Les chercheurs de Kaspersky Lab présentent les principales tendances observées en analysant le paysage actif des menaces persistantes avancées (APT) au 1er trimestre 2019.
Vous pouvez trouver le rapport complet ici : https://securelist.com/apt-trends-report-q1-2019/90643/
LE CAS SHADOWHAMMER & LES ATTAQUES CONTRE LA SUPPLY-CHAIN
Les attaques contre la supply-chain sont de plus en plus populaires – ShadowPad, CCleaner et ExPetr en sont de bons exemples. Dans leurs prédictions pour 2019, les chercheurs de Kaspersky Lab ont estimé que ce vecteur d’attaque continuerait d’être exploité et il n’a pas fallu longtemps pour que les faits leurs donnent raison. En Janvier, Kaspersky Lab a découvert l’opération ShadowHammer, une attaque sophistiquée contre la supply-chain impliquant ASUS Live Update Utility. Pour en savoir plus : https://www.kaspersky.fr/blog/shadow-hammer-teaser/11539/
ShadowHammer illustre bien plusieurs tendances actuelles en matière d’APT. Il s’agit d’une opération qui utilise la chaîne d’approvisionnement pour se répandre à une échelle incroyablement large et exploite des techniques soigneusement mises en œuvre pour cibler avec précision ses victimes. Elle comprend plusieurs étapes dans une opération combinée, y compris la collecte initiale d’adresses MAC pour atteindre des cibles spécifiques.
L’OMNIPRESENCE DE LA GEOPOLITIQUE
La géopolitique est considérée comme un moteur clé de l’activité de l’APT avec souvent une corrélation claire entre les développements politiques et les activités malveillantes ciblées.
Groupes russophones et élections ukrainiennes
Par exemple, bien que l’activité des groupes russophones n’ait pas particulièrement évolué au cours du premier trimestre, les chercheurs de Kaspersky Lab ont noté un intérêt particulier pour la politique. Cela a été particulièrement notable à l’occasion d’une attaque liée aux élections ukrainiennes. Cette attaque a été mise au jour après la découverte d’un document Word malveillant ciblant une société de conseil politique allemande. L’analyse technique de Kaspersky Lab suggère que les groupes Sofacy ou Hades pourraient en être à l’origine, mais il n’est pas possible de le confirmer pour le moment.
LES ACTEURS SINOPHONES
Les acteurs de langue chinoise ont continué à maintenir un haut niveau d’activité, combinant à la fois un niveau de sophistication faible et élevé en fonction de la campagne. Par exemple :
- CactusPete (également connu sous les noms LoneRanger, Karma Panda et Tonto Team) aurait ciblé des organisations sud-coréennes, japonaises, américaines et taiwanaises entre 2012 et 2014. Pendant 6 ans, cet auteur a continué d’utiliser sa base de code et autres outils d’implémentation. Cependant, ils se sont enrichis en 2018. Le groupe utilise la technique du spear-phishing pour toucher ses cibles, déployant des exploits Word et Equation Editor exploits, ainsi qu’une faille zero-day DarkHotel VBScript re-packagée. Il déploie également des variantes Mimikatz uniques compilées et modifiées variants, des outils de vol d’informations GSEC et WCE, un keylogger, plusieurs exploits d’exploitation de privilèges, et d’autres modules de backdoor, notamment.
- Kaspersky Lab surveille une campagne malveillante ciblant le gouvernement vietnamien et des entités diplomatiques à l’étranger depuis au moins avril 2018. Batpisée SpoiledLegacy par Kaspersky Lab, cette campagne serait attribuable au groupe APT LuckyMouse (aussi appelé EmissaryPanda et APT27).
LE ROLE DE L’ASIE DU SUD-EST
L’Asie du Sud-Est est restée la région du monde la plus frénétiquement active en termes d’activité APT qu’ailleurs, mais cela pourrait s’expliquer par le manque de discrétion de certains des groupes les moins expérimentés.
Pour en savoir plus : https://securelist.com/apt-trends-report-q1-2019/90643/
LES FOURNISSEURS DE LOGICIELS MALVEILLANTS
Les fournisseurs de logiciels malveillants « commerciaux » disponibles pour les gouvernements et d’autres entités semblent bien se porter, avec davantage de clients.
Vicente Diaz, chercheur principal en sécurité, GReAT, Kaspersky Lab a déclaré : « Analyser à postériori l’activité des groupes malveillants est toujours une expérience surprenante. Même lorsque nous avons le sentiment que rien de nouveau ne s’est produit, nous découvrons un paysage des menaces plein d’histoires et d’évolutions intéressantes sur différents fronts. Nous savons que notre visibilité n’est pas complète et qu’il y aura toujours des activités que nous ne voyons pas ou ne comprenons pas encore. Ce n’est pas parce qu’une région ou un secteur n’apparaît pas aujourd’hui sur notre radar qu’il n’apparaîtra pas dans l’avenir. La protection contre les menaces connues et inconnues reste vitale pour tout le monde ».