Voici les commentaires de Chris Vaughan, VP – Technical Account Management, EMEA chez Tanium, suite à la publication du rapport Symantec researches report. Le rapport met en avant le fait qu’un groupe de hackers précédemment associé au cheval de Troie ShadowPad a adopté un nouvel ensemble d’outils diversifiés pour monter une campagne d’attaques contre un ensemble d’organisations gouvernementales dans plusieurs pays asiatiques. Ces attaques, en cours depuis le début de l’année 2021, semblent avoir pour principal objectif la collecte de renseignements.
« Cette activité d’espionnage très ciblée nous rappelle qu’il est important de patcher non seulement les systèmes d’exploitation, mais aussi les logiciels tiers. Il semble que d’anciennes versions de ces logiciels tiers aient pu être le point d’entrée des cybercriminels. Certaines organisations n’envisagent d’appliquer des correctifs qu’à un nombre restreint de logiciels, mais il est important d’appliquer des correctifs à tout ce qui fonctionne dans l’environnement informatique.
La gestion des vulnérabilités devrait également être adoptée pour s’assurer que tous les terminaux sont gérés, plutôt que d’attendre des correctifs individuels. Un autre problème que j’observe est celui des plates-formes anciennes qui arrivent en fin de vie et dont la prise en charge de la sécurité devient très limitée. Dans de nombreux cas, les fournisseurs ne publient pas de correctifs de sécurité pour les plateformes en fin de vie. Il est important d’avoir une visibilité sur le réseau afin de pouvoir identifier et réparer rapidement les terminaux qui exécutent ces programmes obsolètes.
Dans la mesure du possible, les attaquants ont exploité les outils installés sur les endpoints de la cible pour pénétrer davantage le réseau. L’utilisation des outils système disponibles peut être efficace car elle ressemble à une activité légitime de l’utilisateur et échappe à la plupart des solutions antivirus. Si un outil de détection et de réponse des endpoints (EDR) est utilisé avec un système antivirus efficace, il est beaucoup plus difficile pour les attaquants d’atteindre leurs objectifs.
Il est probable que cette attaque provienne d’une campagne de « spear phishing », une personne ayant cliqué sur un lien malveillant dans un e-mail. Les entreprises doivent donc s’assurer que des mesures de protection des e-mails sont en place, telles que des formations au phishing et des plans de réponse aux incidents. Les attaquants incitent les victimes à cliquer sur un e-mail qui mentionne des thèmes d’actualité et des nouvelles. C’est d’autant plus vrai depuis le décès de la reine. »