Les experts de Kaspersky ont découvert que le groupe APT BlueNoroff dispose désormais de nouvelles souches de malware sophistiquées pour déployer ses attaques.
Tribune Kaspersky – BlueNoroff, acteur bien connu du paysage de la menace ciblant les crypto-monnaies des entités financières dans le monde entier, vise notamment les sociétés de capital-risque, les start-ups crypto et les banques. Aujourd’hui, BlueNoroff développe de nouveaux types de fichiers pour déployer ses malwares plus efficacement, et a créé plus de 70 faux domaines de sociétés de capital-risque et de banques pour piéger des employés de startups.
BlueNoroff est un sous-groupe de Lazarus, et utilise les technologies avancées de ce dernier pour attaquer des organisations qui, de par la nature de leur travail, traitent des contrats intelligents, de DeFi, de Blockchain et de FinTech en général. En janvier 2022, les équipes de Kaspersky avaient déjà révélé une série d’attaques signée BlueNoroff prenant pour cible des start-ups de crypto-monnaies, mais ces activités s’étaient ensuite arrêtées pour un temps. Cependant, les données de télémétrie de Kaspersky révèlent que l’acteur de la menace a repris du service cet automne, plus sophistiqué et virulent qu’auparavant
Petite mise en situation: Imaginez que vous êtes un employé du service commercial d’une grande société financière. Vous recevez un mail avec un contrat client en pièce-jointe, jugez important de prendre connaissance de son contenu et de le transmettre rapidement à votre supérieur. Mais dès que vous avez ouvert le fichier, le malware a été immédiatement téléchargé sur votre ordinateur d’entreprise. Les cyber-attaquants sont désormais en mesure de suivre toutes vos opérations quotidiennes et de planifier une stratégie adaptée pour mener leur objectif à bien: au moment opportun où un employé de l’entreprise infectée tente de transférer une grande quantité de crypto-monnaies, les agents malveillants interceptent la transaction, modifient l’adresse du destinataire et augmentent le montant de l’opération à la limite maximale, vidant ainsi la quasi-intégralité du compte émetteur en un seul clic.
Selon les chercheurs de Kaspersky, les attaquants expérimentent et testent activement de nouvelles méthodes de diffusion des logiciels malveillants : par exemple, ils utilisent des types de fichiers jusqu’alors inutilisés, tels qu’un nouveau script Visual Basic, un fichier Batch Windows inédit et un exécutable Windows pour infecter leurs victimes.
En plus des tactiques avancées couramment utilisées par les cybercriminels, les agents de BlueNoroff ont amélioré l’efficacité du contournement des mesures de sécurité de Windows en inventant leurs propres stratégies. Récemment, de nombreux acteurs de la menace ont recours aux fichiers image pour éviter le Mark-of-the-Web (MOTW). Pour simplifier, le marqueur MOTW est une mesure de sécurité par laquelle Windows émet un message d’avertissement (du type ouvrir le fichier en “vue protégée”) lorsqu’un utilisateur tente de visualiser un fichier téléchargé sur Internet. Pour déjouer cet avertissement, de plus en plus d’acteurs de la menace exploitent désormais des fichiers de type ISO (copies numériques de disques CD ordinaires utilisés pour la distribution de logiciels ou de contenu multimédia). BlueNoroff n’est pas étranger à cette technique.
La puissance des attaques émises par BlueNoroff augmente de jour en jour. Par exemple, en octobre 2022, les chercheurs de Kaspersky ont détecté 70 faux domaines imitant des sociétés de capital-risque et des banques de renommée mondiale. La plupart de ces domaines imitent notamment des sociétés japonaises, comme Beyond Next Ventures, Mizuho Financial Group, etc. indiquant que le groupe s’intéresse de près aux entités financières japonaises. Selon les données analysées par Kaspersky, l’acteur cible également des organisations des Émirats Arabes Unis et se fait passer pour des entreprises américaines et vietnamiennes.
« Conformément à nos prévisions publiées dans les prédictions APT 2023, l’année à venir va être marquée par des cyber épidémies aux conséquences plus critiques que jamais auparavant. A l’image de Wannacry, ces attaques seront caractérisées par leur supériorité technologique et l’étendue de leurs effets. Nos découvertes concernant BlueNoroff prouvent que les cybercriminels ne se reposent pas sur leurs lauriers, qu’ils testent et analysent constamment de nouveaux vecteurs d’attaque toujours plus sophistiqués. Alors que de nouvelles campagnes malveillantes nous attendent au tournant, les entreprises doivent être plus sécurisées que jamais : formez vos employés aux bases de la cybersécurité et utilisez une solution de sécurité robuste sur tous les appareils de votre entreprise », commente Seongsu Park, chercheur principal en sécurité au sein de l’équipe GReAT de Kaspersky.
Pour en savoir plus sur BlueNoroff, consultez le rapport complet sur Securelist.
Pour assurer la protection des organisations, Kaspersky donne les recommandations suivantes :
-
Offrez à votre personnel une formation de base sur l’hygiène en matière de cybersécurité. Effectuez une simulation d’attaque par hameçonnage pour vous assurer qu’ils savent comment identifier les e-mails suspects.
-
Réalisez un audit de cybersécurité de vos réseaux et remédiez à toutes les faiblesses découvertes dans le périmètre ou à l’intérieur du réseau.
-
Choisissez une solution de sécurité des terminaux fiable, dotée de fonctions de détection basées sur le comportement et de contrôle des anomalies pour une protection efficace contre les menaces connues et inconnues.
Utilisez un ensemble dédié de solutions de cybersécurité pour une protection efficace des terminaux, ainsi que des produits de détection et de réponse aux menaces, afin de détecter et de remédier rapidement aux menaces, même lorsque ces dernières sont nouvelles et évasives.