Poséidon : Un nouveau groupe cybercriminel révélé par Kaspersky

2
154

L’équipe de recherche et d’analyse de Kaspersky Lab (GReAT) a dévoilé l’existence d’un groupe vétéran du malware et des attaques ciblées baptisé Poséidon. Dans le collimateur de ce groupe, des entreprises françaises, les systèmes Windows et les ordinateurs brésiliens et portugaises.

Les chercheurs de l’éditeur russe de solutions de sécurité Kaspersky (Global Research and Analysis Team) ont percé un groupe actif dans le cyber-espionnage : Poséidon. Il sévit depuis près de 10 ans et utilise des attaques persistantes avancées (APT pour Advanced Persistent Threat) pour mener à bien ses opérations. Le but du groupe semble la récupération de données sensibles et le racket en ligne, mais vise essentiellement les systèmes Windows et les ordinateurs utilisant le luso-brésilien comme langue.

Map-of-Targets_PoseidonUne technicité de haut vol

Selon la même source, le groupe explore activement le réseau des entreprises en se basant sur les noms de domaine et suit ensuite un schéma classique pour les APT avec des attaques de spear-phishing utilisant principalement des mails ayant trait aux ressources humaines qui installent des binaires lorsque l’on ouvre le document. Les pirates réalisent ensuite des déplacements au sein du réseau interne tout en collectant des informations par un outil spécifique pour préparer des attaques ultérieures. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration. Le malware comprend des chaînes de caractères en brésilien, ce qui est une première selon Kaspersky Lab. Les données dérobée par le groupe sont ensuite exploitées pour rançonner les entreprises victimes.

Les serveurs de Command & Control (C&C) sont très divers, allant même jusqu’à exploite des FAI spécifiques desservant des navires en mer par le hijacking de liaisons satellites. Certains de ses implants ont des durées de vie très courtes ce qui le rend très difficile à détecter, force d’une technologie régulièrement améliorée depuis 10 ans.

Parmi les cibles privilégiées de Poséidon, des entreprises financières mais aussi des administrations, des opérateurs de télécommunications, des compagnies d’énergie ou des services de réseaux collectifs, des médias, des agences de relations publiques ou offrant des services de recherche d’emploi pour des cadres ont été victimes du groupe. Certaines sont françaises mais Kaspersky n’a pas révélé leur nom ; la plupart des victimes sont cependant au Brésil.

Quelques signatures de binaires malveillants liés à Poséidon ont été dévoilés par Kaspersky :

2ce818518ca5fd03cbacb26173aa60ce
f3499a9d9ce3de5dc10de3d7831d0938
0a870c900e6db25a0e0a65b8545656d4
2fd8bb121a048e7c9e29040f9a9a6eee
4cc1b23daaaac6bf94f99f309854ea10
2c4aeacd3f7b587c599c2c4b5c1475da
f821eb4be9840feaf77983eb7d55e5f6
2ce818518ca5fd03cbacb26173aa60ce

Ainsi qu’une petite liste s’avérant être un échantillon de serveurs de commande et de contrôle :

akamaihub[.]com – SINKHOLED by Kaspersky Lab
igdata[.]net – SINKHOLED by Kaspersky Lab
mozillacdn[.]com – SINKHOLED by Kaspersky Lab
msupdatecdn[.]com – SINKHOLED by Kaspersky Lab
sslverification[.]net – SINKHOLED by Kaspersky Lab

 

Les commentaires sont fermés.