RATs et Phishing : Les nouvelles menaces qui pèsent sur Microsoft Office
Des pirates informatiques russes mènent une série de campagnes de phishing dans neuf pays à travers le monde, selon un nouveau rapport d’IBM X-Force. Ces attaques ciblées visent à obtenir des informations sensibles des gouvernements et menacent la sécurité des données ainsi que les renseignements géopolitiques stratégiques.
Le groupe derrière ces opérations sophistiquées, connu sous plusieurs noms, dont Fancy Bear, APT28 et Strontium, est suivi par IBM X-Force sous le nom d’ITG05. Leur méthode implique l’utilisation de courriels frauduleux vantant des affaires officielles gouvernementales pour inciter les victimes à divulguer des informations sensibles. Les attaquants ont utilisé au moins 11 leurres différents dans leurs campagnes, ciblant des organisations dans plusieurs pays, notamment l’Argentine, l’Ukraine, la Géorgie et les États-Unis.
Les leurres utilisés par Fancy Bear ressemblent à des documents officiels, abordant des sujets allant de la finance à la cybersécurité, en passant par les infrastructures critiques. Certains de ces documents semblent être internes à des agences gouvernementales spécifiques, soulevant des questions sur la manière dont les pirates les ont obtenus.
L’une des caractéristiques remarquables de ces attaques est leur spécificité. Les leurres comprennent des documents détaillés sur des sujets tels que la politique budgétaire et la cybersécurité, indiquant une quête d’informations hautement prioritaires pour le gouvernement russe.
Outre la sophistication des leurres, les attaquants utilisent une astuce psychologique pour piéger les victimes en ne leur présentant qu’une version floue des documents, incitant ainsi à cliquer pour obtenir plus de détails. Une fois que les victimes accèdent aux documents, elles téléchargent des logiciels malveillants, y compris une porte dérobée Python appelée « Masepie », qui permet l’exécution de commandes arbitraires.
L’immédiateté de l’action de Fancy Bear est également remarquable, les infections se produisant dans la première heure suivant l’atterrissage sur une machine victime. Les chercheurs mettent en garde les organisations potentiellement ciblées, les exhortant à suivre les recommandations d’IBM pour surveiller les e-mails suspects et corriger les vulnérabilités connues.
Dans l’ensemble, ces attaques soulignent la menace persistante que représentent les groupes de pirates informatiques soutenus par des États. ITG05 continuera probablement à exploiter les faiblesses des systèmes gouvernementaux pour obtenir un avantage stratégique pour la Russie.
Les pirates informatiques russes, notamment Fancy Bear (alias APT28 ou ITG05), mènent des campagnes de phishing ciblées pour compromettre la sécurité des données et obtenir des renseignements géopolitiques stratégiques via des courriels frauduleux.
pirates informatiques russes, campagnes de phishing, Fancy Bear, APT28, ITG05, courriels frauduleux, sécurité des données, renseignements géopolitiques, documents officiels, cybersécurité, logiciels malveillants, porte dérobée, Masepie, spécificité, astuce psychologique, immédiateté de l’action, recommandations d’IBM, vulnérabilités, surveillance des e-mails, corriger, gouvernement russe, menace persistante, groupes de pirates informatiques, attaques ciblées, stratégique