Les enquêtes multi-fournisseurs en cours sur le méga-piratage de Solarwinds ont pris une autre tournure cette semaine avec la découverte de nouveaux artefacts malveillants qui pourraient être utilisés dans de futures attaques de la chaîne d’approvisionnement.

Selon un nouveau rapport de la société anti-malware SentinelOne, la dernière vague d’attaques attribuée à l’acteur de la menace APT29/Nobelium comprend un téléchargeur personnalisé qui fait partie d’un « installateur de mise à jour empoisonné » pour les clés électroniques utilisées par le gouvernement ukrainien.

Juan Andrés Guerrero-Saade, chercheur principal sur les menaces de SentinelOne, a documenté la dernière découverte dans un article de blog qui fait avancer les enquêtes précédentes de Microsoft et Volexity. « A cette époque, les moyens de distribution [for the poisoned update installer] sont inconnus. Il est possible que ces archives de mise à jour soient utilisées dans le cadre d’une attaque de chaîne d’approvisionnement spécifique à une région », a déclaré Guerrero-Saade.

[[VOIR: Les pirates ont ciblé SolarWinds plus tôt que prévu ]

Guerrero-Saade a déclaré que la dernière itération de l’activité de malware liée à Nobelium utilise une chaîne d’infection alambiquée à plusieurs étapes qui s’étend sur cinq à six couches de profondeur. Cela inclut l’utilisation de téléchargeurs « DLL_stageless », appelés NativeZone, qui sert d’installateur de mise à jour piégé pour une clé intelligente cryptographique ukrainienne utilisée dans les opérations gouvernementales.

L’analyse de Guerrero-Saade de la campagne a révélé que la charge utile Cobalt Strike Beacon servait de « détecteur précoce » qui permet la distribution sélective de charges utiles uniques directement dans la mémoire. « Après des années d’itérations brûlées sur des boîtes à outils personnalisées, [this APT] a opté pour maximiser le retour sur investissement en réduisant simplement son investissement initial.

«Nous nous arrêtons de parler de cela comme une attaque de la chaîne d’approvisionnement car nous manquons de visibilité sur ses moyens de distribution. L’installateur empoisonné peut être livré directement aux victimes concernées qui comptent sur cette solution régionale. Alternativement, le…

Voir la source de cette publication