Mimecast Logo
M365 Threat Scan Get a Quote

    Outils d’IA comme infrastructure de campagne

    2 août 2024

    Points clés

    Ce que vous apprendrez dans cette notification

    • 380 000 e-mails de phishing observés entre la mi-mars et la fin mars 2023 usurpant l’identité d’équipes RH internes.
    • Les courriels encourageaient les actions relatives à la formation et à la conformité et contenaient des liens vers une page de phishing d’identifiants.
    • Chaque e-mail contenait un code HTML mais il s'agissait d'un PDF contenant un lien malveillant.
    • La campagne a utilisé plusieurs services web, notamment Replit pour organiser une redirection et IPFS pour héberger la page de phishing des informations d'identification.

    Mimecast Threat Research a observé des acteurs malveillants distribuer des fichiers PDF malveillants déguisés en pièces jointes HTML. Plusieurs campagnes ont été observées utilisant la même pièce jointe PDF déguisée en fichier HTML nommé « Contract_document.html » 18 et 27 mars 2024.

    Les pièces jointes ont un .html attachment, mais avoir un type MIME PDF qui, s’il est ouvert dans un navigateur Web moderne, sera toujours affiché au format PDF. Les pièces jointes observées ont été envoyées via de multiples campagnes de malspam sur des thèmes similaires, ciblant de nombreuses organisations et contenaient des URL malveillantes. Le volume total observé a atteint un peu moins de 380 000 e-mails les 18, 20 et 27 mars.

    Chaque campagne tentait généralement de se faire passer pour les équipes RH internes en diffusant des mises à jour sur les évaluations des performances des employés, les politiques en matière de congés annuels ou les formations obligatoires. Dans certains cas, avec des expressions d'urgence ou des voyages à l'étranger avec prise en charge des frais. Un thème similaire a été observé, chacun contenant des éléments spécifiques relatifs aux destinataires ciblés, y compris le nom de l'organisation et l'adresse électronique des destinataires.

    Le premier exemple utilise l’attrait des évaluations du personnel et encourage les destinataires à cliquer pour voir qui a reçu une récompense.

    TI_Online-AI-Tools-pic1.png

     
    Dans le deuxième exemple, la politique en matière de congés annuels a été utilisée comme thème et menace le destinataire de sanctions financières s'il ne se conforme pas à la demande.

    TI_Online-AI-Tools-pic2.png

     
    Le troisième exemple utilise la formation allouée au personnel comme thème, avec l'attrait supplémentaire des dépenses liées aux voyages à l'étranger.

    TI_Online-AI-Tools-pic3.png

     
    Ces campagnes ont toutes suivi des thèmes similaires que l'on retrouve dans la plupart des campagnes de phishing ciblées par secteur. Utiliser une combinaison de peur et de curiosité pour encourager les destinataires à cliquer sur les liens. Chaque campagne affichait un faux lien prétendant renvoyer à une destination interne, mais en survolant le lien, dans l'exemple 3, nous pouvons voir l'URL qui redirige vers une « replit.app » hôte.

    Replit est un autre outil dont les acteurs de la menace ont abusé pour mobiliser des ressources et rediriger les victimes. Le graphique ci-dessous indique le nombre d'e-mails malveillants détectés contenant une URL Replit comme dans les exemples ci-dessus.

    TI_Online-AI-Tools-pic4.png

     
    Modèle d'attaque

    Résumé des méthodes utilisées par l'acteur de la menace pour cette attaque :

    Fournisseurs de services de messagerie électronique
    • Mailgun a été utilisé pour distribuer les e-mails en masse pour cette campagne. Le compte semblait appartenir à une entreprise légitime, ce qui signifie que l'auteur de la friandise l'a probablement compromis pour son propre usage.
    Liens de phishing
    • Lien de phishing - Replit a été utilisé pour organiser une redirection afin de rediriger les clics vers un fichier malveillant hébergé sur IPFS.
    • Pièce jointe de phishing - L'acteur de la menace a joint un fichier aux e-mails contenant également un lien malveillant vers un site Replit.
    Pièce jointe de l’e-mail
    • La pièce jointe incluse dans les courriels était un fichier de type PDF, mais contenait un fichier .html. extension. Le fichier s'ouvrira par défaut dans un navigateur web, la plupart des navigateurs modernes comme Chrome rendront toujours le fichier au format PDF.
    Utilisation abusive des services Web
    • Une version d'essai gratuite de Replit a probablement été utilisée pour créer et héberger la page de redirection.
    • IPFS a été utilisé pour héberger un fichier de phishing d'informations d'identification redirigé depuis le site Replit.
    Ingénierie sociale
    • Les e-mails observés utilisaient un thème cohérent pour inciter les destinataires à cliquer sur des liens malveillants.
    • Les équipes RH internes ont été usurpées en utilisant une approche de la carotte et du bâton comme appel à l’action.
    Vol d'informations
    • IPFS utilisé pour mettre en scène le fichier malveillant affichant la page web utilisée pour la capture des informations d'identification.
       ​

    Objectifs

    Global, tous les secteurs

     

    CIO

    Envoi de sources
    • Pc232-12.mailgun.net [143.55.232.12]
    Attache(s)
    • Contract_document.html
    • La section auteur du PDF contenait une chaîne commune « Son of God »
    • Hexdump du fichier
    URL
    • Corps de l’e-mail
      • hxxps://owa-5ghdhjd897d67hgdbndbnm-bn8272vbnsjbskjs-892672vhbxbhtys5665.replit[.]app/#recipient_email@domain.com
    • Pièce jointe
      • hxxps://afcc3a49-0553-4865-a79d-1ee5dfa1465f-00-1jjmbzmgsvm64.picard.replit[.]dev/#email_du_destinataire@domaine.com
    • Page de phishing
      • hxxps://cloudflare-ipfs[.]com/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy/owa-index-server.html#recipient_email@domain.com
    • Système de fichiers interplanétaires (IPFS)
      • L'URL effective après la redirection vers Replit renvoyait à un fichier stocké dans IPFS accessible via la passerelle IPFS Cloudflare :hxxps : //cloudflare-ipfs [.] com/ipfsbafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • Cloudflare IPFS n'est qu'une des passerelles disponibles pour accéder au fichier et la chaîne de caractères à la fin du chemin IPFS représente l'ID de contenu (CID) du fichier. L'IPFS autorise l'accès via n'importe quelle passerelle disponible si vous avez le CID.
      • hxxps://storry[.]tv/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • hxxps://nftstorage[.]link/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • hxxps://hardbin[.]com/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • Chacune de ces URL accédera toujours au même fichier stocké dans IPFS. Cela signifie qu'un acteur de la menace peut passer d'une passerelle à l'autre pour créer une autre URL bloquée.
    • La section auteur du PDF contenait une chaîne commune « Son of God »
    • Hexdump du fichier
       ​

    TTP

    T1608.005 - Capacités de l’étape : cible de liaison
    T1586.002 - Comptes de compromission : comptes de messagerie
    T1566.002 - Phishing : Lien vers le spearphishing
    T1566.001 - Phishing : Accessoire de harponnage
    T1036.008 - Masquage : Type de fichier de mascarade

    Découvrez les articles de renseignement sur les menaces

    62BLOG_1.jpg
    Threat Intelligence Blog
    New Mimecast Threat Intelligence: How ChatGPT Upended Email 
    sept. 30, 2024
    58BLOG_1.jpg
    Threat Intelligence Blog
    Threat Intelligence Has Never Been More Crucial
    août 27, 2024
    41BLOG_1.jpg
    Threat Intelligence Blog
    Attackers Continue to Shift Delivery Methods
    févr. 21, 2024
    Haut de la page