Les d\u00e9tails d’une nouvelle campagne de phishing parrain\u00e9e par l’\u00c9tat-nation ont \u00e9t\u00e9 d\u00e9couverts, visant des entit\u00e9s gouvernementales europ\u00e9ennes dans ce qui est consid\u00e9r\u00e9 comme une tentative d’obtenir des renseignements sur les mouvements de r\u00e9fugi\u00e9s et d’approvisionnement dans la r\u00e9gion.<\/p>\n
La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d’entreprise Proofpoint, qui a d\u00e9tect\u00e9 les e-mails malveillants pour la premi\u00e8re fois le 24 f\u00e9vrier 2022, a surnomm\u00e9 les attaques d’ing\u00e9nierie sociale “Embuscade d’asile<\/strong>.”<\/p>\n “L’e-mail comprenait une pi\u00e8ce jointe macro malveillante qui utilisait des th\u00e8mes d’ing\u00e9nierie sociale relatifs \u00e0 la r\u00e9union d’urgence du Conseil de s\u00e9curit\u00e9 de l’OTAN tenue le 23 f\u00e9vrier 2022”, ont d\u00e9clar\u00e9 les chercheurs Michael Raggi et Zydeca Cass. mentionn\u00e9<\/a> dans un rapport publi\u00e9 mardi.<\/p>\n “L’e-mail contenait \u00e9galement une pi\u00e8ce jointe malveillante qui tentait de t\u00e9l\u00e9charger un logiciel malveillant Lua nomm\u00e9 SunSeed et ciblait le personnel du gouvernement europ\u00e9en charg\u00e9 de g\u00e9rer les transports et les mouvements de population en Europe.”<\/p>\n Les conclusions s’appuient sur une consultatif<\/a> publi\u00e9 par le Service d’\u00c9tat de protection sp\u00e9ciale des communications et de l’information de l’Ukraine (DSSZZI), qui a mis en garde la semaine derni\u00e8re contre les messages de phishing ciblant son personnel militaire avec des pi\u00e8ces jointes ZIP dans le but de voler des informations personnelles sensibles.<\/p>\n Proofpoint a refus\u00e9 d’attribuer la campagne nouvellement observ\u00e9e \u00e0 un acteur de menace sp\u00e9cifique, mais a not\u00e9 que les chevauchements dans la chronologie des deux s\u00e9ries d’attaques, les leurres de phishing utilis\u00e9s et les sch\u00e9mas de victimologie s’alignent sur ceux d’un groupe d’\u00c9tats-nations bi\u00e9lorusses appel\u00e9 UNC1151. (alias TA445 ou Ghostwriter).<\/p>\n L’un des aspects notables d’Asylum Ambuscade est l’utilisation probable du compte de messagerie d’un membre des forces arm\u00e9es ukrainiennes compromis pour diffuser des messages \u00e9lectroniques contenant des logiciels malveillants contenant un fichier XLS compatible avec les macros qui fournit SunSeed aux h\u00f4tes infect\u00e9s, ce qui implique que la derni\u00e8re campagne pourrait \u00eatre un poursuite de ces attaques.<\/p>\n “Les leurres d’ing\u00e9nierie sociale utilis\u00e9s dans cette campagne de phishing \u00e9taient tr\u00e8s opportuns, \u00e0 la suite d’une R\u00e9union du Conseil de s\u00e9curit\u00e9 de l’OTAN<\/a> le 23 f\u00e9vrier 2022 et un reportage sur une \u00abliste de mise \u00e0 mort\u00bb du gouvernement russe ciblant les Ukrainiens qui a commenc\u00e9 \u00e0 circuler en Occidental<\/a> m\u00e9dias<\/a> le 21 f\u00e9vrier 2022 \u00bb, ont not\u00e9 les chercheurs.<\/p>\n SunSeed, pour sa part, fonctionne comme un t\u00e9l\u00e9chargeur qui \u00e9tablit des communications avec un serveur contr\u00f4l\u00e9 par un acteur pour r\u00e9cup\u00e9rer les charges utiles de la prochaine \u00e9tape pour l’ex\u00e9cution.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 bas\u00e9e \u00e0 Sunnyvale a not\u00e9 que les attaques visaient sp\u00e9cifiquement des personnes charg\u00e9es de responsabilit\u00e9s li\u00e9es au transport, \u00e0 l’allocation financi\u00e8re et budg\u00e9taire, \u00e0 l’administration et aux mouvements de population en Europe.<\/p>\n La divulgation intervient alors que l’intensification de l’invasion militaire de l’Ukraine par la Russie a polaris\u00e9<\/a> cyberespace, avec des hacktivistes, des cybercriminels, des chercheurs en chapeau blanc et des entreprises technologiques qui choisissent un camp dans le conflit.<\/p>\n Dans une mise \u00e0 jour distincte publi\u00e9e plus t\u00f4t dans la journ\u00e9e, l’\u00e9quipe ukrainienne d’intervention d’urgence informatique (CERT-UA) d\u00e9crit<\/a> les d\u00e9veloppements en cours comme une “guerre de l’information et psychologique”, exhortant les habitants du pays \u00e0 surveiller attentivement leurs comptes pour les appareils non reconnus, \u00e0 activer l’authentification \u00e0 deux facteurs et \u00e0 utiliser des applications de messagerie crypt\u00e9es de bout en bout.<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Le-celebre-gang-de-logiciels-malveillants-TrickBot-ferme-son-infrastructure.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646234825_485_Des-pirates-tentent-de-cibler-des-responsables-europeens-pour-obtenir.jpeg\")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n