ESET détaille dans son rapport les activités de groupes d’attaquants affiliés à la Russie, la Corée du Nord, à l’Iran et la Chine
Pour accompagner la publication de son Rapport sur les menaces, ESET Research dédie un nouveau rapport détaillant les activités APT (Advanced Persistent Threat). Dans le premier volet, qui couvre les mois de mai à août 2022 (T2 2022), ESET Research n’a constaté aucune baisse de l’activité des auteurs affiliés à la Russie, la Chine, l’Iran et la Corée du Nord. Plus de huit mois après l’invasion russe, l’Ukraine reste une cible privilégiée des groupes affiliés à la Russie, tels que Sandworm, Gamaredon, InvisiMole, Callisto et Turla. Les industries de l’aérospatiale et de la défense, ainsi que les entreprises financières et les places d’échange de cryptomonnaies, continuent de présenter un intérêt élevé pour les groupes affiliés à la Corée du Nord.
« Nous avons remarqué qu’au second trimestre 2022, plusieurs groupes affiliés à la Russie ont utilisé le service de messagerie Telegram pour accéder à des serveurs de commande et de contrôle, ou comme instrument de fuite d’informations. Des pirates d’autres régions ont également essayé d’accéder à des organisations ukrainiennes, à des fins de cyberespionnage et de vol de propriété intellectuelle » explique Jean-Ian Boutin, directeur d’ESET Threat Research.
« L’industrie de l’aérospatiale et de la défense continue d’intéresser les groupes affiliés à la Corée du Nord, notamment Lazarus qui a ciblé un employé d’une entreprise aérospatiale aux Pays-Bas. D’après nos recherches, le groupe a exploité une vulnérabilité dans un pilote Dell légitime pour s’infiltrer dans l’entreprise, et nous pensons qu’il s’agit de la toute première exploitation de cette vulnérabilité en conditions réelles » poursuit M. Boutin.
Les institutions financières et les entités utilisant des cryptomonnaies ont été visées par le groupe Kimsuky sponsorisé par la Corée du Nord, et deux campagnes Lazarus. L’une d’entre elles, baptisée Operation In(ter)ception par les chercheurs d’ESET, s’est écartée de son ciblage habituel des industries de l’aérospatiale et de la défense pour viser une personne en Argentine avec un malware déguisé en offre d’emploi chez Coinbase. ESET a également repéré Konni, qui utilise une technique employée auparavant par Lazarus, à savoir une version du lecteur PDF Sumatra équipée d’une porte dérobée.
Les groupes affiliés à la Chine sont très actifs, exploitant différentes vulnérabilités et portes dérobées non signalées auparavant. ESET a identifié une variante Linux d’une porte dérobée utilisée par SparklingGoblin contre une université de Hong Kong. Le même groupe a exploité une vulnérabilité de Confluence pour cibler une entreprise de fabrication de produits alimentaires en Allemagne et une société d’ingénierie aux États-Unis. ESET Research soupçonne également qu’une vulnérabilité ADSelfService Plus de ManageEngine est à l’origine de la faille de sécurité des systèmes d’une entreprise américaine du secteur de la défense, deux jours seulement après l’annonce publique de la vulnérabilité. Au Japon, ESET Research a identifié plusieurs campagnes MirrorFace, dont une directement liée à l’élection de la Chambre des conseillers.
Les groupes affiliés à l’Iran, de plus en plus nombreux, ont continué de concentrer leurs efforts principalement sur différents secteurs d’activité israéliens. Les chercheurs d’ESET ont pu attribuer au groupe POLONIUM une campagne visant une douzaine d’organisations en Israël, et ont pu identifier plusieurs portes dérobées non documentées auparavant. Les organisations de l’industrie du diamant ou liées à cette industrie en Afrique du Sud, à Hong Kong et en Israël, ont été ciblées par Agrius via une attaque sur leur chaîne d’approvisionnement grâce au détournement d’une suite logicielle israélienne utilisée dans ce secteur. Lors d’une autre campagne en Israël, les groupes MuddyWater et APT35 semblent avoir utilisé les mêmes outils. ESET Research a également découvert une nouvelle version d’un malware Android dans une campagne menée par le groupe APT-C-50. Elle a été diffusée via une imitation d’un site web iranien, et présentait des fonctionnalités d’espionnage limitées.
Vous pouvez consulter le Rapport d'activité ESET APT T2 2022
Source : WeLiveSecurity