Originaire de Russie selon Microsoft, le groupe Nobelium serait responsable des attaques sur des clients de SolarWinds en 2020. Avec un niveau de confiance dit élevé, les États-Unis ont attribué les fameuses attaques au service de renseignement extérieur russe.

Dans un rapport (PDF), l'Anssi indique avoir observé plusieurs campagnes de phishing contre des entités françaises depuis février 2021, avec des marqueurs techniques qui correspondent au mode opératoire de Nobelium.

" Ces campagnes ont permis de compromettre des comptes de messagerie d'organisations françaises, et d'envoyer à partir de ces comptes des emails piégés à des institutions étrangères ", écrit le gendarme de la cybersécurité en France qui fait référence à des institutions du secteur de la diplomatie.

Tout en soulignant que la méthode d'intrusion initiale est inconnue, l'Anssi ajoute que des " organisations publiques françaises ont également été destinataires de messages piégés provenant d'institutions étrangères supposément compromises. "

Les emails de phishing contiennent une pièce jointe HTML malveillante du nom de EnvyScout pour recueillir des informations sur une victime et les exfiltrer. Via un lien, un code malveillant hébergé sur Google Drive peut aussi être exploité.

La charge utile finale déposée est un implant Cobalt Strike pour une infrastructure de commande et contrôle (C2) avec des serveurs privés virtuels chez différents hébergeurs. " Le mode opératoire semble privilégier des serveurs proches des pays ciblés. Plus particulièrement, plusieurs adresses IP de l'infrastructure C2 appartiennent à OVH ", peut-on lire dans le rapport.

cybersecurite

Des indicateurs de compromission associés aux campagnes de phishing avec le mode opératoire de Nobelium sont mis à disposition.