CERT-XMCO : Symantec confirme les attaques contre le secteur de la défense américain
décembre 2011 par CERT-XMCO
- Date : 12 Décembre 2011
- Gravité : Élevée
- Description :
Les pirates semblent être en train d’exploiter massivement la faille de sécurité (voir CXA-2011-2115) qui a récemment fait l’objet d’une alerte publiée par Adobe (APSA11-04, voir CXA-2011-2117).
Contrairement à ce qui était pensé initialement, Lockheed Martin (voir CXA-2011-2121) semble ne plus être la seule cible de cette attaque. Symantec vient de confirmer avoir détecté d’autres fichiers PDF malveillants au sein de sociétés du secteur de la défense américain. Entre autres, l’éditeur de solutions antivirales aurait détecté des courriels envoyés le 1 et le 5 novembre dernier, contenant une pièce jointe malveillante exploitant la faille. Dans chacun des cas identifiés, Symantec aurait détecté le malware Sykipot, utilisé l’an dernier dans le cadre de l’exploitation d’une faille présente au sein d’Internet Explorer 6 et 7. Il s’agit en l’occurrence d’un cheval de Troie relativement classique permettant entre autres de chiffrer les informations dérobées afin de les exfiltrer discrètement. À cause de certaines similarités entre les deux campagnes, Symantec pense que ce sont les mêmes pirates qui se cachent derrière ces attaques.
Les secteurs visés selon Symantec incluent :
– la défense ;
– les télécommunications ;
– les fabricants de matériel informatique ;
– l’industrie de la chimie ;
– l’énergie ;
– et enfin, les gouvernements.
Dans tous les cas identifiés, le mail envoyé serait intitulé "FY12 XXXXX Contract Guide", aurait pour corps "FY12 XXXXX contract guide is now available for all contractors of XXXXX. The new guide contains update information of XXXXX policy on contract award process.".
Enfin, il semblerait par ailleurs que les serveurs de contrôle du malware soient toujours opérationnels.
– Référence :
http://www.techcentral.ie/article.aspx?id=17937#.TuXwvwh0hVI.twitter
http://www.symantec.com/connect/blogs/sykipot-attacks
http://www.symantec.com/connect/blogs/adobe-reader-zero-day-being-exploited-wild
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2121
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2115
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2117
- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2153