Par FireEye
Exploitant la mobilisation internationale contre le coronavirus, un grand nombre d’acteurs de menaces ont récemment diffusé dans diverses régions du monde des documents malveillants, à des fins criminelles ou d’espionnage, autour de la pandémie.
Activités de cyber espionnage
FireEye a identifié des opérations d’espionnage conduites par la Chine, la Russie et la Corée du Nord contre un large éventail de cibles.
Chine
Fin février et début mars 2020, TEMP.Hex a probablement exploité le thème du coronavirus pour déployer les malwares SOGU et COBALTSTRIKE. FireEye suspecte que le document a été utilisé contre des cibles au Vietnam, aux Philippines et à Taiwan.
- Les leurres étaient des déclarations légitimes émanant de leaders politiques ou des conseils authentiques destinés aux malades potentiels, probablement issus de sources publiques.
- TEMP.Hex est un groupe chinois qui cible les pays d’Extrême Orient depuis 2010. Un cluster chinois séparé a ciblé la Mongolie avec un leurre coronavirus utilisant POISONIVY, un ‘backdoor’ populaire largement disponible sur le Dark Web.
- Ce document contenait des statistiques officielles sur les infections en Mongolie.
- L’activité historique de ce cluster se concentre sur le gouvernement mongol et sur la récolte d’informations dans ce pays.
Russie
TEMP.Armageddon, un groupe d’espionnage qui agit en support des intérêts russes, a lancé une campagne de ‘spear phishing’ avec un document malveillant ayant pour thème de coronavirus contre des cibles en Ukraine.
- Le document leurre était la copie d’un document légitime.
- TEMP.Armageddon se concentre historiquement sur des cibles ukrainiennes.
Corée du Nord
Une ONG sud-coréenne a été la cible d’une attaque de ‘spear phishing’ avec un leurre en langue coréenne ayant pour titre « Correspondance Coronavirus. » Cette attaque est encore en cours d’analyse, mais possède plusieurs similitudes avec des activités nord coréennes précédemment observées.
Activités de cyber crime
FireEye a identifié de nombreuses activités à motivation financière utilisant des documents leurres exploitant le thème du coronavirus pour duper des victimes.
- Des acteurs à motivation financière ont été identifiés exploitant le thème du coronavirus dans de nombreuses attaques de ‘phishing’, en nombre toujours plus important mois après mois, de janvier à aujourd’hui.
- Il s’agit d’une grande variété d’attaques, attribuées notamment à TEMP.Warlock, dont l’objectif est le vol d’identifiants et la distribution de nombreuses familles courants de malwares dont Trickbot.
- Pour FireEye, l’utilisation de leurres autour du thème du coronavirus va se poursuivre dans les prochaines semaines ou prochains mois, à la fois par des attaquants opportunistes et à motivation financière, en raison de l’impact mondial de l’épidémie.