Des chercheurs en cybersécurité ont récemment mis à jour une opération ciblée en Ukraine utilisant une faille de Microsoft Office vieille de près de sept ans. L’exploit, identifié comme CVE-2017-8570, permet l’exécution de code à distance par ouverture d’un fichier malveillant. Initialement, une présentation PowerPoint semblait être un vieil manuel de l’armée américaine mais cachait en fait un script malveillant.
Cette technique rappelle l’idée d’un « cheval de Troie », où l’apparence inoffensive masque une menace. L’objectif ici est de charger discrètement un script hébergé à distance, déclenchant l’exécution automatique d’un fichier HTML contenant du code JavaScript. Cela permet aux attaquants d’établir une persistance sur le système compromis via le Registre Windows et de déposer une charge utile qui imite le client VPN Cisco AnyConnect.
Ce qui intrigue dans cette attaque, c’est l’utilisation de noms de domaine imitant des sites d’art génératif et de photographie. Ces domaines, bien que déguisés, visaient à tromper spécifiquement le personnel militaire, d’où la présence de contenu militaire dans le leurre.
Le groupe responsable de cette attaque n’a pas été directement identifié, mais l’ampleur et la sophistication de l’opération suggèrent une coordination précise et des capacités avancées.
Pour se protéger, il est crucial de rester vigilant face aux fichiers provenant de sources inconnues, surtout quand ils ont un rapport avec des logiciels couramment ciblés comme Microsoft Office. Assurer une mise à jour régulière des systèmes et des logiciels est également primordial pour se prémunir contre l’exploitation de vulnérabilités déjà corrigées.
