteurs. Près de 10 % du trafic était renvoyé vers des domaines contrôlés par l’attaquant, imitant Cloudflare pour capter les identifiants via le flux d’authentification par code d’appareil de Microsoft. Amazon a isolé les instances malveillantes et collaboré avec Microsoft et Cloudflare pour interrompre les infrastructures frauduleuses. Aucun système AWS n’a été compromis. Cette opération illustre le raffinement technique d’APT29 et la réponse coordonnée nécessaire pour contrer ces campagnes.

Attaque sur des sites légitimes

En août, plusieurs sites web authentiques ont été piégés par l’ajout d’un script JavaScript malveillant. Ce code, fortement obfusqué, recourait à l’encodage base64 pour masquer ses fonctions et compliquer l’analyse. Sa mission : déterminer si l’utilisateur devait être redirigé vers une infrastructure contrôlée par APT29. Seule une minorité de visiteurs, environ 10 %, était ciblée, réduisant le risque de détection. Les victimes aboutissaient sur un domaine imitant une vérification Cloudflare, notamment findcloudflare[.]com. Cette fausse étape permettait d’exploiter le flux d’authentification par code de périphérique de Microsoft et d’intercepter les tentatives de connexion.

L’activité a été repérée sur des instances EC2 utilisées à des fins malveillantes. Amazon a immédiatement isolé ces serveurs, bloqué leurs communications et engagé une coopération avec Cloudflare et Microsoft. Ensemble, ils ont procédé à la désactivation rapide des domaines frauduleux. Chaque fois qu’APT29 tentait de rétablir son infrastructure avec de nouveaux serveurs ou domaines, l’alliance technique permettait une coupure immédiate. Amazon a assuré qu’aucun système interne n’avait été touché par la campagne.

Tactiques techniques et sophistication

Les techniques employées confirment le niveau avancé d’APT29. Le JavaScript obfusqué rendait son contenu difficile à déchiffrer, dissimulant les instructions de redirection. Des redirections côté serveur permettaient d’alterner les comportements selon l’adresse IP, l’agent utilisateur ou le fuseau horaire du visiteur. L’usage de cookies servait à limiter la fréquence des redirections, empêchant un analyste de reproduire facilement le scénario d’attaque. Cette approche réduisait fortement les traces visibles et rendait l’infection plus persistante. Enfin, la rotation d’infrastructures, avec migration rapide entre domaines et serveurs compromis, ajoutait une résilience opérationnelle. Ces choix tactiques révèlent un objectif clair : espionner durablement sans attirer l’attention des défenses automatisées.

APT29, affilié au SVR russe, multiplie les campagnes contre les cibles stratégiques. Après des tentatives de phishing imitant AWS en 2024 et une campagne contre chercheurs et universitaires en 2025, le groupe renforce ses méthodes. Le recours à l’obfuscation avancée et aux redirections sélectives montre une stratégie d’ingénierie discrète, adaptée aux environnements cloud et aux services massivement utilisés. L’objectif reste constant : collecter des identifiants pour pénétrer des réseaux sensibles.

Les autorités américaines ont saisi deux domaines utilisés par le service de renseignement russe SVR (APT29/Cozy Bear) dans une vaste campagne de piratage. En mai 2021, les attaquants ont compromis un compte de l’USAID sur Constant Contact pour envoyer près de 3 000 e-mails piégés à plus de 150 organisations dans 24 pays. Les liens redirigeaient vers theyardservice[.]com, qui distribuait un malware installant Cobalt Strike. Les communications passaient aussi par worldhomeoutlet[.]com. Déjà en mai 2018, les États-Unis avaient saisi des domaines liés au botnet VPNFilter d’APT28. Microsoft a mené des actions similaires en 2018 et 2021.

L’affaire démontre la capacité d’APT29 à développer des outils furtifs et l’importance d’une veille proactive pour détecter l’obfuscation et les redirections conditionnelles. Jusqu’où ces techniques d’évasion, à la frontière entre espionnage discret et attaques massives, peuvent-elles encore progresser face aux systèmes de défense automatisés ?

backdoor, Cybersécurité, Microsoft

Midnight blizzard : cyberattaque d’envergure contre Microsoft

Dans le paysage numérique actuel, les cyberattaques représentent une menace constante pour les entreprises et les organisations à travers le monde. Récemment, Microsoft a révélé avoir été la cible de Midnight Blizzard, un groupe de cyber espionnage lié au Kremlin.

Également connu sous les noms de APT29 et Cozy Bear, Midnight Blizzard a fait son apparition dans le paysage cybernétique en janvier 2024, lorsque Microsoft a signalé une attaque APT (Advanced Persistent Threat) ciblant les adresses électroniques de ses dirigeants et employés. La situation s’est aggravée lorsque Microsoft a découvert que des informations volées au sein de ses systèmes étaient utilisées pour accéder de manière non autorisée à ses réseaux.

Le groupe de pirates aurait réussi à infiltrer des référentiels contenant du code source ainsi que certains systèmes internes de l’entreprise. Heureusement, selon les informations actuelles, les systèmes d’interaction avec les clients semblent avoir été épargnés.

La réaction de microsoft face à l’attaque

Face à cette menace, Microsoft a rapidement entrepris une enquête approfondie pour évaluer l’ampleur du cyber incident et ses potentielles répercussions. L’entreprise surveille également de près l’utilisation des informations compromises dans le but de prévenir toute attaque ultérieure. Microsoft a souligné que les attaques menées par Midnight Blizzard se distinguent par l’ampleur des ressources déployées, la coordination et la détermination des cybercriminels, utilisant les données volées pour identifier de nouvelles cibles potentielles. Voilà qui expliquerait, peut-être, le nombre de 0day mis en vente, ces dernières semaines et révélées par ZATAZ.

Dans son billet de blog, Microsoft a mis en lumière les mesures de sécurité prises pour contrer les menaces posées par des acteurs de cyber espionnage de niveau gouvernemental comme Midnight Blizzard. Ces mesures reflètent l’engagement de l’entreprise à protéger ses infrastructures critiques et la sécurité de ses clients. En mettant l’accent sur la prévention, la détection et la réponse rapide aux incidents, Microsoft cherche à minimiser l’impact de telles attaques sur ses opérations et à garantir la continuité de ses services.

cyberattaque, Cybersécurité

Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Dans le monde entier, des entreprises font confiance à des services de stockage tels que DropBox et Google Drive pour leurs opérations quotidiennes. Cette confiance est pourtant mise à mal par des acteurs malveillants qui, comme le montrent les dernières recherches, redoublent d’ingéniosité pour exploiter la situation au profit d’attaques extrêmement difficiles à détecter et à prévenir.

Les dernières campagnes orchestrées au moyen d’une menace persistante avancée (APT), que l’Unit 42 connait et suit sous le nom de Cloaked Ursa (également appelée APT29, Nobelium ou Cozy Bear) ont donné à voir un niveau de sophistication inédit ainsi que des capacités à s’immiscer rapidement dans des services populaires de stockage sur le cloud afin d’échapper à la détection.

Ce groupe n’en est d’ailleurs pas à son coup d’essai dans le détournement de services cloud légitimes et fiables. Au fil de leurs recherches, les spécialistes ont découvert que leurs deux campagnes les plus récentes exploitaient pour la première fois les services de stockage Google Drive.

La réplication des données opérée sur le cloud Google Drive, à laquelle s’ajoute la confiance de millions de clients à travers le monde, rend les opérations de ce malware particulièrement inquiétantes. En effet, lorsque l’utilisation de services fiables est associée au chiffrement, comme c’est le cas ici, il devient bien plus difficile pour les entreprises de détecter les activités malveillantes en lien avec la campagne.

Cloaked Ursa

Depuis longtemps, le secteur de la cybersécurité considère la menace Cloaked Ursa comme affiliée au gouvernement russe. Ce lien expliquerait notamment la mission historique du groupe, qui remonte aux campagnes de malware lancées en 2008 contre la Tchétchénie et d’anciens pays du bloc soviétique. Un autre des faits d’armes plus récents attribués au groupe est le piratage du Comité national démocrate (DNC) des États-Unis, en 2016, de même que la cyberattaque SolarWinds de 2020 qui a compromis toute une chaîne d’approvisionnement.

Plus précis quant à l’identification des auteurs de l’attaque, les États-Unis comme le Royaume-Uni ont publiquement pointé du doigt le Service des renseignements extérieurs de la Fédération de Russie (SVR), c’est-à-dire les activités d’espionnage. Les dernières campagnes de cet acteur ont servi à faire croire qu’un rendez-vous se préparait avec un ambassadeur. L’Unit 42 pense que ces campagnes ciblaient des missions diplomatiques occidentales qui se sont déroulées entre mai et juin 2022. Les leurres inclus dans ces campagnes suggèrent qu’une ambassade étrangère au Portugal, ainsi qu’une ambassade étrangère au Brésil, ont été prises pour cible. Dans les deux cas, les documents de phishing contenaient un fichier HTML malveillant (EnvyScout) utilisé pour entreposer d’autres fichiers similaires dans le réseau ciblé, notamment un payload Cobalt Strike.