Cyberattaques – La Cyber Task Force du FBI identifie un RAT furtif

7
265

Entre avril et juin 2015, une série de violentes cyberattaques ont visées l’Office des États-Unis de la gestion du personnel. Ces attaques ont mené au vol des données privées de 21 millions d’employés fédéraux du gouvernement. Après des mois d’enquête, la Cyber Task Force ​​du FBI a identifié “FF-RAT”, un outil d’attaque furtif.

Il s’avère après étude que FF-RAT échappe à toute détection via des tactiques furtives très innovantes, y compris la possibilité de télécharger des DLL modifiées à distance et de les exécuter en mémoire sur la machine infectée.

CyberCrime-Task-Force

Généralement, les pirates informatiques utilisent des RATs pour obtenir un accès illimité et discret aux terminaux infectés : une fois implanté et le privilège d’accès de la victime acquis, le RAT est alors utilisé pour le déploiement de logiciels malveillants, via le serveur de commandement et de contrôle (C&C), et l’exfiltration de données privées confidentielles.

La plupart des cyberattaques et des menaces persistantes avancées (APT) profitent également de la fonctionnalité des RAT pour contourner l’authentification forte, propager l’infection, et accéder à des applications sensibles dans le but d’exfiltrer des données. Afin d’atténuer ces types d’attaques, il est essentiel d’avoir des outils et des méthodes actives pour la détection précoce. Il est crucial que ces attaques soient identifiés à temps pour isoler les actifs infectés et corriger les problèmes avant qu’ils ne se propagent ou passent à la deuxième étape, à savoir, le déploiement de logiciels malveillants supplémentaires et le vol massif de données.

Par ailleurs, l’équipe de chercheurs en sécurité de chez AlienVault Labs, effectue des recherches de pointe sur ces types de menaces. Ils recueillent pour cela de grandes quantités de données, puis mettent en oeuvre des directives de corrélation de l’intelligence, des signatures IDS, des audits de vulnérabilité, des signatures de découverte active, des données de réputation par IP, des plugins de sources de données, et des modèles de rapport.

L’activité de FF-RAT peut être détectée par les signatures IDS et une règle de corrélation que l’équipe Labs a publié via la plateforme AlienVault Unified Security Management (USM).

Les commentaires sont fermés.