Publié par UnderNews Actu - Télécharger l'application Android
Bitdefender

Les chercheurs de Kaspersky Lab ont observé une nouvelle tendance dans la façon dont opèrent les acteurs de menaces sophistiquées. De plus en plus, ces acteurs délaissent les techniques coûteuses, comme les vulnérabilités 0-day, au profit de campagnes de social engineering combinant plusieurs tactiques éprouvées et bien connues. Résultats ? Des cyberattaques émergent, qui sont extrêmement difficiles à détecter par les solutions de sécurité professionnelle traditionnelles.

LE CAS : MICROCIN

Kaspersky a mis au jour Microcin, une campagne malicieuse qui illustre parfaitement cette tendance qui voit émerger des attaques dangereuses à moindre coût. La découverte s’est faite en plusieurs étapes :

  1. La solution Kaspersky Anti Targeted Attack Platform (KATA) a identifié un fichier RTF suspicieux. Le fichier intégrait un exploit pour un vulnérabilité Microsoft Office déjà bien connue, et même corrigée (CVE-2015-1641). Mais son code avait été drastiquement modifié.
  2. Le document de spear-phishing était distribué via des sites s’adressant à un groupe très spécifique d’individus : des personnes cherchant à obtenir une aide au logement unique à la Russie et quelques pays voisins.
  3. Le déclenchement de l’exploit entraîne l’installation d’un malware sur l’ordinateur de la victime.
  4. Une fois le module principal installé, des modules additionnels sont téléchargés depuis le serveur de commande et de contrôle.  Au moins l’un d’entre eux utilise la stéganographie.
  5. Une fois la plate-forme malveillante entièrement déployée, le malware cherche des fichiers avec des extensions de type : .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt and .rtf.
  6. Ils sont ensuite rassemblés dans une archive protégée par un mot de passe et transférés vers les organisateurs de l’attaque.

Globalement, les cybercriminels utilisent une multitude de techniques et de vecteurs d’infections connus et peu coûteux (lateral movement, backdoors, watering hole, etc). Les attaquants exploitent également des outils légitimes comme des scripts PowerShell, largement utilisés dans les tests de pénétration.

Social engineering : Les employés comme porte d’entrée vers l’entreprise

Si un réseau d’entreprise est bien protégé, et donc coûteux à attaquer, les criminels choisiront probablement de s’en prendre à des employés de base, pour utiliser leurs équipements informatiques comme porte d’entrée vers l’organisation. C’est pourquoi la formation à tous les échelons de l’entreprise est primordiale.

« Si l’on analyse les différents éléments qui composent cette attaque, elle n’est pas très grave. Pratiquement tous les composants sont déjà connus de l’industrie de la cybersécurité et relativement faciles à détecter. Cependant, ils sont combinés de telle façon que l’attaque devient très difficile à déceler. Plus grave encore, cette méthode n’est pas un cas unique. Il semble que des acteurs du cyber-espionnage  se désintéressent du développement d’outils difficiles à détecter au profit d’opérations sophistiquées qui n’impliquent pas de malwares complexes mais restent dangereuses, » explique Alexey Shulmin, Lead malware analyst chez Kaspersky Lab.

Pour en savoir plus sur Microcin, rendez-vous sur l’article dédié paru sur Securelist ou consultez le rapport complet (PDF).

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , ,


Vos réactions