Kaspersky dévoile les dernières tendances APT du deuxième trimestre de 2023

0
216

Dans le dernier rapport de Kaspersky sur les tendances en matière de menaces persistantes avancées (APT) pour le deuxième trimestre 2023, les chercheurs analysent le développement des campagnes existantes et des nouvelles offensives. Le rapport présente les activités des APT au cours de cette période, concernant notamment la mise à jour des arsenals des groupes APT, la création de nouvelles variantes de logiciels malveillants et l’adoption de nouvelles techniques par les acteurs de la menace.

Parmi les grandes révélations de ce trimestre, l’une des plus significatives est certainement la découverte de la campagne d’envergure « Operation Triangulation » impliquant l’utilisation d’une plateforme de logiciels malveillants iOS inconnue jusqu’alors. 

Les experts ont également observé d’autres évolutions intéressantes qui, selon eux, devraient être connues de tous. Voici les principaux enseignements du rapport : 

Un nouvel acteur de la menace émerge en Asie-Pacifique : Mysterious Elephant

Kaspersky a découvert un nouvel acteur de menace appartenant à la famille « Elephants » opérant dans la région Asie-Pacifique, surnommé « Mysterious Elephant ». Dans sa dernière campagne, l’acteur de la menace a eu recours à de nouvelles portes dérobées, capables d’exécuter des fichiers et des commandes sur l’ordinateur de la victime, et de recevoir des fichiers ou des commandes d’un serveur malveillant pour les exécuter sur le système infecté. Bien que les chercheurs de Kaspersky aient constaté des similarités avec Confucius et SideWinder, Mysterious Elephant possède un ensemble de TTPs qui lui sont propres, et qui le différencie de ces autres groupes.

Outils mis à jour : Lazarus développe une nouvelle variante de son logiciel malveillant, BlueNoroff s’attaque à macOS, etc.

Les acteurs de la menace améliorent constamment leurs techniques. Lazarus a mis à jour son framework MATA et créé une nouvelle variante de la famille de logiciels malveillants sophistiqués MATA, MATAv5. BlueNoroff, un sous-groupe de Lazarus spécialisé dans les attaques financières, utilise désormais de nouvelles méthodes de diffusion et de nouveaux langages de programmation, en utilisant notamment des lecteurs PDF trojanisés lors de récentes campagnes, des logiciels malveillants sous macOS et le langage de programmation Rust. Par ailleurs, le groupe APT ScarCruft a mis au point de nouvelles méthodes d’infection qui échappent au mécanisme de sécurité MOTW (Mark-of-the-Web). Les tactiques en constante évolution de ces acteurs de la menace posent de nouveaux défis aux professionnels de la cybersécurité.

Les tendances géopolitiques sont toujours le moteur principal des activités des APT

Les campagnes APT restent géographiquement dispersées, avec des acteurs concentrant leurs attaques sur des régions diverses telles que l’Europe, l’Amérique latine, le Moyen-Orient et certaines parties de l’Asie. Le cyber-espionnage, fortement motivé par le contexte géopolitique, continue d’être l’une des principales fins visées par les campagnes de ce type.

« Si certains acteurs de la menace s’en tiennent à des tactiques familières telles que l’ingénierie sociale, d’autres font évoluer les TTPs, en mettant à jour leurs outils et en élargissant le cadre et la diversité de leurs activités. En outre, de nouveaux acteurs avancés, tels que ceux qui mènent la campagne ‘Operation Triangulation’, émergent constamment. Cet acteur utilise une plateforme de logiciels malveillants iOS inconnue jusqu’alors, distribuée par le biais d’exploits iMessage en zéro clic. Pour les entreprises internationales, il est essentiel de se montrer vigilantes, de se tenir au courant des derniers renseignements sur les menaces et d’implémenter des solutions de cyberdéfense appropriées afin de se protéger contre les menaces existantes et émergentes. Nos analyses trimestrielles sont conçues pour mettre en lumière les développements les plus significatifs concernant les groupes APT afin d’aider les défenseurs à combattre et à atténuer les risques qui y sont associés », commente David Emm, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky.

Pour éviter d’être victime d’une attaque ciblée par un acteur de menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Pour garantir la sécurité de vos appareils, il est essentiel de mettre à jour votre système d’exploitation et les autres logiciels tiers rapidement après la mise à disposition des mises à jour. Il est essentiel de maintenir un calendrier de mise à jour régulier afin de rester protégé contre les vulnérabilités potentielles et les risques associés en matière de cybersécurité.

  • Améliorez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées via des formations.

  • Consultez les dernières informations sur les menaces pour rester au courant des TTPs couramment utilisées par les acteurs de la menace.

  • Pour la détection au niveau des terminaux, l’investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR.

  • Des services dédiés peuvent aider à lutter contre les attaques de grande envergure.