CTI & OSINT

CTI – APT29

by  • 

Je vous propose cette synthèse factuelle sur APT29 . J’emploie la dénomination « APT29 », également connue sous les alias Cozy Bear, The Dukes, NOBELIUM et, dans la taxonomie Microsoft, Midnight Blizzard. L’attribution publique dominante rattache ce groupe au Service de renseignement extérieur de la Fédération de Russie (SVR). Cette identité multiple résulte des différents schémas de nommage employés par les éditeurs et les agences.

Objectifs et ciblage

J’observe un objectif prioritairement espionnage : administrations, missions diplomatiques, think tanks, fournisseurs IT/Cloud et opérateurs de la chaîne d’approvisionnement. Le groupe a aussi visé la recherche biomédicale pendant la pandémie de COVID-19. Cette orientation sectorielle est récurrente depuis une décennie.

Repères historiques condensés

  • 2014–2016 : campagnes « Dukes » contre institutions gouvernementales et ONG, avec un outillage maison (MiniDuke/SeaDuke/CozyDuke) et du spearphishing soigné.
  • 2020 : compromission de la chaîne d’approvisionnement SolarWinds (SUNBURST/UNC2452), suivie d’abus d’AD FS et de jetons SAML forgés pour accéder à des ressources Cloud.
  • 2020 : ciblage de la R&D vaccinale via les malwares WellMess/WellMail.
  • 2023 : opérations de social engineering via Microsoft Teams pour contourner l’authentification multifacteur.
  • 2024 : campagne de password spray à large échelle et accès aux emails internes de Microsoft, avec persistance via applications OAuth et identités Cloud.

Tactiques, techniques et procédures (TTP)

Accès initial. J’identifie plusieurs voies : spearphishing ciblé (liens/pièces jointes), password spray/credential stuffing, détournement de flux Teams, et compromission de fournisseurs pour effet « cascade ». Dans les environnements Cloud, l’acteur privilégie la création/abus d’applications OAuth et de service principals pour obtenir des tokens et contourner l’authentification interactive.

Persistance et élévation. En milieu hybride, l’acteur a démontré la capacité à forger des assertions SAML après compromission d’AD FS (scénario SolarWinds) et à maintenir l’accès via secrets d’applications, consentements OAuth et actualisation de tokens.

Mouvement latéral et collecte. Les opérations privilégient des techniques « living-off-the-land », l’usage d’API/Services Cloud (messagerie, stockage) et la recherche d’archives de messagerie/correspondances diplomatiques. L’exfiltration exploite des canaux chiffrés et des infrastructures légitimes afin de réduire la détection.

Outillage. Historiquement, j’observe des familles CozyDuke/MiniDuke/SeaDuke, puis WellMess/WellMail en 2020. Depuis SolarWinds, la tendance documentée est d’emprunter les mécanismes natifs des plateformes (identité/Cloud), ce qui réduit l’empreinte malicielle dédiée.

Sources (FR)

  1. MITRE ATT&CK — APT29 (G0016) — https://attack.mitre.org/groups/G0016/
  2. Microsoft Learn — How Microsoft names threat actors (Midnight Blizzard = APT29/Cozy Bear/NOBELIUM/UNC2452) — https://learn.microsoft.com/en-us/unified-secops/microsoft-threat-actor-naming
  3. Microsoft Security Blog — Midnight Blizzard conducts password spray attack and gains access to internal emails (19 janv. 2024) — https://www.microsoft.com/en-us/security/blog/2024/01/19/midnight-blizzard-conducts-password-spray-attack-gains-access-to-internal-emails/
  4. NCSC (UK) — Advisory: APT29 targets COVID-19 vaccine development (2020) — https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development
  5. Microsoft Security Blog — Midnight Blizzard: social engineering via Microsoft Teams (12 juil. 2023) — https://www.microsoft.com/en-us/security/blog/2023/07/12/social-engineering-campaigns-use-new-techniques-to-impersonate-trusted-entities/
  6. CISA/NCSC/NSA — SVR Cyber Actors Adapt Tactics for Initial Cloud Access (AA24-057A) — https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-057a
  7. Microsoft Security — Microsoft investigates malicious SolarWinds activity (Solorigate) — SAML/ADFS abuse (2021, deep-dive) — https://www.microsoft.com/en-us/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-solorigate-to-sunshuttle/