Actualités

APT31 : campagne de phishing en Février 2022 visant les courriels Gmail en rapport avec le Gouvernement des Etats-Unis !

Depuis le 8 Mars 2022, un membre de l’équipe Google TAG (Threat Analysis Group) partage les dernières actions ou tentatives d’actions relatives aux cyber-attaquant du groupe APT31 (alias Zirconium, Judgment Panda, Red Keres ou encore Bronze Vinewood) ; dernière incursion sécuritaire en date : une campagne de phishing visant les mails d’utilisateurs en rapport avec le gouvernement américain.

 

 

En février, nous avons détecté une campagne de phishing APT31 ciblant des utilisateurs de haut niveau de Gmail affiliés au gouvernement américain. 100% de ces e-mails ont été automatiquement classés comme spam et bloqués par Gmail […] Aujourd’hui, nous avons envoyé aux personnes ciblées des avertissements d’attaquants soutenus par le gouvernement. Nous n’avons aucune preuve suggérant que cette campagne était liée à la guerre actuelle en Ukraine […] cette campagne ne reflète qu’une partie de l’activité incluse dans ce lot d’avertissements” est-il succinctement tweeté sur cette affaire.

Du reste et en relation, cette fois, avec le conflit russio-ukrainien actuel, il est rappelé les dernières mises en lumière ou éléments de preuve en la matière, rien que pour les 12 derniers mois et selon les propos de Google :

  • APT28 (alias FancyBear) : multiples campagnes de phishing visant des sites Web en Ukraine (ukr.net – entreprise dans le média) via des liens vérolés instillés dans des courriels Gmail. Dans, au moins, deux campagnes de phishing, des domaines sous BlogSpot étaient exploités pour re-diriger vers le site miroir (non-légitime) pour ex-filtrer les identifiants de la victime ;
  • UNC1151 (alias Ghostwriter) : multiples campagnes de phishing visant des sites Web en Ukraine et en Pologne durant “les dernières semaines“, en plus de nombreux courriels Gmail ciblés pour ex-filtrer les identifiants des victimes ;
  • Mustang Panda (alias Temp.Hex) : également des campagnes de phishing visant, cette fois, les contrées européennes via une PJ recelant (sous la forme d’un ZIP) un exécutable malicieux. De nombreux outils sont imbriqués avant de délivrer la charge finale.

 

 

Depuis le Janvier 2021 et uniquement pour l’hexagone, APT31 impactait les routeurs pour les détourner en tant que “relais”, selon les investigations du CERT-FR avec, au 21 Juillet 2021, l’indication que ces détournements n’étaient plus priorisés par les cyber-attaquants après la présence de compromissions, en Juillet 2021.

Délivrés depuis le 15 Décembre 2021 par l’ANSSI, les rapports sécuritaires autour de cette cyber-attaque révèlent un mode opératoire assez avancé ou complexe, notamment via l’installation d’une porte dérobée “sophistiquée” pour l’inter-communication (peer-to-peer – TLS) routeurs. Nommée Pakdoor par l’ANSSI (vraisemblablement nouvelle), elle renforce l’anonymisation ou étendue de la viralité de cette cyber-attaque en exploitant Cobalt Strike (Beacon) avec, en finalité, tout un tas d’exécution. Elle intègre, au moins depuis 2019 en terme d’instillation-exploit, un exécutable ELF sous langage C, un script Bash et une “configuration chiffrée” pour les communications-routeurs (pairs actifs avec, au maximum, 10 nœuds) :

  • Accès-système,
  • Exécution-système (WMI, notamment ou encore les accès-comptes depuis le Cloud…),
  • Cyber-attaques persistantes (mails Exchange, comptes en local-distant, Hijack…),
  • Elévation-privilèges,
  • Masquage de l’activité malveillante pour passer inaperçu,
  • Accès-identifiants,
  • Mouvements latéraux,
  • Collections-données,
  • Serveur command-and-control,
  • Ex-filtration de données multiple.

 

Outils exploités par APT31 dans le cadre de cette cyber-attaque :

 

  • WinRAR,
  • Active Directory Explorer,
  • Metasploit,
  • RCMD,
  • Juicy Potato,
  • Cobalt Strike.

 

APT31 n’en est pas à son premier coup d’éclat avec, notamment et au moins depuis 2017, les exploits DDos EpMe Jian qui avaient été découverts (et comblés) sous fond d’affaire ou de divulgation impulsée par le groupe Equation… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6