Accueil / IT Business / Communiqués / Une activité russe présumée visant des entités gouvernementales et commerciales dans le monde entier.

Une activité russe présumée visant des entités gouvernementales et commerciales dans le monde entier.

Introduction 

Alors qu’arrive le premier anniversaire de la découverte de la compromission de la chaîne d’approvisionnement de SolarWinds, Mandiant reste déterminé à traquer l’un des acteurs les plus coriaces rencontrés. Ces acteurs russes présumés pratiquent une sécurité opérationnelle de premier ordre et des techniques de pointe. Cependant, ils sont faillibles, et nous continuons à découvrir leurs activités et à apprendre de leurs erreurs. En fin de compte, ils restent une menace adaptable et évolutive qui doit être étudiée de près par les défenseurs qui cherchent à garder une longueur d’avance.

Résumé

Mandiant continue de suivre de nombreux groupes d’activités d’intrusion présumées russes qui ont ciblé des entreprises et des entités gouvernementales dans le monde entier. Sur la base de notre évaluation de ces activités, nous avons identifié deux groupes d’activités distincts, UNC3004 et UNC2652. Ces deux groupes sont associés à UNC2452, également appelé Nobelium par Microsoft.

Parmi les tactiques que Mandiant a récemment observées, citons :

  • Compromission de plusieurs fournisseurs de solutions cloud et de fournisseurs de services managés depuis 2020.
  • Utilisation d’informations d’identification probablement obtenues à partir d’une campagne de logiciels malveillants voleurs d’informations par un acteur tiers pour obtenir un accès initial aux organisations.
  • Utilisation de comptes avec des privilèges d’usurpation d’identité d’application pour récolter des données de messagerie sensibles depuis le premier trimestre 2021.
  • Utilisation de services proxy IP résidentiels et d’une infrastructure géographique récemment mise en place pour communiquer avec des victimes compromises.
  • Utilisation de nouvelles TTP pour contourner les restrictions de sécurité dans les environnements, y compris, mais sans s’y limiter, l’extraction de machines virtuelles pour déterminer les configurations de routage internes.
  • Utilisation d’un nouveau « downloader » sur mesure que nous appelons CEELOADER.

Dans la plupart des cas, les activités postérieures à la compromission comprenaient le vol de données pertinentes pour les intérêts russes. Dans certains cas, le vol de données semble avoir été obtenu principalement pour créer de nouvelles voies d’accès à d’autres environnements victimes. Les opérateurs continuent d’innover et d’identifier de nouvelles techniques et de nouveaux savoir-faire pour maintenir un accès persistant aux environnements des victimes, entraver la détection et confondre les efforts d’attribution.

Les sections ci-dessous mettent en évidence l’activité d’intrusion de plusieurs interventions sur incident qui sont actuellement attribués à de multiples groupes non catégorisés (UNC). Mandiant soupçonne ces groupes d’être reliés à une menace russe commune. Les informations ci-dessous couvrent certaines des tactiques, techniques et procédures (TTP) utilisées par les opérateurs pour la compromission initiale, l’établissement dans le réseau, la collecte de données et le mouvement latéral ; comment les opérateurs approvisionnent l’infrastructure ; et les indicateurs de compromission associés. Ces informations sont partagées pour sensibiliser les organisations et leur permettre de mieux se défendre. 

Compromission initiale 

Compromission de fournisseurs de solutions de cloud computing

Mandiant a identifié de multiples cas où l’attaquant a compromis des fournisseurs de services et a utilisé l’accès privilégié et les informations d’identification appartenant à ces fournisseurs pour compromettre des clients en aval.

Dans au moins un cas, l’acteur menaçant a identifié et compromis un compte VPN local et a utilisé ce compte VPN pour effectuer une reconnaissance et obtenir un accès supplémentaire aux ressources internes de l’environnement du CSP de la victime, ce qui a finalement conduit à la compromission de comptes de domaine internes. 

Accès obtenu grâce à une campagne de logiciels malveillants voleurs d’informations

Mandiant a identifié une campagne dans laquelle les opérateurs ont obtenu un accès à l’environnement Microsoft 365 de l’organisation cible à l’aide d’un identificateur de session volé. Mandiant a analysé les postes de travail appartenant à l’utilisateur final et a découvert que certains systèmes avaient été infectés par CRYPTBOT, un malware voleur d’informations, peu de temps avant la génération de l’identificateur de session volé.

Mandiant estime avec une confiance modérée que l’attaquant a obtenu le jeton de session auprès des opérateurs du malware voleur d’informations. Ces identifiants ont été utilisés par l’acteur via des fournisseurs de VPN publics pour s’authentifier auprès de l’environnement Microsoft 365 de la cible.

Par Luke Jenkins, Sarah Hawley, Parnian Najafi et Doug Bienstock

A voir

OutSystems intègre le programme SAP PartnerEdge pour favoriser la migration vers S/4HANA

Le principal acteur du développement low-code hautes performances propose aux entreprises qui utilisent les solutions SAP la capacité de développer rapidement et facilement des applications essentielles à leur activité.