Alerte SC-2021-001A - Acteur APA-01

Résumé de l’attaque :

Le 4 mai 2021, un cyberacteur malveillant restreint l’accès à l’un de nos sites Web en soumettant une demande de changement de catégorie associée au site web concerné pour qu’il soit identifié comme un site de phishing et ainsi en restreindre les accès légitimes. Le cyberclown utilise alors une faiblesse du site Web de fortiguard https://www.fortiguard.com/webfilter qui permet de modifier très facilement la catégorisation d’un site web sans validation suffisante.

Attribution de l’attaque :

Dès le début de l’investigation, nous avons attribué le nom APA-01 (Active Persistent Amateur) à ce cyberamateur malveillant.

Description de la technique utilisée :

Le cybermythomane malveillant et sournois se connecte sur la page https://www.fortiguard.com/webfilter/ et il fait une requête pour catégoriser le site web visé par l’attaque avec la catégorie « hameçonnage » empêchant ainsi, presque tous les clients de fortinet utilisant la solution de filtrage web d’accéder au site Web concerné par cette attaque sophistiquées, surnoise, machiavélique et digne d’un troll bedonnant arborant fièrement un sac banane à la taille (version en cuir pour plus de charme sensuel).

Chronologie de l’attaque :

Les connexions se font sur le site https://www.donnees-quebec.ca

04/May/2021 19:15:06 - connexion de 207.253.175.195 (Phase reconnaissance)
04/May/2021 19:24:25 - connexion de 207.253.175.195 (Phase reconnaissance)
04/May/2021 19:25:09 - connexion de 207.253.175.195 (Phase reconnaissance)
04/May/2021 19:52:37 - connexion de 208.91.113.130 (IP associé à fortinet pour la vérification des sites web (catégorisation))
04/May/2021 21:18:13 - connexion de 45.92.228.15 (expressVPN ou similaire) (Phase vérification post attaque)
- l’IP 45.92.228.15 se connecte sur un lien unique “https://www.donnees-quebec.ca/pubx/vcp/yannick.vollenberg_lettre-avocat.pdf". Ce lien a été diffusé le 4 mai, uniquement à l’avocat d’une personne très spéciale.
- Le document PDF est en fait une copie d’une mise en demeure que j’ai reçu de la part d’une personne que je préfère ne pas nommer, pour l’instant.
  - Ce sujet devrait être approfondi dans un post distinct. Surveiller un post avec le titre “La fois ou j’ai reçu une mise en demeure qui exigeait que je m’engage a ne plus jamais jamais jamais faire de recherche google sur un personne pas mal spéciale”.

hypothèse :

APA-01 navigue sur internet à partir de l’IP 207.253.175.195 et il utilise une solution fortinet pour se protéger de lui-même et surtout pour respecter les bonnes pratiques.
APA-01 ne peut plus accéder au site concerné parce que son fortinet bloque par défault la catégorie (phishing). Le cybercabochon possiblement amateur de grizou, s’est donc lui-même bloqué les accès au site à cause de la nouvelle catégorie (phishing), selon la catégorisation de Fortinet, solution qui serait utilisée par le cyberneoquebecois.
- La référence à grizou concerne le petit dragon en dessin animé. Il n’est donc pas question de grizou le mot de passe sécuritaire).
Ne sachant pas comment appliquer une whitelist sur un équipement fortinet, APA-01 le petit cachotier utilise donc une connexion VPN pour valider/vérifier l’accessibilité du fichier PDF.
APA-01 ne voulant pas que le fichier pdf soit accessible à tous, il tente de bloquer l’accès au fichier PDF en bloquant les utilisateurs de la solution fortinet d’accéder au site.

Chronologie de la résolution :

10/May/2021 11:50:69 - En tentant d’accéder au site web concerné à partir d’un de mes clients, je constate que les accès sont bloqués par la catégorie phishing (fortiguard).
10/May/2021 12:02 - 12:18 - Consultation des journaux d’accès pour la période qui correspond au changement de catégorisation du site web concerné. Corrélation des événements pour identifier la source de l’attaque.
10/May/2021 12:19:26 - Utilisation du formulaire “malicious URL Appeal Form” du site web fortinet pour expliquer la situation concernant le changement de catégorie par un cyberacteur malicieux.
10/May/2021 14:49:11 - Réception de la première réponse du support fortinet et retrait de la catégorie phishing.

Au cours de l’enquête :

Nous avons informé Fortinet que nous soupçonnions un utilisateur précis avec une adresse courriel et une adresse IP spécifique d’avoir utilisé leur service pour soumettre une la catégorie hameçonnage pour notre site web avec comme objectif de restreindre l’accès au site concerné.
Le support de Fortinet a procédé à la correction de la catégorisation de notre site sans délai. Nous avons toutefois insisté sur le fait que le petit génie, fervent de sac banane ne pouvait pas considérer le site en question comme étant de l’hameçonnage sans avoir des intentions malveillantes, probablement dues à un complexe d’infériorité refoulé depuis très longtemps.
Nous avons finalement fait part de notre inquiétude à fortinet concernant la possibilité qu’un cyberpseudospécialistemoncul ayant des lacunes intellectuelles considérables puisse à nouveau soumettre une fausse catégorie pour restreindre l’accès à notre site.

Malgré l’assurance de la part de Fortinet que nous n’avions pas à nous inquiéter pour l’avenir, nous pensons qu’il est trop facile pour un cyberacteur malveillant d’utiliser une nouvelle IP malicieuse et se comporter encore une fois comme un couillon, même si ce dernier serait trop lame pour ne pas se faire prendre.

Nous pensons que ce cyberacteur malveillant actif pourrait essayer de modifier son infrastructure malveillante pour contourner les mécanismes de protection utilisant des listes d’IOC. Pour cette raison, nous avons ajouté des alertes et une surveillance continue pour identifier les modifications sur l’infrastructure utilisée à des fins malveillantes. Nous pourrons ainsi partager et ajouter les nouveaux éléments à la liste des IOC liées à ce cyberamateur bedonnant.

IOC :

L’enquête étant terminée, nous sommes heureux de partager les IOC afin que les SOC et CERT puissent, s’ils le désirent, ajouter les IOC ci-dessous dans leurs listes respectives.

Des règles Snort/Suricata/Sigma seront également disponibles sous peu, nous vous suggérons d'ajouter ces règles ou de vous en inspirer.

Indicators of Compromise

APA-01-ioc-ip-01 :

IP : 207.253.175.195
Organisation: Cooperative de cablodistribution de l’arriere-pays
Géolocalisation: Canada
Activité: Addresse IP utilisée pour effectuer une reconnaissance de la cible. Cette addresse IP est aussi celle qui à été utilisée pour effectuer la demande de catégorisation phishing via le formulaire web fortinet.

APA-01-ioc-fqdn-01 :

FQDN 1 : nuage.vollenberg.ca
Organisation: Vollenberg inc - Services conseils en sécurité de l’information
Activité: FQDN actif associé à APA-01-ioc-ip-01. Ce FQDN à hébergé temporaire une solution nextcloud/owncloud qui n’est plus accessible.

APA-01-ioc-fqdn-02 :

FQDN 2 : depot.vollenberg.ca
rganisation: Vollenberg inc - Services conseils en sécurité de l’information.
Activité: FQDN actif associé à APA-01-ioc-ip-01. Ce FQDN héberge un site accessible uniquement en HTTP sur le port 80 et il rend disponible des scripts shell douteux.

APA-01-ioc-domain-01 :

Nom de domaine : vollenberg.ca
Organisation: Vollenberg inc - Services conseils en sécurité de l’information
Activité: Nom de domaine associé à APA-01-ioc-ip-01, APA-01-ioc-fqdn-01 et APA-01-ioc-fqdn-02

Action recommandée :

Si vous voyez l’un des IOC dans vos journaux, nous vous suggérons de surveiller le site Webfilter de fortiguard pour détecter s’il y a un changement malveillant dans la catégorisation de votre site.

Exactitude des informations :

Si vous pensez que l’alerte ci-dessus contient des informations erronées, vous pouvez envoyer un courriel à l’adresse disponible dans la section « contact » de ce site en prenant soin d’expliquer brièvement les informations erronées ainsi que la correction qui devrait être apportée selon vous.

Si les responsables d’un des IOC que nous avons identifiés comme étant utilisés à des fins malveillantes désirent nous envoyer un courriel d’explication qui pourrait justifier une erreur, ils doivent utiliser une adresse avec un nom de domaine différent des IOC parce que les domaines IOC sont normalement ajoutés à nos blacklist et il est ainsi probable que le courriel soit rejeté dans messages d’erreurs.

Nous considérons qu'il est très important que les informations contenues sur ce site soient exactes et reflètent la réalité. C'est pourquoi les messages pour des demandes de rectification seront traités avec une importance très élevée.

Situation d’exception : Advenant qu’un attaquant faisant l’objet d’un article sur ce site soit atteint d’une condition particulière, nous pourrons envisager sous certaines conditions de retirer l’article en question de notre site.

Exemple de condition pouvant être acceptée: Si le sujet d’un article est un mythomane, nous ne pouvons pas espérer sérieusement qu’il se confesse et qu’il avoue les activités criminelles associées à ses activités. Par contre, nous exigerions une preuve que le sujet prend les moyens afin de soigner sa mythomanie.

Il s’agit simplement d’un exemple et la liste des conditions ou cas d’espèce serait trop longue à énumérer. Toutefois, sachez que nous croyons en la guérison et la réhabilitation des individus. Nous agirons donc conséquemment avec humanité pour traiter ces cas particuliers.

Liens et références sur les IOC :

https://beta.shodan.io/host/207.253.175.195/history

https://beta.shodan.io/host/207.253.175.195/history?language=en#5060

https://dehashed.com/search?query=vollenberg.ca

https://intelx.io/?s=vollenberg.ca

https://www.abuseipdb.com/check/207.253.175.195

Le site abuseipdb rend disponible une sorte de système de vote. C’est gratuit en passant.

https://securitytrails.com/list/apex_domain/vollenberg.ca

D:\openTaTa\research-facile\menteur\top5-menteur-tout-systeme-solaire-confondu\top3-menteur-planete-terre\le-grand-et-gros-gagnant\YV\ici-les-mensonges\cv-et-plusse\

echo $((19283847584-19323148120))

Autre source spéciale, complètement “random”, aucunement reliée

https://plus.lapresse.ca/screens/b701cdda-ddef-4616-8a3f-0396eb1295ec__7C___0.html