𝙏𝙝𝙧𝙚𝙖𝙩 𝙜𝙧𝙤𝙪𝙥 TA473
➡️ Aka
✳️Winter Vyvern
✳️UAC-0114
➡️ Actif depuis au moins 2021
➡️ Origine
lié à la #Russie
➡️Victime
cible les comptes de messagerie de fonctionnaires américains et européens ainsi que certains personnels militaires et diplomates en Europe.
➡️Technique
Phishing
➡️Outil
Les acteurs ont développé des charges utiles JavaScript sur mesure permettant de voler entre autres, des noms d’utilisateur, des mots de passe.
➡️Dernières campagnes
le groupe a été lié à des attaques visant :
✳️les autorités étatiques d’Ukraine et de Pologne (𝑖𝑙𝑠 𝑜𝑛𝑡 𝑐𝑟éé 𝑢𝑛𝑒 𝑝𝑎𝑔𝑒 𝑊𝑒𝑏 𝑞𝑢𝑖 𝑖𝑚𝑖𝑡𝑒 𝑙𝑒 𝑠𝑖𝑡𝑒 𝑊𝑒𝑏 𝑑𝑢 𝑚𝑖𝑛𝑖𝑠𝑡è𝑟𝑒 𝑢𝑘𝑟𝑎𝑖𝑛𝑖𝑒𝑛 𝑑𝑒𝑠 𝐴𝑓𝑓𝑎𝑖𝑟𝑒𝑠 e𝑡𝑟𝑎𝑛𝑔e𝑟𝑒𝑠 𝑒𝑡 𝑖𝑛𝑐𝑖𝑡𝑒 𝑢𝑛 𝑢𝑡𝑖𝑙𝑖𝑠𝑎𝑡𝑒𝑢𝑟 𝑎 𝑡𝑒𝑙𝑒𝑐ℎ𝑎𝑟𝑔𝑒𝑟 𝑢𝑛 𝑙𝑜𝑔𝑖𝑐𝑖𝑒𝑙 𝑝𝑜𝑢𝑟 “𝑎𝑛𝑎𝑙𝑦𝑠𝑒𝑟 𝑙𝑒𝑠 𝑃𝐶 𝑖𝑛𝑓𝑒𝑐𝑡𝑒𝑠 𝑎 𝑙𝑎 𝑟𝑒𝑐ℎ𝑒𝑟𝑐ℎ𝑒 𝑑𝑒 𝑣𝑖𝑟𝑢𝑠”.)
✳️des responsables gouvernementaux en Inde, en Lituanie, en Slovaquie et au Vatican .
➡️Motivation
Espionnage
🔚Moyennement sophistiqué mais persistant
Le groupe ” fait preuve de concentration, de persistance et d’un processus reproductible pour compromettre les cibles géopolitiquement exposées.”
Rapport et IoCs
Threat group-𝗥𝗲𝗱𝗚𝗼𝗹𝗳
➡️ Origine
RedGolf soupçonné d ‘être parrainé par l’État chinois
➡️ Victimes
✳️Asie, suivie par l’Afrique, l’Europe, le Moyen-Orient, l’Océanie, l’Amérique du Nord et l’Amérique du Sud.
✳️Secteur de l’aviation, l’automobile, l’éducation, le gouvernement, les médias, les technologies de l’information et les organisations religieuses
➡️ Motivation
Espionnage
➡️ Outil
Utilisation du malware KEYPLUG
➡️ Particularité
✳️A développé et utilisé une variété de familles de logiciels malveillants personnalisés au fil des ans.
✳️Probable chevauchement avec des groupes comme APT41 et BARIUM
➡️ Campagne
En 2021 et 2022, RedGolf a ciblé les entités gouvernementales des États américains
Rapport complet Recorded Future , à télécharger en fin d’article
Threat group : 𝗔𝗣𝗧𝟰𝟯
➡️ Aka
” Kimsuky” ou “Thallium”
➡️ Victime
✳️Organisations gouvernementales sud-coréennes et américaines
✳️Administrations publiques
✳️Sociétés de services
✳️Industrie manufacturière
✳️Éducation, recherche
➡️ Origine
Corée du Nord
➡️ Technique
capacités techniques modérément sophistiquées avec des tactiques d’ingénierie sociale agressives
➡️ Motivation
Espionnage
(développement du programme d’armement de la Corée du Nord, collecte d’informations sur les négociations internationales, la politique de sanctions et les relations étrangères et collecter des informations concernant la politique intérieure d’autres pays)
⚠️Ce groupe est un des experts en Ingénierie sociale.
Il sait parfaitement comment manipuler sa cible en gagnant sa confiance.
Parmi ses méthodes
✳️Utilisation d’avatar
✳️Une des méthodes privilégiée, le prétexting, en se faisant passer pour des individus dans le milieu de la défense
✳️utilisation des informations personnelles identifiables (PII) volées pour mettre en place des scénarios d’attaques bien crédibles notamment dans le cas de spear-phishing
✳️se faire passer pour des journalistes et falsifier des comptes LinkedIn pour collecter des renseignements
Rapport Mandiant https://lnkd.in/emnY4yff