This report profiles the unique infrastructure used by Russian state-sponsored threat activity group NOBELIUM. The activity was identified through a combination of large-scale automated network traffic analytics and analysis derived from open source reporting. Data sources include the Recorded Future Platform, SecurityTrails, DomainTools, PolySwarm, Farsight, Shodan, Censys, Team Cymru’s Pure Signal™ and other common open-source tools and techniques. The report will be of most interest to individuals engaged in strategic and operational intelligence relating to the activities of the Russian government in cyberspace and network defenders. Some technical details from our original research have not been included in this report version in order to protect tracking techniques and ongoing research into NOBELIUM activity.

Executive Summary

Recorded Future’s Insikt Group continues to monitor Russian state-sponsored cyber espionage operations targeting government and private sector organizations across multiple geographic regions. From mid-2021 onwards, Recorded Future’s midpoint collection revealed a steady rise in the use of NOBELIUM infrastructure tracked by Insikt Group as SOLARDEFLECTION, which encompasses command and control (C2) infrastructure. In this report, we highlight trends observed by Insikt Group while monitoring SOLARDEFLECTION infrastructure and the recurring use of typosquat domains by its operators.

A key factor we have observed from NOBELIUM operators involved in threat activity is a reliance on domains that emulate other brands (some legitimate and some that are likely fictitious businesses). Domain registrations and typosquats can enable spearphishing campaigns or redirects that pose a threat to victim networks and brands.

Using a combination of proactive adversary infrastructure detections, domain analysis techniques, and Recorded Future Network Traffic Analysis, we have determined that NOBELIUM’s use of SOLARDEFLECTION infrastructure overlaps with other common infrastructure tactics, techniques, and procedures (TTPs) previously attributed to the group by multiple organizations including Microsoft, Fortinet, Sekoia, and Volexity. Previous open source reporting also highlighted NOBELIUM’s use of cracked versions of the Cobalt Strike penetration testing tool.

Key Judgments

• Insikt Group is confident that the identified SOLARDEFLECTION infrastructure can be attributed to the threat activity group publicly reported as NOBELIUM; this confidence is based on the use of overlapping network infrastructure previously attributed to NOBELIUM in public reporting, as well as unique variations of Cobalt Strike traditionally used by the group.
• Broader themes in SOLARDEFLECTION C2 typosquats have included the misuse of brands across multiple industry verticals, particularly in the news and media industries.
• Cobalt Strike servers related to SOLARDEFLECTION monitoring that were also previously linked to NOBELIUM activity used modified server configurations, likely in an attempt to remain undetected from researchers actively scanning for standard Cobalt Strike server features.
• NOBELIUM has made extensive use of typosquat domains in SSL certificates and will likely continue to use deceptive techniques, including typosquat redirection, when using Cobalt Strike tooling.

Background

L'analyse des domaines récents et historiques attribués à NOBELIUM démontre clairement que le groupe connaît bien divers fournisseurs de médias, d'actualités et de technologies et qu'il a tendance à les imiter. Le groupe a exploité la résolution DNS dynamique pour créer et résoudre des sous-domaines générés de manière aléatoire pour ses C2 ou ses domaines racines afin de tromper les victimes. L'aspect essentiel de ces attaques réside dans l'utilisation d'adresses électroniques ou d'URL qui ressemblent à celles d'une organisation légitime. Les enregistrements de domaines potentiellement dangereux et les typosquats peuvent permettre des campagnes de spearphishing ou des redirections qui présentent un risque élevé pour la marque ou les employés d'une entreprise. La réussite d'une attaque par hameçonnage dépend de plusieurs facteurs, tels que la qualité du message, la crédibilité de l'adresse de l'expéditeur et, dans le cas d'une URL de redirection, la crédibilité du nom de domaine. Insikt Group a déjà observé d'autres groupes russes utilisant le typosquatting pour soutenir leurs opérations, notamment celles visant les élections présidentielles de 2020, afin de renforcer la confiance dans la validité du portail de connexion frauduleux utilisé pour collecter les identifiants des victimes. Cette tactique a également été signalée récemment dans des sources ouvertes en lien avec des intrusions visant des entités en Ukraine, probablement dans le cadre du soutien à l'invasion de ce pays par la Russie.

Insikt Group estime que NOBELIUM est un groupe d'activités malveillantes opérant conformément aux objectifs du Service des renseignements extérieurs de la Fédération de Russie (SVR). Le SVR est chargé de fournir au président de la Fédération de Russie, à l'Assemblée fédérale et au gouvernement les renseignements nécessaires à la prise de décisions dans les domaines de la politique, de l'économie, de la stratégie militaire, de la stratégie scientifique et technique et de l'environnement. Le SVR russe se définit comme une entité distincte, permettant au Direction principale du renseignement militaire (GRU) de se concentrer sur les opérations de renseignement militaire, tandis que le SVR se concentre sur le renseignement politique ; il s'agit toutefois d'une vision très générale de ces opérations. Le SVR mène ses activités en recueillant des informations par des moyens publics et privés, dans le but de rassembler des informations stratégiques auprès d'organisations et d'individus qui, à leur tour, influencent les responsables politiques et les décideurs stratégiques dans les pays ciblés.

En 2021, Volexity a publié une étude décrivant une opération de phishing présumée menée par APT29 qui ciblait des organisations non gouvernementales (ONG), des instituts de recherche, des gouvernements et des organismes internationaux à l'aide d'appâts sur le thème de la fraude électorale prétendant provenir de l'Agence des États-Unis pour le développement international (USAID), une agence gouvernementale. Le même jour, Microsoft a également publié une étude sur les TTP plus larges utilisés dans la même campagne et a attribué cette activité à NOBELIUM, le groupe à l'origine des intrusions chez SolarWinds. Cette campagne a ciblé des entités diplomatiques et gouvernementales sensibles dès février 2021. Ils estiment que l'auteur de la menace a utilisé ces informations pour lancer d'autres attaques très ciblées dans le cadre d'une campagne plus large. Des recherches supplémentaires ont confirmé qu'un ensemble d'infrastructures surveillées par Insikt Group sous la désignation SOLARDEFLECTION depuis 2021 correspond aux informations précédemment communiquées. Les détections continues au sein du flux de sécurité Recorded Future Command and Control ont permis de confirmer l'enregistrement de nouveaux domaines typosquatteurs liés aux opérations NOBELIUM. Plus particulièrement, nous avons confirmé que plusieurs typosquats récemment identifiés continuent d'adopter les conventions de dénomination ou les thèmes qui avaient été signalés dès 2020 comme étant susceptibles d'être associés aux rapports NOBELIUM.

The Recorded Future Platform automatically detects typosquatted domains; each newly created domain entity is evaluated for typosquatting-style similarity to other domains observed by Recorded Future. An example of this is the SOLARDEFLECTION typosquat displayed in Figure 1, which based on the domain’s spelling was very likely an attempt by NOBELIUM operators to emulate the T-Mobile brand. A review of the frequency in which SOLARDEFLECTION domains were registered over the past two years confirmed NOBELIUM’s tendency to register domains in cycles, occasionally taking short hiatuses which at times likely coincided with new open source reporting attributing several domains to NOBELIUM activity (as depicted within the Recorded Future timeline below).

Insikt Group proactively detects SOLARDEFLECTION infrastructure through an in-depth understanding of the infrastructure TTPs that the group employs (detailed further below within the Infrastructure TTPs section). Additionally, the Command and Control data set enables us to enrich and identify any SOLARDEFLECTION IPs that we have categorized as “positive C2”. We then analyze network communications to investigate how the C2 is interacting with infected machines or how it is being administered by the adversary. SOLARDEFLECTION C2s can be reviewed from within the Recorded Future Platform’s Command and Control data set.

Note de la rédaction : Le message suivant est un extrait d'un rapport complet. Pour lire l'analyse complète, click here to download the report as a PDF.