Ce billet de blog sur l’acteur de la menace CALISTO est un extrait d’un rapport FLINT (SEKOIA.IO Flash Intelligence) envoyé à nos clients le 16 juin 2022.
Le 30 mars 2022, Google TAG a publié plusieurs IOC liés à CALISTO. Il s’agit d’un acteur menaçant en lien avec la Russie. Il est également connu sous le nom de COLDRIVER qui ciblait plusieurs ONG occidentales, des groupes de réflexion et le secteur de la défense par le passé. Selon Google TAG, les opérateurs ont utilisé des comptes Gmail fraîchement créés pour mener une campagne de spear-phishing.
Sur la base des conclusions réalisées par Google TAG, CALISTO a utilisé de faux documents hébergés sur Google Docs ainsi que sur le lecteur Microsoft One, pour inciter ses victimes à cliquer sur un lien menant à un domaine de phishing, prétendant afficher le contenu du document.
La tactique consiste à utiliser un service légitime comme proxy pour le phishing d’informations d’identification, cela vise à contourner les contrôles des passerelles de messagerie de la victime car l’e-mail lui-même ne contient plus de lien malveillant.
De plus, TAG a découvert que le 21 avril 2022, un nouveau site Web nommé « Very English Coop d’Etat » a fait surface. Ce site Web aurait pour but de révéler un complot lié au Brexit. Cependant, comme mentionné par chercheur en sécurité Costin Raiu sur Twitter, au moins un document divulgué semble être un faux des attaquants. Basée sur le design, la méthode et les captures d’écran à effet de levier, cette activité rappelle les campagnes « Hack and Leak » opérées entre 2015 et 2019 et associées à Russie– intrusion de nexus ensembles SOFACY et HADES.
Même si le nouveau site rappelle les anciens de SOFACY, Google TAG a déclaré dans une interview à Reuters avoir été en mesure de « lier techniquement ce site Web aux opérations de CALISTO », sans mentionner les détails techniques menant à cette attribution. À ce jour, alors que des liens faibles peuvent être établis entre les anciens TTP des cyberopérations associées au GRU et cette activité documentée, SEKOIA.IO s’abstient d’associer les opérations de CALISTO aux services de renseignement et de sécurité russes.
Analyse de l’infrastructure de CALISTO
Suite à ces deux publications, SEKOIA a enquêté sur les domaines de phishing de Calisto afin de protéger nos clients. CALISTO utilise Evilginx sur son VPS pour capturer les identifiants de la victime. Cet outil open source bien connu crée un proxy inverse SSL entre la victime et un site Web légitime pour capturer les informations d’identification Web, les jetons 2FA…
Il convient de mentionner que les opérateurs CALISTO viennent de suivre le Github README du projet EvilGinx, créant une redirection par défaut pour certains d’entre eux. leur VPS à la vidéo Youtube Rick’roll. Des serveurs supplémentaires redirigent vers la page d’accueil du New York Times, ces deux OPSEC échouent nous permettant de trouver plus de serveurs facilement.
En creusant plus profondément, un domaine de phishing (file-milgov[.]systems) ciblant le MOD ukrainien a attiré notre attention. Contrairement aux domaines CALISTO précédents, celui-ci utilise une page Web écrite en PHP pour capturer les informations d’identification. Il convient de mentionner que ce domaine a également été capturé par Trellix dans leur article « Growling Bears Make Thunderous Noise » sans attribution.
Bien qu’il ne corresponde pas à notre heuristique Evilginx, il a été exploité dans la même plage de réseau que plusieurs domaines CALISTO au cours de la même période. Par conséquent, il est probable que ce domaine soit associé à une opération de harponnage de CALISTO, le lien étant déterminé avec un faible degré de confiance.
À ce jour, SEKOIA.IO a été en mesure de relier 24 domaines uniques exploitant Evilginx liés aux opérations de CALISTO avec une confiance moyenne à élevée.
IOCs de CALISTO
Noms de domaine
Veuillez liste noire ces domaines et les FQDN associés
documents-cloud[.]com cache-docs[.]com protect-link[.]online docs-shared[.]com documents-cloud[.]online drive-share[.]live hypertextteches[.]com proton-docs[.]com docs-drive[.]online cloud-docs[.]com drive-docs[.]com file-milgov[.]systems cache-dns[.]com office-protection[.]online proton-view[.]online pdf-shared[.]online proton-viewer[.]com protectionmail[.]online pdf-docs[.]online documents-pdf[.]online docs-cache[.]com pdf-cloud[.]online docs-info[.]com protection-office[.]live
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !
Lire aussi :