mercredi 12 août 2020
Promotion Meilleur VPN 2020
Accueil Malwares Poséidon : Un nouveau groupe cybercriminel révélé par Kaspersky

Poséidon : Un nouveau groupe cybercriminel révélé par Kaspersky

L’équipe de recherche et d’analyse de Kaspersky Lab (GReAT) a dévoilé l’existence d’un groupe vétéran du malware et des attaques ciblées baptisé Poséidon. Dans le collimateur de ce groupe, des entreprises françaises, les systèmes Windows et les ordinateurs brésiliens et portugaises.

Les chercheurs de l’éditeur russe de solutions de sécurité Kaspersky (Global Research and Analysis Team) ont percé un groupe actif dans le cyber-espionnage : Poséidon. Il sévit depuis près de 10 ans et utilise des attaques persistantes avancées (APT pour Advanced Persistent Threat) pour mener à bien ses opérations. Le but du groupe semble la récupération de données sensibles et le racket en ligne, mais vise essentiellement les systèmes Windows et les ordinateurs utilisant le luso-brésilien comme langue.

Map-of-Targets_PoseidonUne technicité de haut vol

Selon la même source, le groupe explore activement le réseau des entreprises en se basant sur les noms de domaine et suit ensuite un schéma classique pour les APT avec des attaques de spear-phishing utilisant principalement des mails ayant trait aux ressources humaines qui installent des binaires lorsque l’on ouvre le document. Les pirates réalisent ensuite des déplacements au sein du réseau interne tout en collectant des informations par un outil spécifique pour préparer des attaques ultérieures. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration. Le malware comprend des chaînes de caractères en brésilien, ce qui est une première selon Kaspersky Lab. Les données dérobée par le groupe sont ensuite exploitées pour rançonner les entreprises victimes.

Les serveurs de Command & Control (C&C) sont très divers, allant même jusqu’à exploite des FAI spécifiques desservant des navires en mer par le hijacking de liaisons satellites. Certains de ses implants ont des durées de vie très courtes ce qui le rend très difficile à détecter, force d’une technologie régulièrement améliorée depuis 10 ans.

Parmi les cibles privilégiées de Poséidon, des entreprises financières mais aussi des administrations, des opérateurs de télécommunications, des compagnies d’énergie ou des services de réseaux collectifs, des médias, des agences de relations publiques ou offrant des services de recherche d’emploi pour des cadres ont été victimes du groupe. Certaines sont françaises mais Kaspersky n’a pas révélé leur nom ; la plupart des victimes sont cependant au Brésil.

Quelques signatures de binaires malveillants liés à Poséidon ont été dévoilés par Kaspersky :

2ce818518ca5fd03cbacb26173aa60ce
f3499a9d9ce3de5dc10de3d7831d0938
0a870c900e6db25a0e0a65b8545656d4
2fd8bb121a048e7c9e29040f9a9a6eee
4cc1b23daaaac6bf94f99f309854ea10
2c4aeacd3f7b587c599c2c4b5c1475da
f821eb4be9840feaf77983eb7d55e5f6
2ce818518ca5fd03cbacb26173aa60ce

Ainsi qu’une petite liste s’avérant être un échantillon de serveurs de commande et de contrôle :

akamaihub[.]com – SINKHOLED by Kaspersky Lab
igdata[.]net – SINKHOLED by Kaspersky Lab
mozillacdn[.]com – SINKHOLED by Kaspersky Lab
msupdatecdn[.]com – SINKHOLED by Kaspersky Lab
sslverification[.]net – SINKHOLED by Kaspersky Lab

 

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

2 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.