Support technique
Documentation
Connexion
Nous contacter
NewsL'attaque de phishing Pingouin vise les secrets maritimes et militaires
Le 24 février 2023 - L'équipe de relations publiques de TuxCare
Selon les chercheurs de Blackberry, une nouvelle campagne de phishing baptisée "NewsPenguin" cible depuis des mois le complexe militaro-industriel pakistanais, en utilisant un outil malveillant avancé pour voler des informations sensibles. La campagne, qui serait parrainée par l'État, est en cours depuis au moins décembre 2022.
"L'attaquant a envoyé des courriels d'hameçonnage ciblés avec un document armé en pièce jointe qui prétend être un manuel d'exposant pour PIMEC-23", a déclaré l'équipe de recherche et d'intelligence de BlackBerry.
PIMEC, qui signifie Pakistan International Maritime Expo and Conference, est une initiative de la marine pakistanaise organisée par le ministère des affaires maritimes dans le but de "relancer le développement du secteur maritime". La campagne semblait davantage destinée à recueillir des renseignements et à exfiltrer des informations qu'à causer des dommages immédiats aux victimes.
La campagne utilise des outils sophistiqués conçus pour éviter la détection par les mesures de sécurité traditionnelles. Les logiciels malveillants et les chevaux de Troie d'accès à distance (RAT) de la boîte à outils ont été utilisés pour accéder aux systèmes des victimes et voler des données sensibles. Newspenguin utilise diverses techniques pour échapper à la détection, comme l'utilisation de charges utiles cryptées et la génération dynamique de domaines pour les communications de commande et de contrôle (C2).
Les attaquants ont utilisé un malware de la famille "Zodiac", connu pour sa capacité à éviter la détection par les logiciels antivirus. En outre, les attaquants ont utilisé "IceLog", un enregistreur de frappe utilisé pour voler des informations sensibles, et "Gh0stRAT", un outil d'accès à distance qui a permis aux attaquants de prendre le contrôle du système de la victime. Les attaquants utilisent également le malware Glacier, qui est conçu pour éviter la détection par les solutions antivirus traditionnelles.
Les chercheurs de Blackberry pensent que Newspenguin utilise une nouvelle souche de malware connue sous le nom de "PenguSpy". Ce logiciel malveillant est conçu pour éviter la détection et recueillir des renseignements sur les systèmes infectés, notamment le vol de mots de passe et la capture d'écran.
Il comprend un document "Important Document.doc" qui utilise une technique d'injection de modèle à distance. Lorsque la cible l'ouvre, elle récupère l'échantillon de l'étape suivante depuis hxxp[ :]/windowsupdates[.]shop/test[.]dotx. Le domaine s'était résolu en 51.222.103[.] au moment où nous l'avons découvert. 8. Le serveur de charges utiles malveillantes est configuré pour ne renvoyer le fichier que si l'adresse IP de l'utilisateur se trouve dans la plage d'adresses IP du Pakistan. Lorsque la victime clique sur "Activer le contenu", un code macro VBA est exécuté. Le code macro VBA malveillant enregistre le fichier "test.dotx" sous le nom de "abc.wsf" dans le dossier "C:WindowsTasks" de l'utilisateur.
Le script détermine ensuite si la machine infectée fonctionne sous Windows® 7 ou 10 et enregistre la version comme nom de tâche pour la prochaine instruction.
Les sources de cette pièce incluent un article dans DarkReading.
Regardez cette actualité sur notre chaîne Youtube : https://www.youtube.com/watch?v=ycO6hVmt5R4&t=6s
