Bonjour,Nous en avons reçu plusieurs de notre côté en provenance de mails piratés et usurpant des conversations qui avaient bien lieu entre une boîte possiblement compromise (tous les émetteurs réels se trouvent dans des leaks répertoriés par https://haveibeenpwned.com/) et certains de nos utilisateurs. Par ailleurs, j'ai reçu moi-même un mail de ce type reprenant un échange public de cette liste.
Après quelques recherches, les liens ressemblent fortement à Emotet (et avec le même modus operandi : utilisation de mails compromis et/ou publics pour notre liste ici, payloads chiffrés sur des sites piratés...). Un des payloads que nous avons reçu est listé ici : https://www.virustotal.com/gui/collection/2c89b98649240dabf6568562bca0c1f2b9f7370823d8637b1e810d3cee374866
Bonne journée, -- Chrystelle Coupat Responsable exploitation & sécurité informatique Déléguée à la Protection des Données Mediapart | https://www.mediapart.fr/ GPG : 0C1E 84CC 1CA5 38CE 9480 50F7 8307 D87D 3E38 74F4 Conformément à la charte du droit à la déconnexion de Mediapart, les mails envoyés le soir ou le weekend n’appellent pas de réponse immédiate Le 28/03/2022 à 18:11, frnog.kap...@antichef.net a écrit :
On lundi 28 mars 2022 15:11:10 CEST Stephane Bortzmeyer - bortzme...@nic.fr wrote:Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du message en question, une partie du message dans le corps mais pas de Reply-To:. Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le but d'augmenter les chances de passer à travers les anti-spams ?Bonjour, moi aussi. Je viens d'en recevoir un à l'instant. pas de reply-to. envoyé depuis un domaine créé aujourd'hui: Creation Date: 2022-03-28T04:52:33.0Z enregistré chez beget.com qui affiche une page d'accueil en russe. Le corps du message est en français mais avec des tournures de phrases qu'on emploit pas en français et un lien onedrive pour trouver une supposée facture. En dessous une citation tronquée du message que j'avais envoyé en novembre dernier sur la liste. Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence des premières étapes d'une cyber attaque soit provenant de la Russie, soit de faux drapeau pour se faire passer pour la Russie. Une tentative qui ratisse large, et qui a parmi ses cibles clairement des stratégiques comme celui des opérateurs de réseaux. À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre. Cordialement--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
OpenPGP_0x8307D87D3E3874F4.asc
Description: OpenPGP public key
OpenPGP_signature
Description: OpenPGP digital signature
