{
	"id": "ac4bb5e6-e66c-49fc-a916-7c7caf0d1991",
	"created_at": "2026-04-06T01:32:26.506227Z",
	"updated_at": "2026-04-10T03:21:48.606014Z",
	"deleted_at": null,
	"sha1_hash": "473d3b0cfb268862f37aa3576a3b9475d8b72a07",
	"title": "Emotet de retour, POC Exchange, 0-day Windows : à quelle sauce les attaquants prévoient de nous manger cette semaine ?",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 338775,
	"plain_text": "Emotet de retour, POC Exchange, 0-day Windows : à quelle sauce\r\nles attaquants prévoient de nous manger cette semaine ?\r\nBy DSIH\r\nPublished: 2021-11-25 · Archived: 2026-04-06 01:02:11 UTC\r\nEmotet\r\nDans le domaine de la sécurité numérique, les bonnes nouvelles sont plutôt rares...\r\nLe 27 janvier dernier, Europol annonçait une neutralisation de l’infrastructure permettant le contrôle des botnets\r\nEmotet [1]. Il était prévisible que cette bonne nouvelle n’allait être que de courte durée. Pour rappel, Emotet [2]\r\nest un « cheval de Troie », souvent considéré comme le plus répandu entre 2014 et 2020 et généralement distribué\r\nvia des pièces jointes ou liens Web accompagnants des courriels malveillants. Les machines compromises étaient\r\ncontrôlées par quelques centaines de serveurs à travers le monde et regroupées en trois grands botnets : Epoch 1,\r\nEpoch 2 et Epoch 3.\r\nDepuis le 14 novembre, plusieurs chercheurs connus et reconnus, comme Vitali KREMEZ s’accordent à dire\r\nqu’Emotet est de retour [3].\r\nIl semblerait que l’on retrouve toujours le même groupe d’acteurs dans la boucle, avec les attaquants derrière le\r\ncheval de Troie Trickbot et les rançongiciels Conti et Ryuk notamment.\r\nhttps://www.dsih.fr/article/4483/emotet-de-retour-poc-exchange-0-day-windows-a-quelle-sauce-les-attaquants-prevoient-de-nous-manger-cette-semaine.html\r\nPage 1 of 4\n\nSource : ADV INTEL\r\nEn m’appuyant sur les serveurs recensés via le projet Feodo Tracker d’Abuse.ch [4], je constate que tous les\r\nserveurs de commande et de contrôle (C2) actifs présentent une similarité permettant d’identifier assez facilement\r\nune connexion vers l’un d’entre eux. Même s’ils présentent des certificats TLS autosignés différents, les\r\ninformations spécifiées dans les certificats restent les mêmes :\r\nC=GB\r\nST=London\r\nL=London\r\nO=Global Security\r\nOU=IT Department\r\nCN=example.com\r\nIl serait donc possible de détecter une potentielle compromission avec la règle Suricata suivante :\r\nalert tls $EXTERNAL_NET any -\u003e $HOME_NET any (msg:\" Suspicious TLS Certificate - Possible Emotet  C2\r\nServer\"; tls.cert_subject; content:\"CN=example.com\"; nocase; content:\"L=London\"; content:\"ST=London\";\r\ncontent:\"O=Global Security\"; content:\"C=GB\"; reference:\r\nurl,https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet; metadata:created_at 2021_11_24, updated_at\r\n2021_11_25; sid:2021112402; rev:4; classtype:trojan-activity;)\r\nÀ noter que même si plusieurs certificats ont été générés aux alentours du 14 novembre, certains sont plus anciens\r\net remontent à fin août / début septembre :\r\nhttps://www.dsih.fr/article/4483/emotet-de-retour-poc-exchange-0-day-windows-a-quelle-sauce-les-attaquants-prevoient-de-nous-manger-cette-semaine.html\r\nPage 2 of 4\n\nSi les hostilités n’ont pas été lancées avant le 14 novembre, date à laquelle les nouvelles détections ont été\r\nobservées, cela nous laisse supposer qu’ils préparaient le terrain depuis quelques mois, ou qu’ils sont restés\r\ndiscrets jusque-là.\r\nExchange\r\nSi vous avez des serveurs Exchange, dont l’interface OWA est exposée sur Internet, ce n’est pas la joie en matière\r\nde sécurité, mais il est parfois difficile de lutter… Sachez que la vulnérabilité CVE-2021–42321 corrigée le 9\r\nnovembre et annoncée comme déjà exploitée par Microsoft a désormais son POC d’exploitation publique [5], en\r\nligne depuis le 21 novembre. Même si la vulnérabilité permettant d’exécuter du code arbitraire à distance avec des\r\ndroits « system » nécessite un compte utilisateur pour être exploitée, contrairement à ProxyShell [6], le vol\r\nd’identifiants et mots de passe est assez courant, notamment via des campagnes de phishing.\r\nL’application rapide du correctif s’impose…\r\nIl est également possible de vérifier que la vulnérabilité n’a pas été exploitée en recherchant dans les logs à l’aide\r\nde la commande PowerShell suivante : \r\nGet-EventLog -LogName Application -Source \"MSExchange Common\" -EntryType Error | Where-Object {\r\n$_.Message -like \"*BinaryFormatter.Deserialize*\" }\r\nDes tentatives d’exploitations peuvent également être observées au niveau des traces d’accès Web (reverse proxy,\r\nwaf, firewall...) à l’URL : /ews/exchange.asmx\r\nWindows\r\nPour finir avec les mauvaises nouvelles, un POC permettant d’exploiter une vulnérabilité mal corrigée dans\r\nWindows (CVE-2021-41379) et donc exploitable dans un système Windows à jour des derniers correctifs de\r\nsécurité a été rendu publique le 22 novembre [7]. D’après un post sur le blog de Talos [8], certains attaquants\r\nutiliseraient déjà cette vulnérabilité dans Windows Installer permettant à un utilisateur non privilégié de devenir\r\nadministrateur.\r\n[1] https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action \r\n[2] /article/3889/emotet-qui-est-ce-demon-qui-vient-hanter-les-nuits-des-rssi.html \r\n[3] https://www.advintel.io/post/corporate-loader-emotet-history-of-x-project-return-for-ransomware \r\n[4] https://feodotracker.abuse.ch/browse/emotet/ \r\nhttps://www.dsih.fr/article/4483/emotet-de-retour-poc-exchange-0-day-windows-a-quelle-sauce-les-attaquants-prevoient-de-nous-manger-cette-semaine.html\r\nPage 3 of 4\n\n[5] https://peterjson.medium.com/some-notes-about-microsoft-exchange-deserialization-rce-cve-2021-42321-\r\n110d04e8852 \r\nhttps://www.youtube.com/watch?v=Fmx6JlSABAQ \r\nhttps://twitter.com/testanull/status/1462363736815988744 \r\n[6] https://www.apssis.com/actualite-ssi/532/serveurs-exchange-et-proxyshell-comment-eviter-de-laisser-rentrer-n-importe-qui-dans-son-si.htm \r\n[7] https://github.com/klinix5/InstallerFileTakeOver \r\n[8] https://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html \r\nSource: https://www.dsih.fr/article/4483/emotet-de-retour-poc-exchange-0-day-windows-a-quelle-sauce-les-attaquants-prevoient-de-nous-man\r\nger-cette-semaine.html\r\nhttps://www.dsih.fr/article/4483/emotet-de-retour-poc-exchange-0-day-windows-a-quelle-sauce-les-attaquants-prevoient-de-nous-manger-cette-semaine.html\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.dsih.fr/article/4483/emotet-de-retour-poc-exchange-0-day-windows-a-quelle-sauce-les-attaquants-prevoient-de-nous-manger-cette-semaine.html"
	],
	"report_names": [
		"emotet-de-retour-poc-exchange-0-day-windows-a-quelle-sauce-les-attaquants-prevoient-de-nous-manger-cette-semaine.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775439146,
	"ts_updated_at": 1775791308,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/473d3b0cfb268862f37aa3576a3b9475d8b72a07.pdf",
		"text": "https://archive.orkl.eu/473d3b0cfb268862f37aa3576a3b9475d8b72a07.txt",
		"img": "https://archive.orkl.eu/473d3b0cfb268862f37aa3576a3b9475d8b72a07.jpg"
	}
}