Pour gérer vos consentements :
Categories: Cybersécurité

Nobelium : un parfum de SolarWinds en France

Comment faire passer pour légitime un exécutable malveillant ? En le renommant. Les auteurs de l’attaque qu’on a baptisée SolarWinds avaient utilisé cette technique sur AdFind, outil en ligne de commande destiné à effectuer des requêtes dans Active Directory. Ils y ont à nouveau recouru dans le cadre de campagnes de phishing. En tout cas d’après l’ANSSI, qui vient d’émettre une alerte.

Ces campagnes, repérées en février dernier, se sont intensifiées en mai. Elle ont entraîné la compromission de comptes de messagerie d’entités françaises. Comptes à partir desquels des mails piégés ont été envoyés à des institutions étrangères du secteur de la diplomatie. Des organisations publiques françaises ont par ailleurs été destinataires de messages d’institutions étrangères apparemment victimes du même groupe cybercriminel : Nobelium. Ou plus précisément du même MOA (mode opératoire d’attaquants), terme que l’ANSSI définit comme suit :

L’ANSSI présente Nobelium non comme le groupe cybercriminel, mais comme un de ses MOA (cliquer pour agrandir).

D’autres éléments se retrouvent entre ces campagnes et l’attaque SolarWinds. En particulier au niveau du recueil d’informations sur les domaines ciblés. Outre AdFind, BoomBox et BlooHound, entre autres, sont mis à profit.

La chaîne implique aussi Cobalt Strike, qui fait office de charge finale. Son infrastructure C2 comprend des VPS de multiples fournisseurs (dont OVH). Elle met en œuvre des noms de domaines enregistrés essentiellement chez Namecheap et NameSilo. Une bonne partie imitent des sites d’information et d’actualités (trendingnews.com, celebsinformation.com, newstepsco.com…).

La collecte d’informations sur les victimes passe par l’outil EnvyScout. Lequel récupère aussi potentiellement des identifiants NTLM, exfiltrés vers un SMB distant.
La page HTML malveillante en pièce jointe de certains mails porte aussi son nom. Autre levier exploité : un lien vers du code malicieux hébergé sur Google Drive.

Illustration principale © thodonal – Adobe Stock

Recent Posts

Cloud : 4 points à retenir du rapport Aryaka

Adoption cloud, espace de travail hybride, convergence réseau et cybersécurité… La migration monte en puissance.

3 heures ago

Automatisation et emploi : pourquoi l’Europe peut mieux faire

Impactés par l'automatisation, 12 millions d'emplois seraient détruits dans 5 pays d'Europe, d'ici 2040. La…

9 heures ago

Green IT : 10 chiffres sur l’empreinte écologique

L'ADEME et l'Arcep ont remis au Gouvernement leur rapport sur l'empreinte environnementale du numérique en…

9 heures ago

Cisco : 4 certifications qui rapportent

Dans les technologies et les réseaux, une expertise certifiée peut faire la différence. Les certifications…

1 jour ago

WeTransfer vers une valorisation de 716 millions €

Le service de transfert et de stockage de fichiers WeTransfer sera évalué entre 629 et…

1 jour ago

Threat intelligence : VirusTotal tente de valoriser les IoC

VirusTotal (plate-forme de renseignement sur les menaces) a récemment introduit le principe des « collections…

1 jour ago