Une faille Microsoft Office utilisée contre des états
Charles Gouin-Peyrot
Publié le 06 juin 2022 · 2 min de lecture
"Cette campagne se faisait passer pour une augmentation de salaire et utilisait un RTF contenant la charge utile de l'exploit téléchargé à partir de 45.76.53[.]253", a déclaré l'entreprise dans une série de tweets.La charge utile, qui se présente sous la forme d'un script PowerShell, est codée en Base64 et fonctionne comme un téléchargeur pour récupérer un second script PowerShell sur un serveur distant nommé "seller-notification[.]live".
"Ce script vérifie la virtualisation, vole des informations à partir des navigateurs locaux, des clients de messagerie et des services de fichiers, effectue une reconnaissance de la machine, puis la zippe pour l'exfil[trer] vers 45.77.156[.]179", ajoute la société.
La campagne d'hameçonnage n'a pas été reliée à un groupe connu, mais l'entreprise a déclaré qu'elle était le fait d'un acteur national, compte tenu de la spécificité du ciblage et des capacités de reconnaissance étendues de la charge utile PowerShell. Ce développement fait suite à des tentatives d'exploitation actives par un acteur chinois de la menace, repéré sous le nom de TA413, qui a livré des archives ZIP armées contenant des documents Microsoft Word truqués par des logiciels malveillants. La vulnérabilité Follina, qui exploite le schéma URI du protocole "ms-msdt :" pour prendre le contrôle à distance des appareils cibles, n'est toujours pas corrigée, Microsoft invitant ses clients à désactiver le protocole pour empêcher ce vecteur d'attaque.
"Proofpoint continue de voir des attaques ciblées exploitant CVE-2022-30190", a déclaré Sherrod DeGrippo, vice-président de la recherche sur les menaces, dans une déclaration. " La reconnaissance étendue menée par le second script PowerShell démontre un acteur intéressé par une grande variété de logiciels sur l'ordinateur d'une cible. Ceci, couplé au ciblage serré du gouvernement européen et des gouvernements locaux américains, nous a conduit à soupçonner que cette campagne a un lien avec l'État. "
L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.