Titre | Campagne de spear-phishing attribuée au groupe « APT29 » |
Numéro de Référence | Numéro de Référence 50510411/24 |
Date de publication | Date de publication 04 novembre 2024 |
Niveau de Risque | Niveau de Risque Critique |
Niveau d'Impact | Niveau d'Impact Critique |
Une campagne de spear-phishing attribuée au groupe « APT29 » a récemment été signalée, ciblant des entités sensibles à savoir (des organismes gouvernementaux, armées et des agences de sécurité) dans le monde entier.
Le groupe exploite des fichiers de configuration du protocole (RDP) signés numériquement pour paraître légitimes dans des e-mails de phishing qui se font passer pour des communications provenant d'entités de confiance telles qu'Amazon et Microsoft.
Les techniques couramment utilisées incluent le phishing (T1566), l'exécution par l'utilisateur (T1204) et l'accès à distance via RDP (T1219), visant principalement le vol d'identifiants pour obtenir un accès privilégié aux systèmes des victimes. Parmi les incidents notables, une campagne massive de spear-phishing détectée par Microsoft a utilisé des fichiers RDP malveillants pour se connecter à des serveurs contrôlés par les attaquants pour exfiltrer des données.
Le maCERT recommande d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection et d’alerter le maCERT en cas de détection d’une activité relative à ce malware.
Mesures préventives :
Bloquer les fichiers RDP sur les plateformes de communication : Les organisations doivent interdire la transmission de fichiers RDP via les clients de messagerie et les services de messagerie web. Cette étape aide à éviter l'exécution accidentelle de configurations RDP malveillantes.
Activer l'authentification multi-facteurs (MFA) : L'authentification multi-facteurs doit être activée partout où cela est possible pour ajouter une couche de sécurité pour les accès à distance.
Indicateurs de compromission (IOCs):
IP addresses:
|
Référence:
Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma
DGSSI2024 All rights reserved