Le Microsoft Threat Intelligence Center (MSTIC) a découvert une nouvelle cyberattaque d'ampleur et particulièrement sophistiquée, qu'elle observe depuis janvier dernier. Intitulée Nobelium, elle émanerait du groupe originaire de Russie qui avait déjà initié les précédentes attaques contre SolarWinds, la porte dérobée Sunburst, ou encore les logiciels malveillants Teardrop et GoldMax, entre autres.

Le 25 mai dernier, la campagne s'est intensifiée lorsque Nobelium a exploité le service de messagerie marketing de masse Constant Contact pour se faire passer pour l'U.S. Agency for International Development (USAID) et distribuer des URL malveillantes à environ 3 000 comptes individuels dans plus de 150 organismes américains gouvernementaux, militaires, think tanks, ONG, prestataires de services informatiques, de télécommunications, de recherche et de santé.

Microsoft a par ailleurs constaté que les victimes ciblées couvrent au moins 24 pays, et qu'au moins un quart des organisations ciblées étaient impliquées dans le développement international, l'action humanitaire et les droits de l'homme.  

MSTIC a observé que Nobelium tentait de compromettre les systèmes via un fichier HTML joint à un e-mail de spear-phishing. Lorsqu'il est ouvert par l'utilisateur ciblé, un JavaScript dans le HTML écrit un fichier ISO sur le disque et encourage la cible à l'ouvrir, entraînant son montage comme lecteur externe ou réseau. Un fichier de raccourci (LNK) exécute alors une DLL d'accompagnement, qui exécute à son tour Cobalt Strike Beacon sur le système.

Dans un second billet, le MSTIC revient plus en détails sur quatre des outils utilisés dans la chaîne d'infection : EnvyScout, BoomBox, NativeZone et VaporRage.