Azerbaijani Energy Firm Hit by Repeated Microsoft Exchange Exploitation

1 minute de lecture

Mis à jour : May 13, 2026

Espionnage informatique : Le groupe FamousSparrow cible le secteur énergétique azerbaïdjanais

Entre décembre 2025 et février 2026, le groupe de menace persistante avancée (APT) FamousSparrow (alias UAT-9244) a mené une campagne d’intrusion persistante contre une entreprise pétrolière et gazière en Azerbaïdjan. Cette opération démontre une grande discipline opérationnelle, les attaquants ayant réussi à revenir à plusieurs reprises dans le réseau malgré des tentatives de remédiation, en alternant les charges utiles malveillantes.

Points clés :

Persistance : Les assaillants ont exploité le même point d’entrée à trois reprises, utilisant des outils comme Deed RAT (successeur de ShadowPad) et TernDoor.
Techniques avancées : Utilisation d’une méthode sophistiquée de DLL side-loading via le binaire légitime LogMeIn Hamachi, contournant les contrôles de sécurité grâce à une exécution en deux étapes.
Mouvement latéral : Après l’accès initial, le groupe a cherché à étendre son emprise dans le réseau pour assurer une présence redondante.
Contexte géopolitique : La cible est liée au rôle croissant de l’Azerbaïdjan dans la sécurité énergétique européenne.

Vulnérabilités :

Exploitation de la chaîne de vulnérabilités ProxyNotShell sur Microsoft Exchange Server. (Note : Cette chaîne inclut notamment les CVE-2022-41040 et CVE-2022-41082).

Recommandations :

Correctifs : Appliquer immédiatement les patchs de sécurité pour Microsoft Exchange. Une simple remédiation logicielle est insuffisante si la vulnérabilité n’est pas corrigée à la source.
Gestion des identifiants : Procéder à une réinitialisation complète des mots de passe et des jetons d’accès après une compromission.
Assainissement : Supprimer les web shells résiduels et vérifier l’intégrité des points de terminaison pour éliminer toute persistance (portes dérobées secondaires).
Surveillance : Renforcer la détection des comportements anormaux liés au DLL side-loading et surveiller les communications sortantes vers des domaines suspects (ex: sentinelonepro[.]com).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Azerbaijani Energy Firm Hit by Repeated Microsoft Exchange Exploitation

Espionnage informatique : Le groupe FamousSparrow cible le secteur énergétique azerbaïdjanais

Partager sur

Vous pourriez aimer

[GUEST DIARY] Tearing apart website fraud to see how it works., (Wed, May 13th)

Anatomie des fraudes e-commerce : SEO poisoning et vol de données bancaires

Windows BitLocker zero-day gives access to protected drives, PoC released

Divulgation de failles Windows « YellowKey » et « GreenPlasma »

Webinar tomorrow: Why security alone wont stop modern attacks

Au-delà de la défense : l’impératif de la résilience cyber

[Webinar] How Modern Attack Paths Cross Code, Pipelines, and Cloud

La fin de la fatigue des alertes : Maîtriser les chaînes d’attaque modernes