Pour gérer vos consentements :
Categories: Cybersécurité

Nobelium : un parfum de SolarWinds en France

Comment faire passer pour légitime un exécutable malveillant ? En le renommant. Les auteurs de l’attaque qu’on a baptisée SolarWinds avaient utilisé cette technique sur AdFind, outil en ligne de commande destiné à effectuer des requêtes dans Active Directory. Ils y ont à nouveau recouru dans le cadre de campagnes de phishing. En tout cas d’après l’ANSSI, qui vient d’émettre une alerte.

Ces campagnes, repérées en février dernier, se sont intensifiées en mai. Elle ont entraîné la compromission de comptes de messagerie d’entités françaises. Comptes à partir desquels des mails piégés ont été envoyés à des institutions étrangères du secteur de la diplomatie. Des organisations publiques françaises ont par ailleurs été destinataires de messages d’institutions étrangères apparemment victimes du même groupe cybercriminel : Nobelium. Ou plus précisément du même MOA (mode opératoire d’attaquants), terme que l’ANSSI définit comme suit :

L’ANSSI présente Nobelium non comme le groupe cybercriminel, mais comme un de ses MOA (cliquer pour agrandir).

D’autres éléments se retrouvent entre ces campagnes et l’attaque SolarWinds. En particulier au niveau du recueil d’informations sur les domaines ciblés. Outre AdFind, BoomBox et BlooHound, entre autres, sont mis à profit.

La chaîne implique aussi Cobalt Strike, qui fait office de charge finale. Son infrastructure C2 comprend des VPS de multiples fournisseurs (dont OVH). Elle met en œuvre des noms de domaines enregistrés essentiellement chez Namecheap et NameSilo. Une bonne partie imitent des sites d’information et d’actualités (trendingnews.com, celebsinformation.com, newstepsco.com…).

La collecte d’informations sur les victimes passe par l’outil EnvyScout. Lequel récupère aussi potentiellement des identifiants NTLM, exfiltrés vers un SMB distant.
La page HTML malveillante en pièce jointe de certains mails porte aussi son nom. Autre levier exploité : un lien vers du code malicieux hébergé sur Google Drive.

Illustration principale © thodonal – Adobe Stock

Recent Posts

GPT-4o : où, quand et pour qui ?

OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.

17 heures ago

Nom de domaine : Twitter définitivement remplacé par X

Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…

21 heures ago

Microsoft propose une délocalisation hors de Chine à ses ingénieurs IA et Cloud

Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…

23 heures ago

Du « Monde » à Reddit, le point sur les partenariats data d’OpenAI

Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?

23 heures ago

Comment Younited a appliqué la GenAI au crédit conso

Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…

23 heures ago

Processeurs : les États-Unis fabriqueront 30 % des puces avancées d’ici 2032

Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…

2 jours ago