Une nouvelle série d’attaques exploitant la vulnérabilité « Follina » de Microsoft Office et ciblant des entités gouvernementales en Europe et aux États-Unis a été attribuée à un acteur suspecté d’être un État.
La société de sécurité d’entreprise Proofpoint a déclaré qu’elle avait bloqué les tentatives d’exploitation de la faille d’exécution de code à distance, dont le nom est CVE-2022-30190 (score CVSS : 7,8). Pas moins de 1 000 messages de phishing contenant un document leurre ont été envoyés aux cibles.
« Cette campagne se faisait passer pour une augmentation de salaire et utilisait un RTF contenant la charge utile de l’exploit téléchargé à partir de 45.76.53[.]253« , a déclaré l’entreprise dans une série de tweets.
La charge utile, qui se présente sous la forme d’un script PowerShell, est codée en Base64 et fonctionne comme un téléchargeur pour récupérer un second script PowerShell sur un serveur distant nommé « seller-notification[.]live« .
« Ce script vérifie la virtualisation, vole des informations à partir des navigateurs locaux, des clients de messagerie et des services de fichiers, effectue une reconnaissance de la machine, puis la zippe pour l’exfil[trer] vers 45.77.156[.]179« , ajoute la société.
La campagne d’hameçonnage n’a pas été reliée à un groupe connu, mais l’entreprise a déclaré qu’elle était le fait d’un acteur national, compte tenu de la spécificité du ciblage et des capacités de reconnaissance étendues de la charge utile PowerShell. Ce développement fait suite à des tentatives d’exploitation actives par un acteur chinois de la menace, repéré sous le nom de TA413, qui a livré des archives ZIP armées contenant des documents Microsoft Word truqués par des logiciels malveillants. La vulnérabilité Follina, qui exploite le schéma URI du protocole « ms-msdt : » pour prendre le contrôle à distance des appareils cibles, n’est toujours pas corrigée, Microsoft invitant ses clients à désactiver le protocole pour empêcher ce vecteur d’attaque.
« Proofpoint continue de voir des attaques ciblées exploitant CVE-2022-30190« , a déclaré Sherrod DeGrippo, vice-président de la recherche sur les menaces, dans une déclaration.
» La reconnaissance étendue menée par le second script PowerShell démontre un acteur intéressé par une grande variété de logiciels sur l’ordinateur d’une cible. Ceci, couplé au ciblage serré du gouvernement européen et des gouvernements locaux américains, nous a conduit à soupçonner que cette campagne a un lien avec l’État. «
