Sednit modernise ses outils et vise l'Ukraine — APT28 Sednit réactive ses outils avec une approche à double implant pour viser l'Ukraine et durer dans la durée. Sednit, alias APT28, refait parler de lui alors que les chercheurs d'ESET révèlent une relance d'activité soigneusement orchestrée.
Sednit, alias APT28, refait parler de lui alors que les chercheurs d'ESET révèlent une relance d'activité soigneusement orchestrée. La bande modernise sa boîte à outils et déploie deux implants complémentaires, BeardShell et Covenant, chacun s'appuyant sur un fournisseur cloud distinct pour accroître la résilience et la persistance de ses opérations. Cette évolution témoigne d'une approche plus sophistiquée, visant à prolonger la surveillance sur des cibles sensibles, notamment en Ukraine.
Une architecture à double implant pour plus de résilience
Par le biais de BeardShell et Covenant, Sednit dispose désormais de deux vecteurs d'intrusion et de contrôle, qui agissent de manière complémentaire. BeardShell agit comme une shell d'accès persistant, capable de contourner certaines détections par la transformation du trafic et du comportement, tandis que Covenant, plateforme C2 open-source, assure la communication entre les implants et les opérateurs. Chaque composant est relié à un cloud distinct, ce qui complique les corrélations et augmente les chances de survie en cas d'intervention sur un service cloud unique.
Cette séparation cloud aide à résister à des mesures de reconfiguration et de nettoyage périphérique ; les opérateurs peuvent basculer entre les deux charges utiles si l'une est détectée.
Ce que cela change pour la défense et les risques
Cette réinvention incite les équipes de cybersécurité et les défenses à repenser la détection des activités de Sednit. En s'appuyant sur deux implants avec des canaux cloud distincts, le groupe peut masquer ses communications et varier les vecteurs d'intrusion selon les cibles, compliquant les corrélations. Pour les équipes ukrainiennes et leurs partenaires, cela signifie une surveillance plus large du trafic sortant et des ressources cloud associées, ainsi qu'une attention accrue aux payloads qui peuvent se présenter sous des formes variées.
- Réseaux et cloud : surveiller les communications entre implants et services cloud.
- Indicateurs de compromission : chercher des artefacts liés à BeardShell et Covenant et des chaînes de téléchargement inhabituelles.
- Techniques de détection : déployer des scénarios basés sur le comportement et la corrélation entre plusieurs points d'intrusion.
Contexte et limites
Si Sednit a choisi d'orchestrer une telle architecture, cela n'implique pas que toutes les opérations aient été menées à travers les mêmes clouds ou que l'intégralité des cibles ukrainiennes soit touchée. Les détails exacts sur les fournisseurs cloud ou les payloads restent partiels, mais l'orientation est claire : les groupes d'attaque intègrent des outils plus modulaires et des mécanismes de persistance plus résilients, tirant parti des environnements cloud pour masquer les activités et réduire les risques de détection.
Pour terminer
En résumé, Sednit montre une capacité d'adaptation notable en renouvelant ses outils et en diversifiant ses canaux de communication. Pour les défenseurs, cela confirme l'impératif d'observer les interconnexions entre les implants et les services cloud et de renforcer les contrôles autour des couches d'accès et des flux C2. Le risque demeure élevé en Ukraine, mais la même logique peut influencer d'autres régions et secteurs ciblés à l'avenir.
