Winter Vivern est un APT notable, mais relativement peu connu - initialement rendu public au début de l’année 2021 - qui opère avec des objectifs pro-russes. SentinelLabs a étudié le modus operandi de ce groupe et ses recherches ont permis de découvrir un ensemble de campagnes d’espionnage et d’activités de ciblage jusqu’alors inconnues, menées par cet acteur de la menace. Il emploie diverses tactiques, telles que l’hameçonnage de sites web et d’informations d’identification et le déploiement de documents malveillants, souvent élaborés à partir de documents gouvernementaux authentiques accessibles au public ou adaptés à des thèmes spécifiques.

Winter Vivern, dont les opérations d’espionnage ont été évoquées dans cette enquête, a réussi à mener à bien ses attaques en utilisant des techniques et des outils simples mais efficaces. Sa capacité à attirer des cibles dans ses attaques et à viser des gouvernements et des entreprises privées de grande valeur démontre le niveau de sophistication et l’intention stratégique de ses opérations et souligne la nécessité d’une vigilance accrue, ces opérations portant sur des cibles mondiales directement et indirectement impliquées dans la guerre. L’ensemble dynamique des TTP et leur capacité à échapper à l’attention du public ont fait d’eux une force redoutable dans le domaine cybernétique.

WIP26 est un nouveau groupe de hackers ciblant des fournisseurs de télécommunications au Moyen-Orient, qui s’appuie sur l’infrastructure du cloud public pour tenter d’échapper à la détection, en faisant passer le trafic malveillant pour légitime. WIP26 utilise abusivement l’infrastructure du Cloud public - Microsoft 365 Mail, Microsoft Azure, Google Firebase et Dropbox - pour l’hébergement de malwares, le vol de données et à des fins de C2 (infrastructure commande et contrôle). Activé par l’envoi ciblé de messages WhatsApp aux employés, contenant des liens Dropbox vers un chargeur de malwares, WIP26 utilise des backdoors, appelées CMD365 et CMDEmber, qui exploitent les services Microsoft 365 Mail et Google Firebase à des fins de C2. Elles exécutent des commandes système fournies par l’attaquant, à l’aide de l’interpréteur de commandes Windows.
SentinelLabs présume que cette activité, ciblant des fournisseurs de télécommunication détenant des données sensibles, soit liée à l’espionnage. L’utilisation de l’infrastructure du Cloud public par les groupes APT est la preuve que les acteurs de la menace continuent d’innover afin de passer sous les lignes de surveillance et de contourner les méthodes et outils de sécurité.

IceFire, connu pour s’attaquer aux serveurs Windows, s’en prend désormais aux environnements Linux. Les équipes de SentinelLabs viennent, en effet, de constater que ce ransomware avait élargi son champ d’action pour cibler les réseaux d’entreprise Linux appartenant à plusieurs organisations du secteur des médias et du divertissement à travers le monde. Les observations actuelles indiquent que cette variante Linux a exploité la faille de sécurité CVE-2022-47986, située dans le système de transfert de fichiers IBM Aspera Faspex.
Ce changement stratégique est une étape importante puisque IceFire adopte le cheminement d’illustres groupes de rançongiciels ciblant également les systèmes Linux (BlackBasta, Hive, Qilin, Vice Spciety aka HelloKitty… ) et confirme que cette tendance continuera à se renforcer en 2023.