Le groupe de cyberespionnage russe connu sous le nom d’APT29 et Cozy Bear continue de diffuser activement un malware nommé WellMess, malgré le fait que le malware a été exposé et détaillé l’année dernière par les gouvernements occidentaux.

WellMess, également connu sous le nom de WellMail, est un logiciel malveillant léger qui permet à ses opérateurs d’exécuter des commandes shell, ainsi que de télécharger et de télécharger des fichiers sur le système compromis.

Le malware a été décrit pour la première fois en 2018 lorsqu’il a été repéré dans des attaques visant des organisations japonaises, mais à l’époque il n’était pas lié à un acteur de menace spécifique.

WellMess a été attribué à l’APT29 de la Russie en 2020, lorsque les États-Unis, le Royaume-Uni et le Canada ont déclaré qu’il avait été utilisé par des pirates informatiques russes dans des attaques visant des instituts de recherche universitaires et pharmaceutiques impliqués dans le développement d’un vaccin COVID-19.

Le malware a de nouveau été mentionné cette année, lorsque des agences aux États-Unis et au Royaume-Uni ont publié un rapport décrivant les activités d’APT29, qui serait également à l’origine de l’attaque contre la société de gestion informatique SolarWinds.

WellMess a été mentionné dans le rapport parce que – apparemment en réponse à l’exposition de leur opération ciblant les fabricants de vaccins – les pirates ont commencé à utiliser un cadre de simulation d’adversaire open source nommé Sliver pour maintenir l’accès aux victimes WellMess existantes.

Le malware WellMess a été utilisé dans des attaques très ciblées, et bien qu’il ait été exposé par des gouvernements et des entreprises de cybersécurité, APT29 l’utilise apparemment toujours dans des attaques.

RiskIQ, la société de renseignement sur les menaces récemment acquise par Microsoft, a découvert plus de 30 serveurs de commande et de contrôle (C&C) qui ont été activement utilisés par APT29 pour diffuser le malware WellMess.

Alors que la société est convaincue que les serveurs appartiennent à APT29 et qu’ils sont toujours activement utilisés pour diffuser le malware, elle ne dispose pas de suffisamment d’informations pour déterminer comment l’infrastructure est…