APT28 s’attaque aux serveurs de messagerie vulnérables depuis plus d’un an

Spread the love
  • Yum

APT28 s’attaque aux serveurs de messagerie vulnérables depuis plus d'un an

Au cours de l’année écoulée, l’un des principaux groupes de piratage soutenus par l’Etat russe a passé son temps à rechercher et détecter sur Internet des serveurs de messagerie vulnérables, selon un rapport publié hier par la firme de cybersécurité Trend Micro. Le rapport traite des activités d’APT28, également connu sous le nom de Fancy Bear, Sednit et Pawn Storm.

Le groupe, censé opérer pour le compte du service de renseignement militaire russe GRU, est actif depuis 2004 et est l’un des deux groupes russes à avoir piraté le serveur de messagerie du DNC en 2016. Etant l’un des plus anciens groupes de piratage soutenu par un Etat, ses activités ont été enregistrées, analysées et classées en profondeur dans un grand nombre de rapports.

Selon ces rapports, l’arme principale d’APT28 au cours de la dernière décennie a été l’utilisation de campagnes de spear-phishing. Grâce à des e-mails soigneusement conçus destinés à des cibles spécialement sélectionnées et à l’utilisation d’exploits 0day, les opérateurs APT28 ont infecté les victimes avec un large éventail de logiciels malveillants depuis plus de 15 ans.

publicité

Recherche sur Internet de serveurs vulnérables

Cependant, dans un rapport publié ce jeudi par Trend Micro, les analystes de la firme de cybersécurité ont repéré un changement important dans les méthodes du groupe.

Si le phishing et les logiciels malveillants sont restés au menu, Trend Micro a déclaré que APT28 a également commencé l’année dernière à effectuer des scans de l’ensemble d’Internet, à la recherche de serveurs de messagerie web et de découverte automatique Microsoft Exchange vulnérables – sur les ports TCP 445 et 1433.

On ne sait pas exactement quels types d’attaques sont lancés par le groupe contre les serveurs qu’il identifie comme vulnérables. On peut néanmoins imaginer qu’il tente de prendre le contrôle du système non corrigé – soit pour voler des données sensibles stockées à l’intérieur, soit pour utiliser le serveur de messagerie dans d’autres opérations.

Acquérir des comptes de messagerie pour lancer des opérations de phishing

Mais en plus des analyses de serveur, APT28 a également inauguré une nouvelle activité, a déclaré Trend Micro. Grâce à un réseau de serveurs VPN, les opérateurs APT28 se connectent à des comptes de messagerie compromis sur des serveurs de messagerie d’entreprises légitimes.

Trend Micro pense qu’APT28 hameçonne les employés d’entreprises légitimes et dérobe leurs identifiants de connexion pour les comptes de messagerie d’entreprise, ou effectue des attaques par force brute pour deviner les mots de passe des comptes de messagerie. Une fois qu’ils ont récupéré les identifiants, les opérateurs APT28 se connectent via un réseau de serveurs VPN aux comptes compromis en utilisant les mots de passe volés.

 

Avant cela, APT28 exfiltre les données qu’il trouve intéressantes ou utilise les comptes de messagerie compromis pour envoyer des campagnes de phishing par e-mail à d’autres cibles.

Etant donné que les e-mails proviennent de personnes réelles dans des entreprises légitimes, ces campagnes de phishing sont considérées comme plus efficaces que la plupart des autres campagnes de phishing, fournissant à APT28 de nouvelles informations d’identification volées à de nouvelles sociétés victimes.

Trend Micro indique que la grande majorité des entreprises dont les comptes de messagerie électronique ont été compromis sont basées aux Emirats arabes unis et opèrent dans le secteur de la défense.

 

Vous trouverez ci-dessous une liste de certaines des entreprises qui avaient des comptes de messagerie compromis (et qui ont été utilisés plus tard pour envoyer des messages de phishing) par le groupe APT28 entre août et novembre 2019.

 

Les nouvelles tactiques d’APT28 montrent que cet acteur est difficile à analyser et diversifie ses outils. Ce groupe a déjà montré par le passé qu’il disposait des compétences et l’ingéniosité nécessaires pour s’adapter aux nouvelles tactiques.

NDLR : Le CERT-FR a publié cette semaine un bulletin d’alerte appelant à la vigilance des administrateurs à l’égard des attaques visant Microsoft Exchange. « Le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2020-0688 affectant le serveur Exchange de Microsoft », rappelle le document, qui invite les administrateurs à appliquer les correctifs correspondant afin d’éviter une compromission du système.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *