Microsoft alerte sur les tactiques avancées de COLDRIVER pour voler des informations d’identification

L’acteur de la menace connu sous le nom de COLDRIVER a poursuivi ses activités de vol d’informations d’identification contre des entités présentant un intérêt stratégique pour la Russie, tout en améliorant ses capacités d’évasion en matière de détection. L’équipe de Microsoft Threat Intelligence suit le groupe Star Blizzard (anciennement SEABORGIUM). Il est également appelé Blue Callisto, BlueCharlie (ou TAG-53), Calisto (orthographié alternativement Callisto) et TA446.

L’adversaire « continue de cibler de manière prolifique des personnes et des organisations impliquées dans les affaires internationales, la défense et le soutien logistique à l’Ukraine, ainsi que des universités, des sociétés de sécurité de l’information et d’autres entités alignées sur les intérêts de l’État russe », a déclaré M. Redmond. Star Blizzard, lié au Service fédéral de sécurité russe (FSB), a l’habitude de créer des domaines sosies qui usurpent l’identité des pages de connexion des entreprises ciblées. Il est connu pour être actif depuis au moins 2017.

En août 2023, Recorded Future a révélé 94 nouveaux domaines qui font partie de l’infrastructure d’attaque de l’acteur de la menace, dont la plupart comportent des mots-clés liés aux technologies de l’information et aux crypto-monnaies. Microsoft a déclaré avoir observé l’adversaire tirer parti de scripts côté serveur pour empêcher l’analyse automatisée de l’infrastructure contrôlée par l’acteur à partir d’avril 2023, en s’éloignant de hCaptcha pour déterminer les cibles d’intérêt et en redirigeant la session de navigation vers le serveur Evilginx.

Le code JavaScript côté serveur est conçu pour vérifier si le navigateur a des plugins installés, si la page est accédée par un outil d’automatisation comme Selenium ou PhantomJS, et transmettre les résultats au serveur sous la forme d’une requête HTTP POST. « À la suite de la requête POST, le serveur redirecteur évalue les données collectées à partir du navigateur et décide d’autoriser ou non la poursuite de la redirection du navigateur », a déclaré Microsoft. »Lorsqu’un bon verdict est atteint, le navigateur reçoit une réponse du serveur de redirection qui le redirige vers l’étape suivante de la chaîne, soit un hCaptcha à résoudre par l’utilisateur, soit une redirection vers le serveur Evilginx. « Star Blizzard utilise également depuis peu des services de marketing par courrier électronique tels que HubSpot et Mailer. Les campagnes Litecraft servent de point de départ à la chaîne de redirection qui aboutit au serveur Evilginx qui héberge la page de collecte des informations d’identification.

En outre, l’acte de menace a été observé lors de l’utilisation par un fournisseur de service de noms de domaine (DNS) de l’infrastructure d’un domaine enregistré par un acteur, qui envoie des informations sur le mot de passe et des liens vers des sites Web protégés par un mot de passe.Ce n’est pas toutSigne que l’acteur de la menace surveille activement les rapports publics sur ses tactiques et techniques, il a mis à jour son algorithme de génération de domaines (DGA) en incluant une liste de mots plus aléatoire lorsqu’il les nommeMalgré ces changements, les activités de Star Blizzard restent axées sur le vol d’identifiants de messagerie, ciblant principalement les fournisseurs de messagerie basés sur le cloud qui hébergent des pages de collecte d’identifiants d’organisations et d’entreprises.Star Blizzard reste constant dans son utilisation de paires de VPS dédiés hébergeant des infrastructures contrôlées par des acteurs (redirecteur + Evolino).(redirecteur + serveurs Evilginx) utilisée pour des activités de spear-Ce développement intervient alors que le Royaume-Uni a dénoncé les tentatives répétées et infructueuses de Star Blizzard d’interférer dans les processus politiques britanniques en ciblant des personnes et des entités de premier plan par le biais d’opérations cybernétiques. a sanctionné deux membres d’une équipe de pirates informatiques, Ruslan Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets (alias Alexey Doguzhiev), pour leur participation à des campagnes de spear phishing, activité qui « a permis d’accéder sans autorisation aux comptes de messagerie électronique de nombreux citoyens britanniques, hommes politiques et membres du public, ainsi que d’un grand nombre d’entreprises basées au Royaume-Uni », a déclaré le Foreign Commonwealth Office du Royaume-Uni

.

Le département du Trésor américain a sanctionné deux membres d’un groupe de cybercriminels basé en Russie, connu sous le nom de « Star Blizzard » ou « Energetic Bear », pour leur implication présumée dans une série d’attaques de spear-phishing visant le secteur de l’énergie et des organisations gouvernementales du Royaume-Uni. L’Office of Foreign Assets Control (OFAC) du département du Trésor a mis en cause le Service fédéral de sécurité (FSB), principale agence de renseignement russe, dans des opérations de piratage et d’infiltration de longue durée visant à façonner des récits dans les pays ciblés et à promouvoir les intérêts stratégiques de la Russie.

Dans un acte d’accusation récemment révélé à l’encontre d’Aleksey Peretyatko et de Sergey Korinets, le ministère américain de la justice (DoJ) a déclaré que les accusés avaient utilisé des comptes de messagerie usurpés pour envoyer des messages censés provenir de fournisseurs de messagerie suggérant que les destinataires avaient violé les conditions de service, mais qui, en réalité, étaient conçus pour les inciter à fournir les identifiants de leur compte de messagerie à de fausses invitations à se connecter. Les identifiants saisis par les cibles sur ces pages sont ensuite capturés et utilisés pour accéder aux courriels et aux pièces jointes des victimes, sans parler de leur liste de contacts, qui sont ensuite utilisés pour des activités d’hameçonnage ultérieures via les comptes compromis.

Les attaques de spear-phishing sont précédées d’une phase de recherche et de préparation qui permet de reconnaître les cibles, avant de les approcher via leur adresse électronique personnelle, dans une tentative probable de contourner les contrôles de sécurité des réseaux d’entreprise et d’établir une relation dans l’espoir de délivrer finalement des liens qui imitent la page de connexion d’un service légitime. L’adresse de l’expéditeur peut provenir de n’importe quel fournisseur de messagerie gratuit, mais il convient de prêter une attention particulière aux courriels reçus des expéditeurs de comptes Proton (@proton.me, @protonmail.com) car ils sont fréquemment utilisés par Star Blizzard », a déclaré Microsoft dans un billet de blog publié mercredi.

L’alliance de renseignement Five Eyes, composée de l’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis, a publié son propre avis mercredi, Cette campagne montre que les cybercriminels sont prêts à tout, y compris à se faire passer pour des cadres supérieurs, pour tenter non seulement d’accéder à une organisation, mais aussi de s’y maintenir afin d’y mener des activités malveillantes telles que l’espionnage ou le vol », a indiqué l’alliance dans un avis publié mercredi.