Support technique
Documentation
Connexion
Nous contacter
Selon des rapports récentsun groupe APT (Advanced Persistent Threat) lié à la Russie a été observé dans une campagne d'attaque qui n'était pas documentée auparavant. Turla, l'APT russe, a lancé une campagne d'attaque centrée sur l'infiltration du serveur de commande et de contrôle (C2) appartenant à un groupe de pirates informatiques basé au Pakistan, Strom-0156.
Dans cet article, nous examinerons les tactiques d'attaque des acteurs de la menace, les outils et les technologies, etc. C'est parti !
Attaques APT russes russes : Vue d'ensemble
Les activités malveillantes de longue date de l APT russe russes ont été initialement identifiées par les laboratoires Black Lotus de Lumen. Il convient de noter que l'APT porte le nom de "Secret Blizzard" ou "Turla". "Turla". L'organisme de recherche en cybersécurité a surveillé un large éventail d'acteurs de la menace soutenus par des États qui exploitent les serveurs C2 d'autres groupes de pirates informatiques pour leurs propres initiatives.
Cette stratégie permet au groupe APT d'acquérir des fichiers sensibles sans avoir recours à l'exfiltration à partir de réseaux compromis, à l'exposition de ses propres outils ou à une attribution tardive. Commentant un tel scénario d'attaque, des experts ont ont déclaré que :
"Dans les scénarios où les autres acteurs de la menace n'ont pas acquis toutes les données intéressantes sur leurs cibles, ils peuvent rechercher dans les données collectées sur les nœuds C2 des documents d'authentification volés pour obtenir l'accès ou utiliser l'accès existant pour étendre la collecte et déployer leurs agents dans un réseau. Ce faisant, Secret Blizzard profite essentiellement de l'ancrage créé par l'acteur de la menace initial".
Bien que la technique de collecte de données utilisée par l APT russe russe offre des avantages uniques, un acteur de la menace serait limité à la collecte de données ou à l'accès aux seuls réseaux contrôlés par le nœud C2. Selon l'organisation de recherche sur les cybermenaces :
"Secret Blizzard a continué à exploiter les relations de confiance en passant des nœuds C2 d'un acteur aux postes de travail de l'opérateur. Nous pensons que les terminaux et les logiciels malveillants des États-nations et des cybercriminels sont particulièrement vulnérables à l'exploitation car ils sont incapables d'utiliser des piles de sécurité modernes pour contrôler l'accès et se protéger contre l'exploitation."
Elle souligne que lorsque les acteurs de la menace ont installé les protocoles de sécurité, leurs exploits et leurs outils ont été exposés. On pense actuellement que des pirates comme l'APT suppriment activement les données d'enregistrement pour tenter d'aggraver l'exposition.
Serveurs Storm-0156 et tactiques d'attaque secrètes de Blizzard
En ce qui concerne les détails des attaques, on pense que l'organisation APT russe russe a manipulé sa confiance avec Storm-0156. Cette initiative lui a permis de s'introduire dans les postes de travail des opérateurs de réseaux informatiques pakistanais et d'y dérober des données. En outre, cette tactique a également été utilisée pour inclure Waiscot et CrimsonRAT.
L'APT russe APT russe russe a ensuite utilisé ces logiciels malveillants pour interagir avec des réseaux basés en Inde. Il convient de noter que cet acteur de la menace. Il convient de noter que cet acteur de la menace utilise un large éventail d'outils open-source, dont AllaKore et des chevaux de Troie d'accès à distance personnalisés. trojan d'accès à distance. Comme pour Storm-0156, les acteurs de la menace ont adapté leurs outils à différents systèmes d'exploitation.
Toutefois, aucun changement n'a été observé dans les tactiques, techniques et procédures (TTP). Il convient de préciser que Storm-0156 s'en prend principalement aux organisations gouvernementales régionales et se concentre sur l'Inde et l'Afghanistan. Certaines des principales entités ciblées par le groupe proviennent de divers secteurs, dont les suivants
- Le gouvernement.
- Technologie.
- Systèmes de contrôle industriel.
- Production et distribution d'électricité.
Fournir des informations sur l'APT russe APT russe russe accédant aux serveurs C2 de Storm-0156 au Pakistan, des experts ont déclaré que
"En surveillant les campagnes Storm-0156, nous avons découvert 11 nœuds C2 qui ont été actifs de décembre 2022 à la mi-2023. Black Lotus Labs a observé des échantillons de logiciels malveillants ou des rapports publics correspondant à 8 des 11 nœuds. Une analyse plus approfondie a révélé que ces 11 nœuds communiquaient tous avec trois adresses IP VPS nouvellement identifiées."
L'un des aspects les plus frappants des VPS était le fait qu'ils avaient été lasérisés par l'intermédiaire d'un fournisseur qui n'avait jamais été vu auparavant dans les campagnes Storm-0156. Le MSTIC a également confirmé que les trois nœuds étaient en fait associés à l groupe APT russe Secret Blizzard. De décembre 2022 à août 2023, le groupe APT russe a utilisé les adresses IP suivantes :
- 146.70.158[.]90
- 162.213.195[.]129
- 146.70.81[.]81
Commentaire sur l'affaire de l APT russe russe a utilisé ces trois nœuds, les experts ont déclaré que :
"Bien que nous ne puissions pas savoir avec certitude comment Secret Blizzard a identifié les trois nœuds restants qui ne correspondaient pas à des échantillons de logiciels malveillants ou à des rapports publics, nous soupçonnons qu'ils ont pu utiliser une méthode de pivotement du protocole de bureau à distance (RDP) décrite ici par Team Cymru".
Vous trouverez ci-dessous une liste des adresses IP appartenant à Strom-0156 et la durée de leur interaction avec l APT russe:
| Dates | Adresse IP |
| 11 décembre 2022 - 7 octobre 2024 | 154.53.42[.]194 |
| 12 décembre 2022 - 9 juillet 2023 | 66.219.22[.]252 |
| 27 décembre 2022 - 9 août 2023 | 66.219.22[.]102 |
| 28 décembre 2022 - 2 mars 2023 | 144.126.152[.]205 |
| 31 janvier - 14 mars 2023 | 185.229.119[.]60 |
| 22 février - 21 août 2023 | 164.68.108[.]153 |
| 27 février - 22 mars 2023 | 209.126.6[.]227 |
| 30 avril - 4 juillet 2023 | 209.126.81[.]42 |
| 5 mai - 22 août 2023 | 209.126.7[.]8 |
| 12 avril - 23 août 2023 | 154.38.160[.]218 |
| 23 juin - 21 août 2023 | 144.126.154[.]84 |
Des outils malveillants sont déployés dans les réseaux du gouvernement afghan
Outre les adresses IP, les experts ont indiqué qu'en surveillant l'interaction entre l groupe APT russe et les nœuds Storm-0156, une activité des réseaux du gouvernement afghan a également été identifiée. Compte tenu de la prévalence de cette activité, les experts ont noté que le groupe APT russe russe a probablement utilisé l'accès aux serveurs C2 pour déployer le logiciel malveillant Two-Dash.
Les communications relatives à la séquence d'attaque ont été observées à partir de plusieurs adresses IP basées en Afghanistan. Sur la base de la durée et du volume des données transférées, on peut conclure que les adresses IP afghanes n'ont montré une activité de balisage que pendant une semaine. Cela implique que l'acteur de la menace choisit délibérément de ne pas maintenir un accès à long terme. Les trois adresses qui semblaient présenter le plus d'intérêt étaient les suivantes
- 146.70.158[.]90 - a interagi avec six adresses IP et a été actif du 23 janvier 2023 au 4 septembre 2023.
- 162.213.195[.]129 - utilisé pour communiquer avec cinq adresses IP et a été actif du 29 décembre 2022 au 4 septembre 2023.
- 167.88.183[.]238 - principalement utilisé pour la transmission vers une seule adresse IP qui a eu lieu le 17 avril 2023.
En outre, il a également été constaté que, de mai à octobre 2024, les connexions persistantes à partir des réseaux du gouvernement afghan sont restées les mêmes. Toutefois, une différence notable est que le C2 a changé, passant de l'alignement sur les infections de Storm-0156 à 143.198.73[.]108.
Il convient de noter que l'activité la plus importante qui a été identifiée est l'utilisation du logiciel malveillant Two-Dash. Cette activité a été mise en évidence non seulement par les nœuds C2 de Storm-0156 situés en Afghanistan, mais aussi par une adresse IP dynamique provenant du Pakistan. En ce qui concerne l'utilisation du panneau C2, les experts ont déclaré ce qui suit :
"Nous soupçonnons qu'ils ont réussi à accéder au panneau C2 de Storm-0156, puis qu'ils ont abusé d'une relation de confiance pour s'introduire latéralement dans le poste de travail de l'opérateur de Storm-0156. Cela leur aurait permis d'accéder à d'autres réseaux précédemment compromis par Storm-0156, dont d'autres entités gouvernementales du Moyen-Orient.
À l'heure actuelle, l'utilisation d'un mouvement en aval initié pour compromettre les victimes ciblées ou l'utilisation d'agents existants établis par Storm-0156 reste incertaine.
Conclusion
La campagne d'attaque de l groupe APT Secret Blizzard, met en évidence la sophistication des tactiques modernes de cyber-espionnage. En exploitant la confiance et en tirant parti de l'accès aux serveurs C2 de Storm-0156, le groupe a démontré une approche stratégique de l'infiltration des réseaux sensibles. Avec des outils tels que le logiciel malveillant Two-Dash et des mouvements latéraux ciblés, leurs opérations soulignent la nécessité de de mesures de cybersécurité renforcées pour se protéger contre les menaces soutenues par les États-nations et les vulnérabilités posées par l'exploitation de la confiance entre les groupes.
Les sources de cet article comprennent des articles dans The Hacker News et Lumen.
