Rapport APT: Le nouveau logiciel espion SandStrike cible les utilisateurs d’Android avec une application VPN piégée

0

Au cours du troisième trimestre 2022, les chercheurs de Kaspersky ont fait la découverte d’une campagne d’espionnage sur Android jusqu’alors inconnue, baptisée SandStrike. Cette dernière cible une minorité religieuse persanophone, les Baháʼí, en distribuant une application VPN qui contient un logiciel espion très sophistiqué.

Tribune – Les experts de Kaspersky ont également détecté une mise à jour très poussée du cluster DeathNote et, en collaboration avec SentinelOne, ont analysé Metatron, un malware jamais observé auparavant. Ces découvertes et bien d’autres sont détaillées dans le dernier rapport trimestriel de Kaspersky sur les menaces.

Pour inciter leurs victimes potentielles à télécharger les extensions dissimulant les logiciels espions, les acteurs de la menace ont créé des comptes Facebook et Instagram comptabilisant plus de 1000 abonnés, et ont conçu des infographies attrayantes sur le thème de cette religion, constituant ainsi un piège efficace pour ses adeptes. De plus, la plupart de ces profils malveillants contiennent un lien vers un canal Telegram également créé par les cyberpirates. 

Sur ce canal, l’acteur à l’origine de SandStrike a distribué une application VPN en apparence inoffensive permettant d’accéder à des sites interdits dans certaines régions comme, par exemple, des ressources relatives à la religion. Pour rendre cette application pleinement fonctionnelle, les criminels ont mis en place leur propre infrastructure VPN.

Mais contrairement aux apparences, le VPN contient un logiciel espion actif,  avec des fonctionnalités permettant aux agents malveillants de collecter et de voler des données sensibles: le spyware leur permet de traquer l’activité en ligne des personnes ciblées, de consulter leurs historiques d’appels et leurs listes de contact.

Tout au long du troisième trimestre de 2022, les acteurs APT ont continuellement modifié leurs tactiques, affiné leurs outils et développé de nouvelles techniques. Les découvertes les plus significatives sont les suivantes :

  • Une nouvelle plateforme de logiciels malveillants sophistiqués ciblant les entreprises de télécommunication, les fournisseurs d’accès à Internet et les universités.

En collaboration avec SentinelOne, les chercheurs de Kaspersky ont analysé une plateforme de logiciels malveillants sophistiqués jusqu’alors inconnue, baptisée Metatron. Metatron cible principalement les entreprises de télécommunications, les fournisseurs de services Internet et les universités des pays d’Afrique et du Moyen-Orient. Metatron est conçue pour contourner les solutions de sécurité natives tout en déployant des plateformes de logiciels malveillants directement dans la mémoire des appareils infectés.  

  • La mise à niveau d’outils avancés et sophistiqués

Les experts de Kaspersky ont repéré Lazarus utiliser le cluster DeathNote pour faire de nouvelles victimes en Corée du Sud. L’acteur a probablement utilisé une compromission web stratégique, employant une chaîne d’infection similaire à celle que les chercheurs de Kaspersky avaient précédemment signalée, compromettant un dispositif de sécurité des terminaux. Autre élément, les chercheurs de Kaspersky ont observé que le malware et les schémas d’infection ont également été mis à jour. L’acteur a utilisé un logiciel malveillant qui n’avait jamais été observé auparavant, avec une fonctionnalité minimale pour exécuter les commandes du serveur C2. Grâce à l’implémentation de cette porte dérobée, l’opérateur a pu se cacher dans l’environnement numérique de la victime pendant un mois et recueillir des informations sur le système.

  • Le cyber-espionnage reste la finalité principale des campagnes APT

Au troisième trimestre 2022, les chercheurs de Kaspersky ont détecté de nombreuses campagnes APT, prenant essentiellement pour cible les institutions gouvernementales. Les récentes investigations montrent que cette année, à partir de février, HotCousin a tenté de compromettre des ministères des affaires étrangères en Europe, en Asie, en Afrique et en Amérique du Sud.

« Comme nous l’avons constaté ces trois derniers mois, les acteurs APT s’emploient désormais à développer de nouveaux outils offensifs, et à améliorer leur arsenal préexistant pour déployer de nouvelles campagnes malveillantes. Ils emploient des méthodes intelligentes et inattendues pour déployer leurs opérations. C’est le cas de SandStrike, qui attaque les internautes via un service VPN, que les victimes ont téléchargé dans le but de se protéger sur internet. Aujourd’hui, il est facile de diffuser des logiciels malveillants via les réseaux sociaux sans que ces derniers ne soient détectés pendant plusieurs mois, voire plus. C’est pourquoi il est capital d’être plus vigilant que jamais et de s’assurer d’être armé des meilleurs renseignements sur les menaces et des bons outils pour se protéger des menaces existantes et émergentes », commente Victor Chebyshev, chercheur principal en sécurité au GReAT de Kaspersky.

Pour lire le rapport complet sur les tendances APT Q3 2022, rendez-vous sur Securelist.

Pour ne pas être la cible d’une attaque menée par un acteur connu ou inconnu, les experts de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Donnez à votre équipe SOC un accès aux dernières informations sur la Threat Intelligence (TI). Le portail Kaspersky Threat Intelligence est un point d’accès unique à la TI, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans. Pour aider les entreprises à se défendre en cette période de crise, Kaspersky a décidé de donner un accès gratuit à des informations indépendantes, actualisées et provenant de sources internationales sur les cyberattaques et les menaces en cours.

  • Renforcez les compétences de votre équipe de cybersécurité pour lui permettre de faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts du GReAT.  

  • Utilisez une solution EDR conçue pour la sécurité d’entreprise, comme Kaspersky EDR Expert. Il est essentiel de savoir détecter les menaces réelles parmi la multitude d’alertes émises pour pouvoir analyser et répondre à un incident de la manière la plus efficace possible.  

  • En plus des solutions EDR, mettez en œuvre une solution pour la sécurité en entreprise, qui détecte les menaces avancées au niveau du réseau à un stade précoce.

  • Dispensez à votre personnel une formation de base sur la cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.