La semaine dernière, Proofpoint a annoncé avoir repéré une campagne malveillante en cours visant des organisations françaises. Selon Tenable, il pourrait s’agir de la phase préparatoire d'une attaque de plus grande ampleur ayant pour objectif de perturber l'élection présidentielle.
Le 21 mars, les chercheurs de Proofpoint ont annoncé dans un rapport avoir détecté une campagne ciblant des organisations françaises. Sont visés le secteur public ainsi que ceux de la construction et de l’immobilier. Selon l’éditeur en cybersécurité, « d'après les tactiques et le ciblage observés, il s'agit probablement d'une menace avancée et ciblée ».
En effet, l’attaquant passe sous les radars, utilisant un document Word et un message RGPD en leurre pour distribuer via les macros un programme d'installation de package open source, Chocolatey. Celui-ci est légitime et ne déclenche généralement pas d’alerte. Ce faisant, l’attaquant installe par ce biais une porte dérobée, baptisée Serpent par Proofpoint, sur l’appareil de la victime, porte qui pourrait lui permettre de prendre le contrôle à distance de la machine ou de distribuer d’autres charges utiles.
Des médias et des administrations infectés ?
De même, le recours à la stéganographie, une technique d’offuscation, est rarement observée. « De plus, la technique utilisant schtasks.exe pour exécuter n'importe quel fichier exécutable portable souhaité est également unique et n'a jamais été observée par les chercheurs de Proofpoint » notent les chercheurs. La menace est donc particulièrement avancée, et ses objectifs finaux encore inconnus.
Mais, à en croire Bernard Montel, directeur technique et Security Strategist de Tenable, il pourrait bien s’agir de la phase préparatoire d’une attaque de grande ampleur qui risque de perturber l’élections présidentielle. « Si cette opération n'a pas encore donné lieu à des effets visibles c'est qu'il est très probable que ce ne soit qu'une pré campagne pour attaque de plus grande ampleur qui pourrait avoir pour objectif de perturber les élections présidentielles, comme cela avait déjà pu être le cas en 2017 » écrit-il.
« Au regard des éléments que nous possédons, des organisations étatiques, des médias, ou même des transports pourraient déjà être infectées via cette attaque » poursuit le directeur technique de Tenable. « Dans ce contexte, il est primordial de relever la posture de sécurité et de relever le niveau de vigilance au plus haut ».