Un sous-groupe de Sandworm APT de la Russie a travaillé pour obtenir un accès initial et persistant aux réseaux informatiques d’organisations travaillant dans les secteurs économiques que la Russie s’intéresse.
«En 2022, son objectif principal était l’Ukraine, ciblant spécifiquement les secteurs de l’énergie, de la vente au détail, de l’éducation, du conseil et de l’agriculture. En 2023, il a mondialisé la portée de ses compromis, conduisant à un accès persistant dans de nombreux secteurs aux États-Unis, en Europe, en Asie centrale et au Moyen-Orient », ont partagé mercredi les chercheurs de Microsoft.
«En 2024, alors que l’exposition de plusieurs vulnérabilités a probablement offert au sous-groupe un accès plus que jamais, il semblait avoir perfectionné les États-Unis, le Canada, l’Australie et le Royaume-Uni.»
Les cibles du sous-groupe s’étendent sur le monde (source: Microsoft)
À propos de Sandworm
Sandworm (par Microsoft: «Seashell Blizzard») est un groupe de menaces qui a été associé aux chercheurs de l’unité de renseignement militaire russe 74455 (GRU).
Le groupe a été impliqué dans des attaques destructrices telles que Killdisk et NotPetya.
En 2020, les États-Unis ont inauguré un acte d’accusation contre six officiers du GRU qui seraient des membres du ver de sable.
Les tactiques, techniques et procédures (TTPS) du sous-groupe d’accès initial de sable
Le sous-groupe utilise des bases de données de numérisation publique et se concentre sur l’exploitation de l’infrastructure vulnérable orientée sur Internet des cibles. Ils sont connus pour tirer parti des vulnérabilités suivantes:
Pour la persévérance, ils ont initialement déployé des shells Web. Au début de 2024, ils ont également commencé à installer et à tirer parti des outils légitimes de surveillance et de gestion à distance (RMM) comme Atera Agent et Splashtop Remote Services.
Les outils RMM leur ont permis de déployer des outils secondaires pour voler et exfiltration des informations d’identification.
Le cycle de vie opérationnel du sous-groupe (Source: Microsoft)
«Parmi un sous-groupe de victimes, le blizzard Seashell a réalisé une activité post-compromise unique, indiquant que l’acteur de menace a demandé une persistance et un accès direct plus durables. Dans ces cas, le blizzard Seashell déployé OpenSSH avec une clé publique unique, leur permettant d’accéder à des systèmes compromis à l’aide d’un compte et d’une information contrôlés par acteur », explique Microsoft.
Pour plus de persistance, ils ont également enregistré des systèmes compromis comme un service caché Tor (une technique Microsoft surnommée Shadowlink).
«Les systèmes compromis avec Shadowlink reçoivent un .oignon Adresse, les rendant à distance accessibles via le réseau Tor. Cette capacité permet à Seashell Blizzard de contourner les modèles d’exploitation communs de déploiement d’un rat, qui exploite généralement une forme de C2 vers l’infrastructure contrôlée par les acteurs qui sont souvent facilement vérifiées et identifiées par les administrateurs de réseau », ont expliqué les chercheurs.
«Au lieu de cela, en s’appuyant sur les services cachés de Tor, le système compromis crée un circuit persistant au réseau Tor, agissant comme un tunnel secrète, en masquant efficacement toutes les connexions entrantes avec l’actif affecté et en limitant les expositions de l’environnement de l’acteur et de la victime.»
Le groupe a également modifié les ressources réseau telles que les pages de connexion Outlook Web Access (OWA) (pour collecter des informations d’identification pour le mouvement latéral) et les configurations DNS (éventuellement pour intercepter les informations d’identification des services d’authentification critiques).
Courir le terrain pour de futures attaques
Le sous-groupe a probablement utilisé une approche de «pulvérisation et de prière» pour obtenir des compromis et a également compromis les organisations qui ont une utilité limitée ou pas des intérêts stratégiques de la Russie, selon les chercheurs de Microsoft. «Dans les cas où une cible stratégiquement significative est compromise, nous avons observé une activité post-compromise plus tard significative.»
Parmi les objectifs réels figuraient des organisations dans les secteurs de l’énergie, du pétrole et du gaz, des télécommunications, des expéditions et des armes, ainsi que des gouvernements internationaux.
«Ce sous-groupe, caractérisé au sein de l’organisation plus large de Blizzard par sa portée presque globale, représente une expansion à la fois dans le ciblage géographique mené par le blizzard Seashell et dans la portée de ses opérations. Dans le même temps, les méthodes d’accès de grande envergure et opportunistes de Seashell Blizzard offrent probablement des opportunités étendues en Russie pour les opérations et les activités de niche qui continueront d’être précieuses à moyen terme », ont souligné les chercheurs.
Microsoft a publié des indicateurs de compromis, d’atténuation et de guidage de protection, de détections et d’alertes pointant vers une éventuelle activité de blizzard au coquillage, ainsi que des requêtes de chasse aux menaces.
