Pawn Storm (également APT28 ou Forest Blizzard) est un groupe d'acteurs APT caractérisés par une répétition persistante dans leurs tactiques, techniques et procédures (TTP).
Le groupe est connu pour continuer à utiliser ses campagnes de phishing par courrier électronique vieilles de dix ans ciblant des cibles de grande valeur dans le monde entier. Bien que les méthodes et l'infrastructure des campagnes évoluent progressivement au fil du temps, elles fournissent toujours des informations précieuses sur l'infrastructure de Pawn Storm, y compris celles utilisées dans des campagnes plus avancées.
Trend Micro a suivi les activités de Pawn Storm entre avril 2022 et novembre 2023 : pendant cette période, Pawn Storm a tenté de lancer des attaques par relais de hachage NTLMv2 en utilisant diverses méthodes. Les destinataires des campagnes malveillantes de spear phishing comprennent des organisations de politique étrangère, d’énergie, de défense et de transport. Le groupe a également ciblé des organisations s'occupant du travail, de la protection sociale, des finances et de la parentalité, et même les gouvernements municipaux locaux, une banque centrale, les tribunaux et les pompiers de la branche militaire d'un pays.
Attaques sophistiquées
Le manque apparent de sophistication ne signifie pas nécessairement que les auteurs n’ont pas réussi ou que les campagnes ne sont pas sophistiquées. Au contraire, il existe des preuves claires que Pawn Storm a compromis des milliers de comptes de messagerie au fil du temps, certaines de ces attaques apparemment répétitives étant intelligemment conçues et masquées. Certains utilisent également des TTP sophistiqués. Le « bruit » des campagnes répétitives, souvent brutales et agressives, couvre le silence, la subtilité et la complexité de l'intrusion initiale, ainsi que les actions post-exploitation qui peuvent avoir lieu une fois que les intrus ont pris pied dans les organisations de victimes.
Feike Hacquebord, Senior Threat Researcher chez Trend Micro, classe les activités du groupe : Pawn Storm a lancé une campagne de phishing contre différents gouvernements en Europe du 29 novembre au 11 décembre 2023. Nous pouvons associer cette campagne à certaines campagnes de relais de hachage Net-NTLMv2 à l'aide d'indicateurs techniques. Par exemple, le même nom d'ordinateur a été utilisé dans les deux campagnes. Il a également été utilisé pour envoyer des e-mails de spear phishing et créer des fichiers LNK utilisés dans certaines campagnes de relais de hachage Net-NTLMv2.
Plus sur TrendMicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.
Articles liés au sujet