Des pirates ont piraté l’une des principales sociétés de cybersécurité – détails
L’organisme de formation en cybersécurité SANS Institute a subi une violation de données après qu’un de ses employés a été victime d’une attaque de phishing.
SANS Institute, l’une des plus grandes organisations qui forme des spécialistes de la sécurité de l’information dans le monde, a lui-même subi une cyberattaque. Les attaquants ont eu accès aux données SANS après qu’un de ses employés des RH a été victime d’une attaque de phishing.
Le 11 août, SANS a signalé que l’attaquant avait eu accès au compte de messagerie de l’un des employés et avait configuré la redirection de toute la correspondance reçue sur la boîte aux lettres attaquée vers une autre adresse, et avait également installé un module complémentaire malveillant pour Office 365.
En conséquence, les pirates ont reçu 513 lettres, qui contenaient un total d’environ 28 000 enregistrements d’informations personnelles sur les membres du SANS. Ces informations n’incluent pas les mots de passe ou les informations financières telles que les cartes de crédit. Les données comprennent les adresses e-mail, les noms complets, les numéros de téléphone, les intitulés de poste, les noms de société et les adresses physiques.
Selon l’enquête SANS, l’attaque a commencé par un e-mail de phishing se faisant passer pour un fichier prétendument envoyé par le service SANS SharePoint.
Le fichier s’appelait "July Bonus Copy 24JUL2020.xls" et l’e-mail invitait l’utilisateur à cliquer sur le bouton "Ouvrir" pour accéder au fichier.
Cliquer sur le bouton ouvre le navigateur par défaut à "https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws[.]com/index.html" qui invite l’utilisateur à saisir ses informations d’identification Office 365.
En parallèle, un add-on malveillant pour Microsoft Office OAuth a été installé, appelé Enable4Excel.
Une fois installé, il ajoute une nouvelle règle de transfert nommée règle anti-spam qui surveille les mots-clés spécifiques dans les e-mails. Si un mot-clé correspondant a été trouvé dans l’e-mail, il sera redirigé vers le démon d’adresse externe[@]daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.
Voici une liste de mots clés surveillés :
agreement
Bank
bic
capital call
cash
Contribution
dividend
fund
iban
Payment
purchase
shares
swift
transfer
Wire
wiring infoD’après les informations de VirusTotal, la campagne de phishing a été menée le 24 juillet 2020. SANS n’était pas la seule cible, au moins deux autres sociétés ont téléchargé des e-mails similaires sur VirusTotal.