Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Prendre d’assaut Microsoft Office

4 minute de lecture
Dernière mise à jour 23 février 2024
Document Microsoft Word entouré de nuages orageux

Un réseau cybercriminel connu sous le nom de « Storm-0978 » exploite activement une vulnérabilité non corrigée d’exécution de code à distance dans Microsoft Office et Windows HTML. Cette vulnérabilité zero- day très grave désignée sous le nom de CVE-2023-36884 a obtenu un score CVSS v3.1 de 8,3. Elle a été exploitée par le biais de documents Microsoft Office spécialement conçus que les victimes sont incitées à ouvrir à l’aide d’e-mail frauduleux. 

Ces hackers ciblent les entités gouvernementales et de défense en Europe et en Amérique du Nord en envoyant des e-mails dont l’objet est « Congrès mondial ukrainien » ou « OTAN ». Ils incluent des liens vers un site Web qui héberge des documents frauduleux. 

Une fois que la victime a ouvert le document Office malveillant, les cybercriminels peuvent exécuter du code arbitraire sur les systèmes ciblés. Conséquence : ils peuvent envoyer des charges utiles supplémentaires telles que des chevaux de Troie d’accès distant (RAT) ou des ransomwares. 

Étant donné que cette vulnérabilité n’est pas encore corrigée, d’autres pirates peuvent tenter de lancer des attaques similaires en utilisant des tactiques semblables. Ils peuvent par exemple diffuser des documents destructeurs sous forme de pièces jointes incluses dans des e-mails plutôt que de créer un lien vers un site malveillant. 

À l’heure où nous écrivons cet article, la liste complète des versions vulnérables de Microsoft Office et Windows n’a pas été partagée. Cependant, on estime que les versions récentes d’Office, de Windows et de Word sont concernées.

Planifiez une démonstration personnalisée de 30 minutes avec l'un de nos experts en sécurité.
Voir Varonis en action.

Qui se cache derrière « Storm-0978 » ? 

« Storm-0978 », également connu sous le nom de « RomCom », en raison de son utilisation précédente du RAT du même nom, serait un réseau cybercriminel étroitement lié à la Russie. Il serait actif depuis au moins un an. 

Ayant déjà utilisé des chevaux de Troie de logiciels populaires pour diffuser le RAT RomCom, le groupe a également été associé aux menaces de ransomware « Trigona » et «  Underground ». Ce dernier pourrait être le nouveau nom d’« Industrial Spy ». 

Comme c’est souvent le cas avec des hackers motivés par l’appât du gain, les attaques qui ciblaient les secteurs des télécommunications et de la finance semblaient opportunistes. En revanche, leurs récentes activités semblent davantage ciblées, voire motivées par l’espionnage. 

Recommandations 

En attendant la publication d’une mise à jour de sécurité hors cycle ou dans la publication mensuelle Patch Tuesday, les entreprises doivent suivre les recommandations de Microsoft prodiguées dans leur guide de mise à jour de la sécurité. Ce dernier recommande de mettre en place la règle de réduction de la surface d’attaque « Bloquer toutes les applications Office pour créer des processus enfants » dans Microsoft Defender ou de configurer la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION. 

Lorsqu’elles effectuent ces ajustements, les entreprises doivent prendre en compte les impacts de tout changement de registre, car ceux-ci peuvent affecter les fonctionnalités des applications. Elles doivent également envisager d’adopter une approche proactive en surveillant la publication des mises à jour de sécurité hors cycle.

En outre, il convient d’envisager la mise en œuvre de restrictions d’accès aux domaines et aux adresses IP mentionnées dans la section relative aux indices de compromission (IOC). Cette opération permettra non seulement d’empêcher les utilisateurs d’accéder à des contenus malveillants, mais également de contrer d’éventuelles tentatives de commande et contrôle.

Enfin, si vous soupçonnez une attaque ciblée, analysez minutieusement votre environnement à la recherche des IOC indiqués ci-dessous et agissez immédiatement pour contenir et corriger les menaces identifiées. En suivant ces recommandations, votre entreprise peut renforcer sa posture de sécurité et minimiser l’impact d’éventuelles failles.

Indices de compromission (IOC) 

IOC Type Description

ukrainianworldcongress[.]info 

Domaine 

Imite le nom de domaine légitime ukrainianworldcongress[.]org 

%APPDATA%\Local\Temp\Temp1_<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip\2222.chm 

Chemin d’accès au fichier 

Charge utile CHM spécifique à la victime contenant file1.htm, file1.mht, fileH.htm, fileH.mht et INDEX.htm 

104.234.239[.]26 

IPv4 

Hôtes C2 et charges utiles supplémentaires 

213.139.204[.]173 

IPv4 

Se résout à ukrainianworldcongress[.]info 

66.23.226[.]102 

IPv4 

Infrastructure potentielle de Storm-0978 (contenu similaire) 

74.50.94[.]156 

IPv4 

Hôtes C2 et charges utiles supplémentaires 

94.232.40[.]34 

IPv4 

Infrastructure potentielle de Storm-0978 (contenu similaire) 

07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

SHA256 

Deuxième étape du document Microsoft Word malveillant - file001.url 

07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

SHA256 

Deuxième étape du document Microsoft Word malveillant - \\104.234.239[.]26\share1\MSHTML_C7\file001.url 

3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97 

SHA256 

Letter_NATO_Summit_Vilnius_2023_FR.docx - Document frauduleux 

a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f 

SHA256 

Overview_of_UWCs_UkraineInNATO_campaign.docx - Document frauduleux  

ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be 

SHA256 

Document Word malveillant - hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> 

e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539 

SHA256 

afchunk.rtf - Charge utile d’exploit intégrée dans les documents frauduleux 

\\104.234.239[.]26\share1\MSHTML_C7\file001.url 

Chemin UNC 

Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

\\104.234.239[.]26\share1\MSHTML_C7\file001.url 

URL 

Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.htm?d=<VICTIM_IP>_<5_CHAR_HEX_ID> 

URL 

Call home utilisé pour générer des charges utiles avec l’adresse IP/l’identifiant de la victime 

hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://104.234.239[.]26/share1/MSHTML_C7/file001.url 

URL 

Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

hxxp://66.23.226[.]102/MSHTML_C7/start.xml 

URL 

Infrastructure potentielle de Storm-0978 (contenu similaire) 

hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> 

URL 

Document Word malveillant - ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be 

hxxp://74.50.94[.]156/MSHTML_C7/o2010.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://74.50.94[.]156/MSHTML_C7/RFile.asp 

URL 

Référencé par start.xml ; charge le contenu généré pour l’IP de la victime 

hxxp://74.50.94[.]156/MSHTML_C7/start.xml 

URL 

Chargement du fichier RFile.asp 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://94.232.40[.]34/MSHTML_C7/start.xml 

URL 

Infrastructure potentielle de Storm-0978 (contenu similaire) 

hxxp://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Letter_NATO_Summit_Vilnius_2023_ENG.docx 

URL 

Document frauduleux 

hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx 

URL 

Document frauduleux 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
découverte-des-vulnérabilités-outlook-et-nouvelles-façons-de-divulguer-les-hachages-ntlm
Découverte des vulnérabilités Outlook et nouvelles façons de divulguer les hachages NTLM
Le laboratoire de détection des menaces de Varonis a découvert un nouvel exploit Outlook et trois nouvelles façons d’accéder aux mots de passe hachés NTLM v2.
prendre-d’assaut-microsoft-office
Prendre d’assaut Microsoft Office
Le ransomware « Storm-0978 » exploite activement une vulnérabilité non corrigée d’exécution de code à distance dans Microsoft Office et Windows HTML.
sites-fantômes :-vol-de-données-provenant-de-communautés-salesforce-désactivées
Sites fantômes : vol de données provenant de communautés Salesforce désactivées
Varonis Threat Labs a découvert des sites Salesforce « fantômes » incorrectement désactivés qui sont facilement détectés, accessibles et exploitables par les attaquants.
vmware-esxi-dans-la-ligne-de-mire-des-ransomwares
VMware ESXi dans la ligne de mire des ransomwares
Les serveurs exécutant le célèbre hyperviseur de virtualisation VMware ESXi ont été ciblés par au moins un groupe de ransomwares au cours de la semaine dernière. Ces attaques proviendraient d’un balayage visant à identifier les hôtes présentant des vulnérabilités dans le protocole OpenSLP (Open Service Location Protocol).