SolarWinds : les espions russes avaient aussi ciblé des entités françaises
Le 07 décembre 2021 à 08h46
2 min
Internet
Internet
L'Anssi a observé plusieurs campagnes d’hameçonnage contre des entités françaises depuis février 2021, dont les marqueurs techniques correspondent au mode opératoire de Nobelium, le groupe auquel est attribué la retentissante affaire SolarWinds aux États-Unis l'an dernier, rapporte l'AFP.
« Ces campagnes ont permis de compromettre des comptes de messagerie d’organisations françaises, et d’envoyer à partir de ces comptes des courriels piégés à des institutions étrangères du secteur de la diplomatie », précise son rapport. « Par ailleurs, des organisations publiques françaises ont également été destinataires de messages piégés provenant d’institutions étrangères supposément compromises ».
Ces activités malveillantes sont le fait d’un même mode opératoire d’attaquants (MOA), qui compromet des comptes de messagerie d’entités de confiance pour envoyer ses courriels d’hameçonnage.
Dans ces derniers se trouve une pièce-jointe HTML, nommée « EnvyScout », contenant un lien Google Drive que l’utilisateur devait ouvrir pour télécharger le code malveillant et exécuter la charge Cobalt Strike.
L'infrastructure utilisée par Nobelium dans les attaques contre des entités françaises a été principalement mise en place à l'aide de serveurs privés virtuels (VPS) de différents hébergeurs (privilégiant les serveurs d'OVH et situés à proximité des pays ciblés), précise Bleeping Computer.
Le rapport de l'ANSSI détaille les informations techniques liées aux campagnes d’hameçonnage, la nature des activités malveillantes observées, les TTP et l’infrastructure des attaquants.
Des recommandations et indicateurs de compromission sont disponibles à la fin du document, recommandant de « ne pas éxécuter des fichiers douteux », et d'« appliquer des mesures de sécurité renforcée » aux serveurs d'Active Directory.
Le 07 décembre 2021 à 08h46
Commentaires (3)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/12/2021 à 14h38
Tiens c’est curieux, je pensais que les adresse mails expéditeurs pouvaient être facilement falsifier (SMTP powa) pourquoi donc s’embêter a compromettre des comptes de messagerie avant de faire du fishing?
Le 07/12/2021 à 16h05
Il y a des systèmes comme le SPF, DKIM, DMARK qui permettent de limiter la falsification, du coup c’est mieux de compromettre un compte de messagerie.
Le 07/12/2021 à 20h43
Et puis quand tu arrives a réutiliser une conversation entre ta future victime et le compte compromis c’est d’une efficacité redoutable…