Un nouveau cas d'intrusion détecté par les chasseurs de menaces se concentre à nouveau sur une combinaison de techniques d'ingénierie sociale et d'évasion avancées qui, ensemble, facilitent les attaques rapides et silencieuses au sein des réseaux d'entreprises. Recherche Chasseur ils ont documenté comment les acteurs malveillants sont devenus un support technique pour convaincre les employés d'ouvrir des sessions d'accès à distance, et de là ils ont déployé le cadre de commandement et de contrôle connu comme Havoc avec l'objectif apparent d'exfilter des données ou de préparer une attaque ransomware.
La chaîne d'attaque décrite par les analystes commence par une campagne de courrier de masse conçue non seulement pour les références de pêche, mais pour saturer les plateaux d'entrée et préparer le terrain pour un appel téléphonique convaincant. Le téléphone n'est pas un détail mineur: les agresseurs s'appellent à la table d'aide et persuadent la victime de permettre l'accès à distance à l'équipe au moyen d'outils légitimes tels que Aide rapide ou applications de bureau à distance comme N'importe quel bureau. Une fois à l'intérieur, l'intrus ne perd pas de temps: il ouvre le navigateur et guide l'utilisateur vers une fausse page hébergée par le cloud qui imite un service Microsoft pour "mise à jour" des règles de spam dans Outlook.
Ce site apocrypho demande l'email et, en appuyant sur un bouton "mise à jour des paramètres", il exécute un script qui montre un chevauchement en demandant le mot de passe. Avec ce double mouvement, les agresseurs atteignent deux objectifs simultanés : obtenir des justificatifs et renforcer le sentiment de légitimité de l'opération, ce qui facilite la collaboration de la victime. Le correctif de spam prétendument téléchargé n'est pas bénéfique: ce qui semble être un installateur légitime exécute un binaire fiable - par exemple, ADNotificationManager. exe ou système binaire - qui à son tour sideloadea une DLL malveillante. Que DLL agit comme une passerelle pour charger le code shell Havoc et déployer l'agent connu sous le nom de Démon.
Les détails techniques de la charge utile montrent un accent clair sur la moquerie des défenses: certains de la DLL identifié contient flux de contrôle, boucles de retard de temps et techniques sophistiquées telles que La Porte de Halo et d'autres variations de "Hell's Gate" pour accrocher ntdll. dll fonctionne et évite les crochets EDR dans l'espace utilisateur. Afin de contextualiser ce type de tactique, il y a des explications techniques sur la façon dont les crochets EDR sont évités et les implications pour la détection dans les environnements d'entreprise en analyse comme MalwareTech et études sur les chaînes de couplage ntdll.
Après avoir établi la tête de pêche, les attaquants se déplacent rapidement. Huntress a documenté des cas où l'intrusion initiale s'est étendue à plusieurs paramètres en quelques heures, combinant l'exécution manuelle de la commande par l'attaquant et le déploiement automatisé pour la persistance. Les techniques pour rester dans le réseau comprenaient la création de tâches programmées qui relancent l'agent après chaque redémarrage et, parfois, l'installation d'outils légitimes de gestion à distance tels que le niveau RMM ou XEOX pour diversifier les points de persistance et compliquer l'assainissement.
Le modèle d'attaque rappelle les opérations antérieures attribuées à des groupes de ransomware qui ont abusé des campagnes de « pompage d'email » et d'hameçonnage par Microsoft Teams pour forcer les actions, et soulève deux hypothèses sur leur origine: soit les anciens groupes affiliés comme Black Basta appliquent le même livret dans de nouveaux projets criminels, ou d'autres groupes ont adopté ce playbook parce qu'il a fonctionné. Quoi qu'il en soit, la leçon est claire : les tactiques qui étaient auparavant considérées comme un domaine d'acteurs hautement sophistiqués deviennent plus accessibles et courantes pour les groupes criminels organisés qui cherchent un accès initial et une persistance rapide.
Au-delà de la composante technique, le point le plus inquiétant est la normalisation de l'ingénierie des téléphones sociaux et la volonté des agresseurs d'appeler des numéros personnels pour améliorer la probabilité de succès. Lorsqu'un appel apparemment crédible ouvre la porte, des techniques complexes d'évasion et de chargement de logiciels malveillants transforment cette entrée en compromis avec la portée latérale et le risque d'exfiltration ou de chiffrement de masse de données.
Pour se défendre dans ce scénario, les mesures humaines et techniques doivent être combinées : il est essentiel d'éduquer les employés à vérifier l'identité de l'appelant avant de permettre l'accès à leur équipement et de se méfier des demandes urgentes qui consistent à accorder la télécommande ou à introduire des références sur des pages inhabituelles. Du niveau technologique, l'adoption de l'authentification multifactorielle, la surveillance des tâches programmées, un contrôle strict sur l'installation des logiciels et la capacité des solutions de sécurité à détecter des comportements anormaux plutôt que des signatures statiques sont des obstacles qui réduisent le succès de ces attaques. Agences de cybersécurité, telles que CISA ils publient des guides et des alertes utiles sur la façon d'atténuer les risques liés aux ransomwares et aux engagements initiaux en matière d'ingénierie sociale.
Cet incident rappelle que la sécurité n'est pas seulement une question d'outils : c'est une discipline qui nécessite des processus, une vérification humaine et une vision de défense approfondie. La combinaison d'une tromperie téléphonique convaincante, l'abus de profits légitimes et de techniques d'évasion avancées produit un ennemi capable d'entrer avec beaucoup de subtilité et de se déplacer rapidement dans un réseau. Restez vigilants, examinez les procédures d'accès à distance et préparez des plans d'intervention qui envisagent une remise en état rapide des lieux.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...