Le Centre pour la Cybersecurité Belgique (CCB) a reçu plusieurs notifications concernant une campagne de spear phishing visant les CSIRT nationaux et les organisations gouvernementales en Europe. L'attaquant se fait passer pour un CSIRT national et utilise des courriers d'hameçonnage pour envoyer un fichier RDP en pièce jointe. L'objectif est d'obtenir l'accès aux disques locaux de la victime. Cela permet à l'attaquant de manipuler les dossiers et les fichiers locaux de la victime. Lorsque les disques locaux sont exposés à l'aide du logiciel malveillant RDP, l'exfiltration est très probable et il y a un risque accru de diffuser d'autres codes malveillants et de parvenir à la persistance.
Modus operandi
Sur la base de plusieurs notifications :
- Les attaquants se font passer pour les CSIRT nationaux de l'organisation ciblée, par exemple le CCB pour une organisation belge.
- L'attaquant attire la victime en prétextant un effort de « collaboration dans le Cloud».
- Le courriel de phishingcontient un fichier RDP malveillant.
- Si la victime ouvre le fichier RDP, les lecteurs locaux seront exposés à l'infrastructure de l'attaquant.