Le Threat Fusion Center (TFC), une division de BlueVoyant, a découvert la campagne de phishing « NaurLegal » avec de fausses factures provenant de cabinets d'avocats. Les attaquants s'appuient sur des documents PDF, des fichiers OneNote ou Excel infectés par des logiciels malveillants.
Les agresseurs se font passer pour des cabinets d'avocats et abusent de la confiance que leurs victimes accordent aux prestataires de services juridiques. La campagne s'appelle « NaurLegal » et les attaques auraient été orchestrées par le groupe de cybercriminalité Narwhal Spider (également connu sous le nom de Storm-0302, TA544).
Les attaquants déguisent les fichiers PDF malveillants en factures d'apparence authentique provenant de cabinets d'avocats réputés - une tactique visant à attirer les victimes dans divers secteurs. La campagne NaurLegal feint la légitimité en créant et en envoyant des fichiers PDF avec des noms de fichiers d'apparence légitime tels que « Invoice_[numéro]_from_[nom du cabinet d'avocats].pdf ». Cette stratégie tire parti de l'attente des destinataires de recevoir régulièrement des documents juridiques dans la vie professionnelle quotidienne. Cette approche augmente la probabilité que les destinataires ouvrent les fichiers infectés par des logiciels malveillants.
Détails techniques du malware utilisé
L'infrastructure de la campagne NaurLegal comprend des domaines associés à WikiLoader et dont l'activité de suivi suggère une association avec cette famille de logiciels malveillants. WikiLoader est connu pour ses techniques d'obscurcissement sophistiquées, telles que : B. vérifier les réponses Wikipédia pour des chaînes spécifiques afin de contourner les environnements sandbox. Narwhal Spider a utilisé WikiLoader dans le passé, et l'implication du groupe dans cette campagne suggère que des charges utiles de logiciels malveillants destructeurs supplémentaires pourraient être déployées à terme.
Les rapports de Virus Total indiquent qu'IcedID pourrait être une charge utile possible associée à cette campagne. De plus, l'infrastructure C2 de cette campagne semble s'appuyer exclusivement sur des sites WordPress compromis – une tactique bien connue utilisée par Narwhal Spider. Compte tenu de la nature sensible des données gérées par les organisations attaquées, qui incluent la propriété intellectuelle, les stratégies d'entreprise et les informations personnelles, les enjeux sont particulièrement élevés pour une intrusion réussie.
Les acteurs menaçants étendent leur portée
Dans le passé, les campagnes WikiLoader de Narwhal Spider se concentraient principalement sur les organisations italiennes et distribuaient des logiciels malveillants via diverses pièces jointes de courrier électronique, notamment des fichiers Microsoft Excel, OneNote et PDF. Cependant, la campagne NaurLegal marque une rupture avec ces attaques géographiquement ciblées et cible plutôt un éventail plus large d’organisations susceptibles de s’occuper de projets de loi. Ce changement de stratégie met en évidence la capacité d'adaptation de Narwhal Spider et ses efforts pour exploiter diverses vulnérabilités et tactiques d'ingénierie sociale.
Les attaques contre les chaînes d'approvisionnement et les relations avec les partenaires de confiance continuent d'augmenter dans le monde entier, comme le montre le rapport 2023 sur l'état de la défense de la chaîne d'approvisionnement de BlueVoyant. L’expansion des activités d’acteurs menaçants tels que Narhwal Spider renforce encore cette tendance.
Mesures de protection recommandées
L'utilisation de fichiers PDF infectés par des logiciels malveillants et déguisés en factures provenant de cabinets d'avocats légitimes est une indication clé des attaques menées dans le cadre de cette campagne. Les équipes de sécurité doivent être attentives à un volume inhabituellement élevé de factures au format PDF, en particulier celles qui proviennent de sources externes et sont nommées selon le modèle « Facture_[numéro]_de_[nom du cabinet d'avocats].pdf ». L’utilisation de solutions modernes de sécurité de la messagerie capables d’analyser les pièces jointes PDF à la recherche de contenu malveillant peut aider à détecter et à contenir ces menaces.
Outre la vérification des e-mails entrants, la surveillance des connexions réseau constitue également une méthode importante pour identifier de telles attaques. La campagne s’appuie sur des sites Web WordPress compromis pour les communications C2, et des modèles de trafic inhabituels ou des pics de trafic vers et depuis les sites Web WordPress pourraient indiquer une éventuelle infection.
Plus d’informations sur bluevoyant.com
À propos de BlueVoyant
BlueVoyant combine des capacités de cyberdéfense internes et externes dans une solution de cybersécurité basée sur le cloud et axée sur les résultats, qui surveille en permanence les réseaux, les points finaux, les surfaces d'attaque et les chaînes d'approvisionnement, ainsi que le Web clair, profond et sombre à la recherche de menaces. Des produits et services complets de cyberdéfense identifient, enquêtent et corrigent rapidement les menaces pour protéger les organisations.