ClickCease Alerte Microsoft : le vol d'identifiants COLDRIVER augmente à nouveau

Alerte Microsoft : le vol d'identifiants COLDRIVER augmente à nouveau

Wajahat Raja

Le 20 décembre 2023 - L'équipe d'experts de TuxCare

Dans une récente alerte de sécurité de Microsoftle célèbre acteur de menace connu sous le nom de COLDRIVER a intensifié ses activités de vol d'informations d'identification, ciblant des entités stratégiquement importantes pour la Russie. Simultanément, il a affiné ses capacités à échapper à la détection, ce qui constitue une préoccupation croissante. Le paysage des paysage des cybermenacesde Microsoft, qui suit cette menace sous le nom de groupe Star Blizzard (anciennement SEABORGIUM), met en lumière sur la gravité du vol d'informations d'identification de vol de données d'identification COLDRIVER de COLDRIVER. Également identifié sous les noms de Blue Callisto, BlueCharlie (ou TAG-53), Calisto, Gossamer Bear et TA446, cet adversaire cible constamment des personnes et des organisations impliquées dans les affaires internationales, la défense et le soutien logistique à l'Ukraine. En outre, les institutions académiques et les entreprises de sécurité de l'information qui s'alignent sur les intérêts de l'État russe ne sont pas épargnées.

 

COLDRIVER Vol de données d'identification


Star Blizzard, qui serait lié au Service fédéral de sécurité russe (FSB), a des antécédents qui remontent au moins à la fin de l'année dernière.
2017. L'acteur de la menace utilise des domaines sosies qui imitent les pages de connexion des entreprises ciblées, démontrant un penchant pour la sophistication. En août 2023, Recorded Future a découvert 94 nouveaux domaines associés à l'infrastructure d'attaque de COLDRIVER. Ces domaines comportent principalement des mots-clés liés aux technologies de l'information et aux crypto-monnaies, ce qui montre la capacité d'adaptation de l'acteur de la menace.


Mise à jour du logiciel malveillant COLDRIVER : techniques d'évasion dynamiques


L'avis de sécurité de Microsoft
observe un changement dans les tactiques de COLDRIVER, l'adversaire ayant adopté des scripts côté serveur pour contrecarrer l'analyse automatisée de son infrastructure depuis avril 2023. S'éloignant de hCaptcha, COLDRIVER redirige désormais les sessions de navigation vers le serveur Evilginx. Le code JavaScript côté serveur évalue les caractéristiques du navigateur, vérifiant la présence de plugins ou d'outils d'automatisation tels que Selenium ou PhantomJS. En fonction de cette évaluation, le serveur redirecteur détermine s'il faut procéder à la redirection du navigateur. Cette approche dynamique vise à améliorer les capacités d'évasion.


Utilisation ingénieuse des services de marketing par courrier électronique


Star Blizzard a intégré dans ses campagnes des services de marketing par courrier électronique tels que HubSpot et MailerLite. Ceux-ci servent de point de départ à la chaîne de redirection, qui aboutit finalement au serveur Evilginx, plaque tournante de la collecte d'informations d'identification. L'acteur de la menace s'appuie également sur un fournisseur de services de noms de domaine (DNS) pour résoudre l'infrastructure de domaine enregistrée par l'acteur, ce qui témoigne d'une approche à multiples facettes pour échapper aux mesures de sécurité.


Le jeu du chat et de la souris avec les mesures de sécurité


Malgré les changements et les améliorations constants des tactiques d'évasion, Star Blizzard continue de se concentrer sur le vol de courrier électronique, c'est-à-dire le vol de données d'identification.
le vol de données d'identification par courrier électronique. Les fournisseurs de services de messagerie basés sur le cloud, qui hébergent des comptes de messagerie personnels et d'entreprise, sont les principales cibles. Microsoft souligne l'utilisation systématique de serveurs privés virtuels (VPS) dédiés pour héberger l'infrastructure contrôlée par l'acteur, ce qui met en évidence l'engagement de l'acteur de la menace dans les activités de spear-phishing.


Réponse internationale et sanctions


La gravité des activités de Star Blizzard est soulignée par les réactions internationales. Le Royaume-Uni a accusé Star Blizzard d'avoir tenté d'interférer dans ses processus politiques, ce qui a entraîné des sanctions à l'encontre de deux membres identifiés - Ruslan Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets. Le ministère américain de la justice (DoJ) a rendu public un acte d'accusation à l'encontre de ces personnes, révélant leur implication dans des campagnes de spear-phishing.


Inquiétudes concernant l'alliance de renseignement des Cinq Yeux


L'alliance de renseignement Five Eyes, composée de l'Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis, a exprimé ses inquiétudes quant aux tactiques de Star Blizzard. L'acteur de la menace se fait passer pour un contact connu, crée de faux profils de médias sociaux et établit des domaines malveillants ressemblant à des organisations légitimes. Ces tactiques sont utilisées pour lancer des attaques de spear-phishing, ciblant souvent des personnes très connues.


Dévoiler les techniques de Spear-Phishing


Les attaques de spear-phishing de Star Blizzard suivent une phase méticuleuse de recherche et de préparation, permettant la reconnaissance de leurs cibles. L'utilisation d'adresses électroniques personnelles est un moyen stratégique de contourner les contrôles de sécurité du réseau de l'entreprise. L'acteur de la menace établit un rapport avant de fournir des liens imitant des pages de connexion à des services légitimes. Microsoft recommande de prêter une attention particulière aux courriels provenant de comptes Proton, fréquemment utilisés par Star Blizzard.


Ramifications juridiques et récompenses pour la justice


En réponse à l
alerte à la menace en matière de cybersécuritél'Office of Foreign Assets Control (OFAC) du département du Trésor américain a impliqué le FSB dans des opérations de piratage et de fuite. Le département a accusé des membres de Star Blizzard d'avoir mis en place des domaines de collecte d'informations d'identification et d'avoir utilisé des outils permettant de contourner l'authentification à deux facteurs. Malgré les sanctions, le département d'État américain a annoncé une récompense de 10 millions de dollars pour toute information permettant d'identifier les membres de Star Blizzard, ce qui souligne la gravité de la menace.


Des idées d'experts et un impact mondial


Adam Meyers, responsable des opérations de lutte contre les adversaires chez CrowdStrike, met en lumière l'évolution du phénomène.
vol de données d'identification COLDRIVER. À l'origine, l'attaque visait les gouvernements, l'armée, les groupes de réflexion et les médias ayant des liens avec l'Ukraine, les tendances des attaques COLDRIVER ont élargi leur champ d'action. Gossamer Bear est soupçonné d'utiliser des médias pro-russes pour blanchir des informations acquises lors d'opérations de collecte, ce qui témoigne d'une évolution préoccupante.


Réponse diplomatique internationale


En réponse aux sanctions, l'ambassade de Russie au Royaume-Uni les qualifie d'"initiative futile".
"démarche futile" et un "un acte de théâtre mal mis en scène". Le président Vladimir Poutine suggère que les élites occidentales utilisent les sanctions pour provoquer des conflits dans le but de maintenir leur domination déclinante. Cette mise à jour de l'avertissement de Microsoft ajoute une couche supplémentaire au récit complexe qui entoure COLDRIVER et ses activités.


Conclusion


La menace du COLDRIVER, qui se manifeste à travers les opérations complexes de Star Blizzard, exige une réponse internationale coordonnée. Alors que le paysage des
risques de vol de données d'identification évolue, la collaboration entre les experts en cybersécurité, les agences de renseignement et les gouvernements devient primordiale. Vigilance, adaptation des mesures de sécuritéet la sensibilisation du public sont des éléments cruciaux pour protéger contre le vol de données d'identification par COLDRIVER.

Les sources de cet article comprennent des articles dans The Hacker News et de l OWASP.

Résumé
Alerte Microsoft : le vol d'identifiants COLDRIVER augmente à nouveau
Nom de l'article
Alerte Microsoft : le vol d'identifiants COLDRIVER augmente à nouveau
Description
Tenez-vous informé de la recrudescence des vols d'informations d'identification par COLDRIVER. L'alerte de Microsoft révèle les dernières tactiques. Protégez vos données dès maintenant !
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information