La banque centrale Australienne victime de spear-phishing

C’était en 2011 mais le rapport d’incident vient seulement d’être publié. En Novembre 2011, plusieurs employés de la « Reserve Bank of Australia« , dont des directeurs de service, ont reçu un email intitulé « Strategic Plannig FYI 2012« . Le mail semblait légitime car il imitait le profil et la signature d’un employé « Senior » de l’organisation. A priori, un des employés a eu la bonne idée de transmettre le mail en question à l’équipe sécurité.

L’attaque est somme toute assez simple mais très efficace :
- Le mail contenait un lien pour télécharger le soi-disant document
- L’utilisateur téléchargeait un fichier zippé contenant un exécutable.
- l’exécutable était un malware inconnu (FUD) des antivirus

Au final, 6 postes utilisateurs infectés qui ont dû être rémasterisés, et peut-être des informations sensibles exfiltrées. Question pertinente : Est-ce que le payload était masqué via une technique R-T-L O pour ressembler à un document ?

J’aime beaucoup la liste des points en suspend:
- Qu’il n’existait pas encore de système automatisé pour traiter le spear-phishing.
Fixed : Trend Micro propose la solution d’analyse dynamique Deep Discovery, afin de contrôler les flux mails, web, DNS …(plus de 80), et de bloquer les attaques ciblées et inconnues ainsi que l’ensemble des flux C&C associés.
- Qu’il n’y a pas eu d’exploitation de vulnérabilité (extrapolé de l’analyse).

Comme quoi, pas besoin de 0-day pour une attaque ciblée ! Mais ne pensez pas que ce soit une fatalité… ;)

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>