Cyberespionnage Nobelium : les USA saisissent deux domaines

Le par Jérôme G.  |  1 commentaire(s)
cybersecurity

Le département américain de la Justice et le FBI ont saisi deux domaines exploités par le groupe Nobelium dans le cadre d'une campagne de spear phishing. Un groupe qui serait derrière le piratage de SolarWinds avec le service de renseignement extérieur russe à la manœuvre.

Le département de la Justice des États-Unis (DOJ) annonce la saisie de deux domaines de commande et contrôle et de distribution de malwares. Ces noms de domaine ont été utilisés dans le cadre d'une campagne de cyberespionnage ayant pris pour cible des agences gouvernementales américaines, think tanks ou encore ONG.

" La saisie des deux domaines visait à empêcher les acteurs malveillants de poursuivre l'exploitation des victimes, ainsi qu'à identifier les victimes compromises. Néanmoins, les acteurs peuvent avoir déployé des accès backdoor supplémentaires entre le moment des compromissions initiales et les saisies ", écrit le DOJ.

La semaine dernière, Microsoft a donné l'alerte au sujet d'une cyberattaque dite sophistiquée par email et attribuée à un groupe dénommé Nobelium. Plus de 3 000 comptes de messagerie ont été visés dans plus de 150 organisations différentes. Principalement aux États-Unis, mais également dans au moins 24 pays.

microsoft-nobelium-email-phishing-usaid

La campagne de spear phishing a pris de l'ampleur avec Nobelium qui a eu accès au compte Constant Contant (service d'email marketing) de l'Agence des États-Unis pour le développement international (USAID ; United States Agency for International Development).

Du cyberespionnage à l'accent russe ?

Selon le Microsoft Threat Intelligence Center, Nobelium a tenté de compromettre des systèmes via un fichier HTML joint à un email de spear phishing.

" Quand il est ouvert par l'utilisateur ciblé, un JavaScript dans le HTML écrit un fichier ISO sur le disque et encourage la cible à l'ouvrir, ce qui fait que le fichier ISO est monté comme un lecteur externe ou réseau. À partir de là, un fichier de raccourci (LNK) exécute une DLL associée, ce qui entraîne l'exécution de Cobalt Strike Beacon sur le système (ndlr : un outil de test d'intrusion). "

microsoft-nobelium

L'outil sert à maintenir une présence persistante, voire pour déployer des malwares. Le département américain de la justice - qui a travaillé avec le FBI - évoque des communications de commande et contrôle via des sous-domaines de theyardservice[.]com et le domaine worldhomeoutlet[.]com qui ont donc été saisis.

D'après Microsoft, le groupe Nobelium est originaire de Russie. Il s'agirait du même groupe derrière les attaques sur des clients de SolarWinds en 2020. Avec un niveau de confiance élevé, les États-Unis ont attribué ces attaques au service de renseignement extérieur russe (SVR).

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
Ulysse2K away Absent VIP icone 50662 points
Le #2132646
"le service de renseignement extérieur russe à la manœuvre. " ... Ha, ça faisait quelques semaines qu'on avait plus cassé du sucre sur leur dos.

C'est quand même marrant que la France ou d'autres états européens ne sont jamais concernés. Soit on est des exemples de déontologie, soit de vraies croûtes dans le domaine du hacking

Bon ben, en juillet on remettra le couvert sur le dos des chinois. A chacun son tour... Comme au confessionnal
icone Suivre les commentaires
Poster un commentaire