Campagne de récupération d’identifiants de connexion. Infrastructure malveillante ciblant des institutions gouvernementales et des entités stratégiques.

Au cours d’investigations et avec la coopération de plusieurs partenaires, l’ANSSI a découvert plusieurs infrastructures malveillantes, incluant des noms de domaine, des sous domaines et des adresses courriel, utilisées dans une large campagne d’attaque dont les premières activités observées remontent à 2017. L’acteur malveillant à l’origine de cette activité a enregistré de multiples noms de domaine, et créé plusieurs sous domaines avec un modèle de nom laissant transparaître des potentielles cibles. La principale motivation semble être la récupération d’identifiants de connexion, à l’aide de courriels d’hameçonnage ciblé et de sites d’hameçonnage.

La liste des possibles cibles est large, incluant des agents gouvernementaux et des think tanks. Cinq entités diplomatiques possiblement visées appartiennent à des membres du Conseil de sécurité des Nations Unies (Chine, France, Belgique, Pérou, Afrique du Sud).

 

L’attribution d’une cyber attaque à un acteur malveillant est un exercice complexe et n’est pas le but de ce document, ni celui de
l’ANSSI. L’objectif de ce document est de mettre en lumière les liens techniques identifiés lors des investigations entre l’infrastructure
utilisée au cours de ces attaques et les éléments techniques attribués en source ouverte aux modes opératoires d’attaquants suivants : Kimsuky
et Group123.

Au cours de ces investigations, la société de sécurité informatique Anomali a publié un rapport mentionnant les mêmes activités.

Ce rapport détaille les infrastructures identifiées et quelques cibles potentielles. Les indicateurs de compromission sont présents dans le
fichier CSV lié à ce rapport.

TÉLÉCHARGER LE RAPPORT
TÉLÉCHARGER L’ANNEXE CSV

Documentation

Rappel des avis émis

Dans la période du 26 au 01 septembre 2019, le CERT-FR a émis les publications suivantes :