Selon Trustwave SpiderLabs, une analyse des menaces 2024-2025 montre une intensification des attaques visant le secteur public américain. Le rapport recense plus de 117 entités gouvernementales US affectées par des ransomwares, une augmentation de 140% des attaques de callback phishing (TOAD), et des campagnes d’usurpation d’identité visant des autorités de transport et la Social Security Administration (SSA). Les vecteurs majeurs incluent l’exploitation de systèmes hérités, la compromission de comptes email gouvernementaux pour la diffusion de phishing, l’abus de plateformes légitimes (comme DocuSign et GovDelivery) et des activités d’États-nations. Le secteur public reste attractif du fait de bases de PII précieuses, d’un potentiel de perturbation opérationnelle, et de budgets cybersécurité limités. 🚨
Côté technique, l’étude détaille l’exploitation par Balada Injector de vulnérabilités XSS dans WordPress Popup Builder pour installer des portes dérobées PHP via du JavaScript encodé Base64. Des campagnes de phishing s’appuient sur des redirecteurs multi-étapes via Craft.me et Google Presentations menant à des sites de vol d’identifiants ; des fichiers SVG servent de redirecteurs ; des outils ScreenConnect malveillants sont déployés via de faux sites SSA ; des kits AITM Tycoon2FA contournent la MFA. Des comptes GovDelivery d’un organisme de l’Indiana compromis ont diffusé des emails de phishing TxTag. Les chaînes d’attaque impliquent des répertoires ouverts, des domaines typosquattés récemment enregistrés, et l’hébergement/diffusion de payloads sur des services légitimes.
IOCs et TTPs
- IOCs: non fournis dans l’extrait.
- TTPs:
- Exploitation XSS WordPress (Popup Builder) → dépôt de backdoors PHP via JS Base64.
- Redirecteurs multi-étapes (Craft.me, Google Presentations) → pages de credential harvesting.
- SVG utilisés comme redirecteurs.
- Déploiement d’outils ScreenConnect via sites SSA factices.
- Kits AITM (Tycoon2FA) pour contourner la MFA.
- Compromission de comptes GovDelivery (Indiana) pour phishing TxTag.
- Usage de répertoires ouverts, domaines look-alike récents, et abus de plateformes légitimes (DocuSign, GovDelivery).
Impact et portée: la tendance met en évidence une pression accrue sur le secteur public US, combinant ransomware, phishing avancé (TOAD/AITM), et abus de services de confiance pour améliorer la délivrabilité et l’authenticité perçue des attaques.
Il s’agit d’une analyse de menace visant à documenter les vecteurs, techniques et impacts des attaques récentes sur le secteur public américain.
🧠 TTPs et IOCs détectés
TTPs
[‘Exploitation XSS WordPress (Popup Builder) pour dépôt de backdoors PHP via JS Base64’, ‘Redirecteurs multi-étapes (Craft.me, Google Presentations) vers pages de credential harvesting’, ‘Utilisation de fichiers SVG comme redirecteurs’, “Déploiement d’outils ScreenConnect via sites SSA factices”, ‘Kits AITM (Tycoon2FA) pour contourner la MFA’, ‘Compromission de comptes GovDelivery pour phishing TxTag’, ‘Usage de répertoires ouverts, domaines look-alike récents, et abus de plateformes légitimes (DocuSign, GovDelivery)’]
IOCs
non fournis dans l’extrait
🔗 Source originale : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/bolstering-cybersecurity-resilience-in-the-public-sector/