Re: [FRnOG] [MISC] Curieux spam post-FRnog
Le Tue, Mar 29, 2022 at 08:08:37AM +0100, Willy Manga [mangawi...@gmail.com] a écrit: (...) > >Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence > >des premières étapes d'une cyber attaque soit provenant de la Russie, soit de > >faux drapeau pour se faire passer pour la Russie. > >Une tentative qui ratisse large, et qui a parmi ses cibles clairement des > >stratégiques comme celui des opérateurs de réseaux. > >À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre. > > Je pense qu'au delà du contexte actuel, c'est une 'nouvelle' approche de > spaming: trouver un moyen de s'introduire dans une boîte aux lettres, > reprendre des anciennes correspondances, rajouter au dessus d'un vrai > message un lien vers un site malveillant et envoyer un courriel à toutes les > personnes trouvées dans la boîte. +1 J'ai recu le meme genre de mails que certains evoquent ici, comme pseudo-reponse au mail envoyé, et j'ai déjà vu le meme genre de cas (fausse réponse à un vrai mail émis) chez des clients. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Curieux spam post-FRnog
Hello, On 28/03/2022 17:11, frnog.kap...@antichef.net wrote: On lundi 28 mars 2022 15:11:10 CEST Stephane Bortzmeyer - bortzme...@nic.fr wrote: [...] Le corps du message est en français mais avec des tournures de phrases qu'on emploit pas en français et un lien onedrive pour trouver une supposée facture. Le lien malveillant qui permet de rendre le processus viral si on tombe dedans. En dessous une citation tronquée du message que j'avais envoyé en novembre dernier sur la liste. A $DAYJOB nous avons aussi eu le même type de message en février mais en anglais. Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence des premières étapes d'une cyber attaque soit provenant de la Russie, soit de faux drapeau pour se faire passer pour la Russie. Une tentative qui ratisse large, et qui a parmi ses cibles clairement des stratégiques comme celui des opérateurs de réseaux. À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre. Je pense qu'au delà du contexte actuel, c'est une 'nouvelle' approche de spaming: trouver un moyen de s'introduire dans une boîte aux lettres, reprendre des anciennes correspondances, rajouter au dessus d'un vrai message un lien vers un site malveillant et envoyer un courriel à toutes les personnes trouvées dans la boîte. -- Willy Manga @ongolaboy https://ongola.blogspot.com/ OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Curieux spam post-FRnog
Bonjour, Nous en avons reçu plusieurs de notre côté en provenance de mails piratés et usurpant des conversations qui avaient bien lieu entre une boîte possiblement compromise (tous les émetteurs réels se trouvent dans des leaks répertoriés par https://haveibeenpwned.com/) et certains de nos utilisateurs. Par ailleurs, j'ai reçu moi-même un mail de ce type reprenant un échange public de cette liste. Après quelques recherches, les liens ressemblent fortement à Emotet (et avec le même modus operandi : utilisation de mails compromis et/ou publics pour notre liste ici, payloads chiffrés sur des sites piratés...). Un des payloads que nous avons reçu est listé ici : https://www.virustotal.com/gui/collection/2c89b98649240dabf6568562bca0c1f2b9f7370823d8637b1e810d3cee374866 Bonne journée, -- Chrystelle Coupat Responsable exploitation & sécurité informatique Déléguée à la Protection des Données Mediapart | https://www.mediapart.fr/ GPG : 0C1E 84CC 1CA5 38CE 9480 50F7 8307 D87D 3E38 74F4 Conformément à la charte du droit à la déconnexion de Mediapart, les mails envoyés le soir ou le weekend n’appellent pas de réponse immédiate Le 28/03/2022 à 18:11, frnog.kap...@antichef.net a écrit : On lundi 28 mars 2022 15:11:10 CEST Stephane Bortzmeyer - bortzme...@nic.fr wrote: Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du message en question, une partie du message dans le corps mais pas de Reply-To:. Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le but d'augmenter les chances de passer à travers les anti-spams ? Bonjour, moi aussi. Je viens d'en recevoir un à l'instant. pas de reply-to. envoyé depuis un domaine créé aujourd'hui: Creation Date: 2022-03-28T04:52:33.0Z enregistré chez beget.com qui affiche une page d'accueil en russe. Le corps du message est en français mais avec des tournures de phrases qu'on emploit pas en français et un lien onedrive pour trouver une supposée facture. En dessous une citation tronquée du message que j'avais envoyé en novembre dernier sur la liste. Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence des premières étapes d'une cyber attaque soit provenant de la Russie, soit de faux drapeau pour se faire passer pour la Russie. Une tentative qui ratisse large, et qui a parmi ses cibles clairement des stratégiques comme celui des opérateurs de réseaux. À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre. Cordialement --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ OpenPGP_0x8307D87D3E3874F4.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Curieux spam post-FRnog
On lundi 28 mars 2022 15:11:10 CEST Stephane Bortzmeyer - bortzme...@nic.fr wrote: > Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, > là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du > message en question, une partie du message dans le corps mais pas de > Reply-To:. > > Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le > but d'augmenter les chances de passer à travers les anti-spams ? Bonjour, moi aussi. Je viens d'en recevoir un à l'instant. pas de reply-to. envoyé depuis un domaine créé aujourd'hui: Creation Date: 2022-03-28T04:52:33.0Z enregistré chez beget.com qui affiche une page d'accueil en russe. Le corps du message est en français mais avec des tournures de phrases qu'on emploit pas en français et un lien onedrive pour trouver une supposée facture. En dessous une citation tronquée du message que j'avais envoyé en novembre dernier sur la liste. Aux premiers abords, dans le contexte géopolitique du moment ça a l'apparence des premières étapes d'une cyber attaque soit provenant de la Russie, soit de faux drapeau pour se faire passer pour la Russie. Une tentative qui ratisse large, et qui a parmi ses cibles clairement des stratégiques comme celui des opérateurs de réseaux. À voir si cette campagne d'intrusion vise d'autres secteurs, à suivre. Cordialement > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Curieux spam post-FRnog
J'ai eu la même chose il y a quelques minutes avec une citation d'une réponse sur la ML sd-pro d'OVH. Le lun. 28 mars 2022 à 15:11, Stephane Bortzmeyer a écrit : > Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, > là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du > message en question, une partie du message dans le corps mais pas de > Reply-To:. > > Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le > but d'augmenter les chances de passer à travers les anti-spams ? > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Curieux spam post-FRnog
Hello, > On lundi 28 mars 2022 15:11:10 CEST, Stephane Bortzmeyer wrote: >> Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, >> là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du >> message en question, une partie du message dans le corps mais pas de >> Reply-To:. >> >> Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le >> but d'augmenter les chances de passer à travers les anti-spams ? > > Reçu aussi. > > C'est pas du spam, c'est un virus envoyé depuis une IP russe, et la fausse > réponse, c'est plus certainement pour passer a travers les humains que > l'anti-spam. Je l'ai eu aussi D'ailleurs dans la série SPAM je vois une très nette augmentation du spam provenant de gmail... presque 2/3 chez moi. J'ai de plus en plus envie de faire un reject ... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Curieux spam post-FRnog
On lundi 28 mars 2022 15:11:10 CEST, Stephane Bortzmeyer wrote: Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du message en question, une partie du message dans le corps mais pas de Reply-To:. Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le but d'augmenter les chances de passer à travers les anti-spams ? Reçu aussi. C'est pas du spam, c'est un virus envoyé depuis une IP russe, et la fausse réponse, c'est plus certainement pour passer a travers les humains que l'anti-spam. Cependant il y tellement d'alarmes qui clignotent dans ce phishing (From:, html, pas de signature de la liste, pas de reply-to:) que c'est de la pêche a la baleine ... Point amusant : pour une fois, un bot qui comprends les emails avec un + dedans ! Le fichier dans le zip: https://www.virustotal.com/gui/file/9225e069e8460b5d813d8b9afac6fb72732f536033d055bf0e380a00897b0ac0 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Curieux spam post-FRnog
Bonjour Stéphane, Le 28/03/2022 à 15:11, Stephane Bortzmeyer a écrit : Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du message en question, une partie du message dans le corps mais pas de Reply-To:. Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le but d'augmenter les chances de passer à travers les anti-spams ? Je ne sais pas si c'est le même cas, que ce que je peux constater: -> mail émis depuis une IP 62.3.58.0/24 -> envoi massif ce lundi entre 12H et 14H -> avec clamscan, on obtient: Doc.Downloader.Qbot03222-9942295-0 FOUND Cela ressemble à un piratage de boite chez pas mal de monde. Merci. -- *Emmanuel DECAEN* --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Curieux spam post-FRnog
> On 28 Mar 2022, at 15:11, Stephane Bortzmeyer wrote: > > Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, > là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du > message en question, une partie du message dans le corps mais pas de > Reply-To:. Même chose ici, j’en ai eu un le 25 janvier, et à nouveau un autre aujourd’hui. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Curieux spam post-FRnog
Le 14 décembre dernier, j'envoie un message sur la liste FRnog. Et, là, je reçois un spam de hameçonnage avec un sujet qui est le Re: du message en question, une partie du message dans le corps mais pas de Reply-To:. Quelqu'un se sert des archives de FRnog pour générer du spam ? Dans le but d'augmenter les chances de passer à travers les anti-spams ? --- Liste de diffusion du FRnOG http://www.frnog.org/