in

L’APT « Cloud Atlas » renforce sa dangerosité en se dotant de codes malveillants polymorphes

Cloud Atlas, une menace persistante sophistiquée (APT), également connue sous le nom d’Inception, a fait évoluer son arsenal avec de nouveaux outils qui lui permettent d’éviter d’être détectée à l’aide d’Indicateurs de Compromission standards. Cette nouvelle technique a été utilisée lors du ciblage de réseaux informatiques en Europe de l’Est, en Asie centrale et en Russie.

Cloud Atlas est une menace connue de longue date pour réaliser des actions de cyber-espionnage ciblant des entreprises, des gouvernements et différentes organisations internationales. Elle a été identifiée dès 2014 par Kaspersky et reste active depuis. Récemment, les chercheurs en sécurité de Kaspersky ont vu Cloud Atlas s’attaquer à des organisations économiques internationales, des industries aérospatiales, ainsi qu’à des organisations gouvernementales et religieuses présentes dans différents pays.

Même si depuis 2018, Cloud Atlas n’a pas fondamentalement modifié ses tactiques d’attaque, l’analyse de ses récentes campagnes d’attaques en 2019 a montré qu’il s’était doté d’une nouvelle chaîne d’infection employant des codes malveillants polymorphiques.

Figure 1 : La chaîne infectieuse utilisée par Cloud Atlas jusqu’en avril 2019

Depuis septembre 2018, Cloud Atlas avait pour habitude d’envoyer en premier lieu à sa cible un courriel possédant une pièce jointe malveillante. Lors de l’ouverture de la pièce jointe, un malware dénommé « PowerShower » était délivré à la victime pour initier une phase de reconnaissance sur son poste de travail et pour télécharger des modules malveillants additionnels.

Lors de ses dernières attaques, CloudAtlas a reporté l’exécution de « PowerShower » à une étape ultérieure dans la chaîne d’infection. Désormais, après l’infection initiale, une application HTML malveillante est téléchargée et exécutée sur le poste de travail de la victime. Cette application va exécuter « VBShower », un nouveau code malveillant. « VBShower » est un petit script dédié à effacer des traces antérieures de l’attaque et à télécharger des codes additionnels parmi lesquels, « PowerShower » et un autre code, beaucoup plus complexe et connu pour être utilisé par Cloud Atlas depuis plusieurs années.

Figure 2 : la nouvelle chaîne infectieuse de Cloud Atlas

Le principal intérêt de cette nouvelle chaîne d’infection réside dans le fait que la plupart des codes employés sont polymorphes. Cela signifie qu’à chaque infection, des codes uniques seront délivrés aux victimes. Selon les experts Kaspersky, cette nouvelle version a été conçue pour rendre la recherche de compromission basée sur des Indicateurs de compromission (IOC) beaucoup plus complexe.

 

« Partager des Indicateurs de Compromission (IoC) pour détecter des attaques informatiques est devenu une bonne pratique pour se protéger des attaques informatiques. Cette pratique nous permet de détecter et de contrer assez rapidement les opérations courantes de cyber-espionnage, afin d’éviter tout dommage supplémentaire qu’elles pourraient occasionner. Néanmoins, comme nous l’avions prédit dès 2016, les Indicateurs de Compromission ne peuvent désormais plus être considérés comme des outils fiables pour détecter une attaque ciblant votre réseau. Cette réalité s’est révélée avec l’opération de cyber espionnage « ProjectSauron », qui utilisait des codes malveillants uniques pour chacune de ses victimes. Elle a été confirmée avec la tendance à utiliser des outils open source dans les opérations d’espionnage, au lieu d’outils uniques. Cette pratique se poursuit avec l’exemple récent de malwares polymorphes. Pour autant, ceci ne veut pas dire que les acteurs sont plus difficiles à détecter, mais que les défenseurs doivent utiliser de nouvelles stratégies, basées notamment sur de la recherche d’anomalies » a déclaré Félix Aimé, chercheur en sécurité au sein de l’équipe GReAT (Global Research and Analysis Team) de Kaspersky.

Kaspersky recommande ainsi aux organisations d’utiliser des solutions anti attaque ciblée enrichies avec des Indicateurs d’Attaque (IoA) qui se concentrent sur les tactiques, les techniques et les actions que des concepteurs de logiciels malveillants pourraient utiliser lorsqu’ils préparent une attaque. Les IoA s’intéressent aux techniques mises en œuvre, quels que soient les outils spécifiques utilisés. Les dernières versions de Kaspersky Endpoint Detection and Response et Kaspersky Anti Targeted Attack font toutes les deux appel à une nouvelle base de données d’IoA’s, maintenue et mise à jour par les experts Kaspersky en recherche de menaces.

The latest versions of Kaspersky EDR and Kaspersky Anti Targeted Attack offer new features that simplify the investigation process and enhance threat hunting

The latest versions of Kaspersky EDR and Kaspersky Anti Targeted Attack offer new features that simplify the investigation process and enhance threat huntinfffffffg

Autres conseils prodigués aux organisations par Kaspersky :

  • Formez vos équipes à l’hygiène digitale et expliquez leur comment reconnaître et éviter des courriers électroniques et des liens malicieux. Pensez à mettre en œuvre une formation de sensibilisation dédiée pour les employés.
  • Utilisez une solution de sécurisation des points d’accès – comme Kaspersky Endpoint Security for Business – dotée de composants anti-spam et anti-hameçonnage, et de fonctionnalités de contrôle des applications avec un mode de déni par défaut afin d’empêcher l’exécution d’applications non autorisées.
  • Pour la détection, l’investigation et la réparation rapide des incidents sur les terminaux, déployez une solution EDR (Endpoint Detection and Response) comme Kaspersky Endpoint Detection and Response, afin de vous prémunir même contre des malwares bancaires encore inconnus.
  • Mettez en œuvre une solution de sécurité de classe entreprise qui détecte très rapidement les menaces avancées sur le réseau, comme Kaspersky Anti Targeted Attack Platform.
  • Intégrez des fonctionnalités de threat intelligence au sein de vos services SIEM (Security Information and Event Management) et vos contrôles de sécurité, afin d’accéder aux données les plus pertinentes et les plus à jour concernant les menaces.

Lisez le rapport complet sur Securelist.com

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.