Global - Agence de presse Ekhbary
Des hackers liés à l'État russe exploitent une faille urgente de Microsoft Office, compromettant des entités mondiales
Dans une illustration frappante de l'accélération et de la sophistication croissantes de la cyberguerre parrainée par l'État, un groupe de piratage notoire soutenu par la Russie, largement connu sous le nom d'APT28 ou Fancy Bear, n'a pas perdu de temps pour exploiter une vulnérabilité critique de Microsoft Office. Moins de 48 heures après que Redmond ait publié une mise à jour de sécurité urgente et non programmée le mois dernier, les acteurs de la menace ont transformé la faille, identifiée sous le nom de CVE-2026-21509, en une arme pour lancer une campagne très ciblée. Cette opération audacieuse a réussi à compromettre des appareils au sein d'organisations diplomatiques, maritimes et de transport dans au moins neuf pays, principalement en Europe de l'Est, soulignant la fenêtre de plus en plus étroite dont disposent les défenseurs pour corriger les systèmes critiques.
Les chercheurs en sécurité de Trellix ont dévoilé les détails de cette exploitation rapide, soulignant la capacité du groupe à désosser le correctif de Microsoft en deux jours et à développer des exploits avancés. Ces exploits ont ensuite installé deux nouveaux implants de porte dérobée, jamais vus auparavant, baptisés BeardShell et NotDoor. L'ensemble de la campagne a été méticuleusement conçu pour la furtivité, employant des techniques qui rendaient la compromission pratiquement indétectable par les mesures de protection des points d'extrémité conventionnelles. Cela comprenait le chiffrement des exploits et des charges utiles, leur exécution exclusivement en mémoire, et l'exploitation de canaux apparemment légitimes pour le commandement et le contrôle, rendant leur intention malveillante exceptionnellement difficile à repérer.
Lire aussi
- Ford Dévoile son Plus Petit et Abordable Pick-up Électrique pour 2027
- Koenigsegg Jesko Absolut Pulvérise de Nouveaux Records de Vitesse Mondiaux
- Recharge Rapide ou Lente: Quel Impact sur les Batteries de Voitures Électriques en Arabie Saoudite?
- Geely Révèle le Galaxy Cruiser 700, un SUV Tout-Terrain de 1113 Ch
- Le président de Mitsubishi évoque le retour des Lancer Evolution et Galant
Le vecteur initial de cette intrusion sophistiquée provenait souvent de comptes gouvernementaux précédemment compromis dans divers pays, suggérant que les attaquants avaient exploité des brèches existantes ou des informations d'identification qui étaient probablement familières aux destinataires des courriels ciblés. En outre, l'infrastructure de commandement et de contrôle était hébergée au sein de services cloud légitimes, qui sont généralement autorisés dans les réseaux sensibles, permettant au trafic malveillant de se fondre harmonieusement dans l'activité réseau régulière. Ce choix stratégique de canaux de confiance, combiné à des techniques sans fichier, a permis aux attaquants de se « cacher en pleine vue », comme l'ont noté les chercheurs de Trellix.
La campagne de spear phishing de 72 heures a débuté le 28 janvier, livrant au moins 29 leurres de courriel distincts. Ces messages hautement personnalisés ont ciblé des organisations dans neuf pays, avec un accent significatif sur l'Europe de l'Est. Trellix a spécifiquement identifié la Pologne, la Slovénie, la Turquie, la Grèce, les Émirats arabes unis, l'Ukraine, la Roumanie et la Bolivie comme faisant partie des nations touchées. Les principales cibles étaient les ministères de la défense (représentant 40 % des attaques), les opérateurs de transport et de logistique (35 %), et les entités diplomatiques (25 %). Ce profil de ciblage s'aligne parfaitement avec les objectifs géopolitiques souvent associés aux acteurs liés à l'État comme APT28, qui s'engagent fréquemment dans l'espionnage cybernétique contre des entités cruciales pour la sécurité nationale et les relations internationales.
Le succès de la chaîne d'infection a conduit au déploiement de BeardShell ou NotDoor. BeardShell, une puissante porte dérobée, a fourni aux attaquants de vastes capacités de reconnaissance du système, une persistance par injection de processus dans Windows svchost.exe, et une tête de pont cruciale pour le mouvement latéral à travers les réseaux infectés. Son exécution reposait sur des assemblages .NET chargés dynamiquement, une technique conçue pour laisser un minimum d'artefacts forensiques sur le disque, compliquant davantage la détection et l'analyse par les équipes de sécurité. Cette opération en mémoire est une caractéristique des menaces persistantes avancées (APT) cherchant à échapper aux outils de sécurité traditionnels.
NotDoor, la deuxième porte dérobée, s'est manifestée sous la forme d'une macro VBA. Elle n'a été installée qu'après que la chaîne d'exploit ait réussi à désactiver les contrôles de sécurité des macros d'Outlook – une étape critique démontrant la profonde compréhension des attaquants des vulnérabilités des clients de messagerie. Une fois active, NotDoor a méticuleusement surveillé les dossiers de messagerie, y compris la boîte de réception, les brouillons, le courrier indésirable et les flux RSS. Elle a ensuite regroupé les messages dans des fichiers Windows .msg, qui ont été ensuite exfiltrés vers des comptes contrôlés par l'attaquant hébergés sur le service cloud filen.io. Pour contourner les protocoles de sécurité sur les comptes à privilèges élevés conçus pour protéger les informations classifiées, la macro a utilisé une propriété personnalisée « AlreadyForwarded » et a défini « DeleteAfterSubmit » sur vrai, purgeant ainsi efficacement les messages transférés du dossier Éléments envoyés, effaçant ainsi les traces d'exfiltration.
Trellix a attribué la campagne à APT28 avec une « grande confiance », basée sur une confluence d'indicateurs techniques et les modèles de ciblage spécifiques observés. Cette attribution a été corroborée par le CERT-UA ukrainien, qui a indépendamment lié les attaques à UAC-0001, un autre nom de suivi correspondant à APT28. APT28, également connu sous les noms de Fancy Bear, Sednit, Forest Blizzard et Sofacy, a une longue histoire d'espionnage cybernétique et d'opérations d'influence, souvent alignées sur les intérêts de l'État russe. Leur modus operandi implique généralement des logiciels malveillants multi-étapes sophistiqués, une obfuscation étendue, l'abus de services cloud légitimes et le ciblage persistant des systèmes de messagerie pour atteindre leurs objectifs.
Actualités connexes
- Ilia Malinin : Le "Dieu des Quadruples" qui redéfinit le patinage artistique
- Adopter la mentalité hivernale nordique : Comment s'épanouir pendant les mois froids
- Santé de Donald Trump : La vérité insaisissable derrière le bien-être du président
- Vous Souhaitez un Bébé : La Gestation Pour Autrui est-elle un Choix Éthique ?
- Le Spectacle de la Mi-Temps du Super Bowl avec Bad Bunny : Un Catalyseur pour la Musique de Protestation Contemporaine
Le savoir-faire employé dans cette campagne – caractérisé par sa militarisation rapide d'une vulnérabilité zero-day (ou quasi zero-day), l'utilisation de nouveaux implants, l'exécution sans fichier et l'exploitation de canaux de confiance – reflète les capacités d'un adversaire très bien doté en ressources et avancé. Cet incident sert de rappel critique aux organisations du monde entier de prioriser les correctifs en temps opportun, d'améliorer leurs capacités de détection des menaces pour identifier les attaques en mémoire et sans fichier, et de renforcer les défenses contre les tentatives de spear phishing sophistiquées. Les entreprises de cybersécurité comme Trellix fournissent continuellement des indicateurs de compromission (IOC) mis à jour pour aider les organisations à identifier et à atténuer les menaces potentielles de cet adversaire persistant et évolutif.
