Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-29 Par sujet Dominique Rousseau 
Le Tue, Mar 29, 2022 at 08:08:37AM +0100, Willy Manga [mangawi...@gmail.com] a 
écrit:
(...)
> >Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence
> >des premières étapes d'une cyber attaque soit provenant de la Russie, soit de
> >faux drapeau pour se faire passer pour la Russie.
> >Une tentative qui ratisse large, et qui a parmi ses cibles clairement des
> >stratégiques comme celui des opérateurs de réseaux.
> >À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre.
> 
> Je pense qu'au delà du contexte actuel, c'est une 'nouvelle' approche de
> spaming: trouver un moyen de s'introduire dans une boîte aux lettres,
> reprendre des anciennes correspondances, rajouter au dessus d'un vrai
> message un lien vers un site malveillant et envoyer un courriel à toutes les
> personnes trouvées dans la boîte.

+1
J'ai recu le meme genre de mails que certains evoquent ici, comme
pseudo-reponse au mail envoyé, et j'ai déjà vu le meme genre de cas
(fausse réponse à un vrai mail émis) chez des clients.




-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-29 Par sujet Willy Manga 


Hello,

On 28/03/2022 17:11, frnog.kap...@antichef.net wrote:

On lundi 28 mars 2022 15:11:10 CEST Stephane Bortzmeyer - bortzme...@nic.fr
wrote:

[...]

Le corps du message est en français mais avec des tournures de phrases qu'on
emploit pas en français et un lien onedrive pour trouver une supposée facture.


Le lien malveillant qui permet de rendre le processus viral si on tombe 
dedans.



En dessous une citation tronquée du message que j'avais envoyé en novembre
dernier sur la liste.


A $DAYJOB nous avons aussi eu le même type de message en février mais en 
anglais.




Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence
des premières étapes d'une cyber attaque soit provenant de la Russie, soit de
faux drapeau pour se faire passer pour la Russie.
Une tentative qui ratisse large, et qui a parmi ses cibles clairement des
stratégiques comme celui des opérateurs de réseaux.
À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre.


Je pense qu'au delà du contexte actuel, c'est une 'nouvelle' approche de 
spaming: trouver un moyen de s'introduire dans une boîte aux lettres, 
reprendre des anciennes correspondances, rajouter au dessus d'un vrai 
message un lien vers un site malveillant et envoyer un courriel à toutes 
les personnes trouvées dans la boîte.


--
Willy Manga
@ongolaboy
https://ongola.blogspot.com/


OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-29 Par sujet Chrystelle Coupat via frnog 

Bonjour,

Nous en avons reçu plusieurs de notre côté en provenance de mails 
piratés et usurpant des conversations qui avaient bien lieu entre une 
boîte possiblement compromise (tous les émetteurs réels se trouvent dans 
des leaks répertoriés par https://haveibeenpwned.com/) et certains de 
nos utilisateurs.
Par ailleurs, j'ai reçu moi-même un mail de ce type reprenant un échange 
public de cette liste.



Après quelques recherches, les liens ressemblent fortement à Emotet (et 
avec le même modus operandi : utilisation de mails compromis et/ou 
publics pour notre liste ici, payloads chiffrés sur des sites 
piratés...). Un des payloads que nous avons reçu est listé ici : 
https://www.virustotal.com/gui/collection/2c89b98649240dabf6568562bca0c1f2b9f7370823d8637b1e810d3cee374866


Bonne journée,

--
Chrystelle Coupat
Responsable exploitation & sécurité informatique
Déléguée à la Protection des Données
Mediapart | https://www.mediapart.fr/
GPG : 0C1E 84CC 1CA5 38CE 9480 50F7 8307 D87D 3E38 74F4
Conformément à la charte du droit à la déconnexion de Mediapart,
les mails envoyés le soir ou le weekend n’appellent pas de réponse immédiate

Le 28/03/2022 à 18:11, frnog.kap...@antichef.net a écrit :

On lundi 28 mars 2022 15:11:10 CEST Stephane Bortzmeyer - bortzme...@nic.fr
wrote:

Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et,
là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du
message en question, une partie du message dans le corps mais pas de
Reply-To:.

Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le
but d'augmenter les chances de passer à travers les anti-spams ?

Bonjour,

moi aussi. Je viens d'en recevoir un à l'instant.
pas de reply-to.
envoyé depuis un domaine créé aujourd'hui:
  Creation Date: 2022-03-28T04:52:33.0Z
enregistré chez beget.com qui affiche une page d'accueil en russe.

Le corps du message est en français mais avec des tournures de phrases qu'on
emploit pas en français et un lien onedrive pour trouver une supposée facture.

En dessous une citation tronquée du message que j'avais envoyé en novembre
dernier sur la liste.

Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence
des premières étapes d'une cyber attaque soit provenant de la Russie, soit de
faux drapeau pour se faire passer pour la Russie.
Une tentative qui ratisse large, et qui a parmi ses cibles clairement des
stratégiques comme celui des opérateurs de réseaux.
À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre.

Cordialement



---
Liste de diffusion du FRnOG
http://www.frnog.org/






---
Liste de diffusion du FRnOG
http://www.frnog.org/




OpenPGP_0x8307D87D3E3874F4.asc
Description: OpenPGP public key


OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-28 Par sujet frnog . kapush 
On lundi 28 mars 2022 15:11:10 CEST Stephane Bortzmeyer - bortzme...@nic.fr 
wrote:
> Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et,
> là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du
> message en question, une partie du message dans le corps mais pas de
> Reply-To:.
> 
> Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le
> but d'augmenter les chances de passer à travers les anti-spams ?

Bonjour,

moi aussi. Je viens d'en recevoir un à l'instant.
pas de reply-to.
envoyé depuis un domaine créé aujourd'hui:
 Creation Date: 2022-03-28T04:52:33.0Z
enregistré chez beget.com qui affiche une page d'accueil en russe.

Le corps du message est en français mais avec des tournures de phrases qu'on 
emploit pas en français et un lien onedrive pour trouver une supposée facture.

En dessous une citation tronquée du message que j'avais envoyé en novembre 
dernier sur la liste.

Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence 
des premières étapes d'une cyber attaque soit provenant de la Russie, soit de 
faux drapeau pour se faire passer pour la Russie.
Une tentative qui ratisse large, et qui a parmi ses cibles clairement des 
stratégiques comme celui des opérateurs de réseaux.
À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre.

Cordialement


> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-28 Par sujet Romain 
J'ai eu la même chose il y a quelques minutes avec une citation d'une
réponse sur la ML sd-pro d'OVH.

Le lun. 28 mars 2022 à 15:11, Stephane Bortzmeyer  a
écrit :

> Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et,
> là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du
> message en question, une partie du message dans le corps mais pas de
> Reply-To:.
>
> Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le
> but d'augmenter les chances de passer à travers les anti-spams ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-28 Par sujet Xavier Beaudouin via frnog 
Hello,

> On lundi 28 mars 2022 15:11:10 CEST, Stephane Bortzmeyer wrote:
>> Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et,
>> là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du
>> message en question, une partie du message dans le corps mais pas de
>> Reply-To:.
>>
>> Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le
>> but d'augmenter les chances de passer à travers les anti-spams ?
> 
> Reçu aussi.
> 
> C'est pas du spam, c'est un virus envoyé depuis une IP russe, et la fausse
> réponse, c'est plus certainement pour passer a travers les humains que
> l'anti-spam.

Je l'ai eu aussi D'ailleurs dans la série SPAM je vois une très 
nette augmentation du spam provenant de gmail... presque 2/3 chez moi.

J'ai de plus en plus envie de faire un reject ...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-28 Par sujet Vincent Tondellier via frnog 

On lundi 28 mars 2022 15:11:10 CEST, Stephane Bortzmeyer wrote:

Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et,
là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du
message en question, une partie du message dans le corps mais pas de
Reply-To:.

Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le
but d'augmenter les chances de passer à travers les anti-spams ?


Reçu aussi. 

C'est pas du spam, c'est un virus envoyé depuis une IP russe, et la fausse 
réponse, c'est plus certainement pour passer a travers les humains que 
l'anti-spam.


Cependant il y tellement d'alarmes qui clignotent dans ce phishing (From:, 
html, pas de signature de la liste, pas de reply-to:) que c'est de la pêche 
a la baleine ...


Point amusant : pour une fois, un bot qui comprends les emails avec un + 
dedans !


Le fichier dans le zip:
https://www.virustotal.com/gui/file/9225e069e8460b5d813d8b9afac6fb72732f536033d055bf0e380a00897b0ac0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-28 Par sujet Emmanuel DECAEN 

Bonjour Stéphane,

Le 28/03/2022 à 15:11, Stephane Bortzmeyer a écrit :

Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et,
là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du
message en question, une partie du message dans le corps mais pas de
Reply-To:.

Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le
but d'augmenter les chances de passer à travers les anti-spams ?



Je ne sais pas si c'est le même cas, que ce que je peux constater:
 -> mail émis depuis une IP 62.3.58.0/24
 -> envoi massif ce lundi entre 12H et 14H
 -> avec clamscan, on obtient: Doc.Downloader.Qbot03222-9942295-0 FOUND

Cela ressemble à un piratage de boite chez pas mal de monde.

Merci.
--
*Emmanuel DECAEN*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Curieux spam post-FRnog

2022-03-28 Par sujet François Goudal via frnog 



> On 28 Mar 2022, at 15:11, Stephane Bortzmeyer  wrote:
> 
> Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et,
> là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du
> message en question, une partie du message dans le corps mais pas de
> Reply-To:.

Même chose ici, j’en ai eu un le 25 janvier, et à nouveau un autre aujourd’hui.
---
Liste de diffusion du FRnOG
http://www.frnog.org/