Kaspersky a déjà identifié des attaques contre des organisations militaro-industrielles et des institutions publiques en Europe de l'Est et en Afghanistan début août. Le malware utilisé est similaire à celui d'un groupe APT de langue chinoise.
Kaspersky ICS CERT a identifié une série d'attaques ciblées contre des installations industrielles, des instituts de recherche, des agences gouvernementales, des ministères et des bureaux dans plusieurs pays d'Europe de l'Est, dont la Russie, l'Ukraine et la Biélorussie, ainsi qu'en Afghanistan. Les acteurs de l'APT ont pu prendre le contrôle de toute l'infrastructure informatique des victimes et se livrer à l'espionnage industriel.
Attaques contre des entreprises et des organisations militaires
En janvier 2022, les experts de Kaspersky ont découvert plusieurs attaques avancées contre des entreprises militaires et des organisations publiques, notamment des usines, des bureaux d'études, des instituts de recherche, des agences gouvernementales, des ministères et des départements, visant à voler des informations sensibles et à prendre le contrôle des systèmes informatiques. Le malware utilisé par les attaquants est similaire à celui de TA428 APT, un groupe APT de langue chinoise.
Des attaquants ciblés s'infiltrent dans les réseaux d'entreprise par le biais d'e-mails de harponnage soigneusement conçus, dont certains contiennent des informations spécifiques à l'organisation ciblée qui n'étaient pas publiques au moment où l'e-mail a été envoyé. Les e-mails de phishing contenaient un document Microsoft Word avec un code malveillant pour exploiter une vulnérabilité qui permet à un code arbitraire de s'exécuter sans activité supplémentaire. La vulnérabilité existe dans les versions obsolètes de Microsoft Equation Editor, un composant de Microsoft Office.
Utilisation de six portes dérobées différentes
Les attaquants ont utilisé simultanément six portes dérobées différentes pour configurer des canaux de communication supplémentaires avec les systèmes infectés au cas où l'un des programmes malveillants serait détecté et supprimé par une solution de sécurité. Ces portes dérobées offrent des fonctionnalités étendues pour contrôler les systèmes infectés et collecter des données sensibles. La phase finale de l'attaque consistait à prendre le contrôle du contrôleur de domaine et à prendre le contrôle total de tous les postes de travail et serveurs de l'entreprise. Dans un cas, les attaquants ont même pu prendre le contrôle du centre de contrôle des solutions de cybersécurité. Après avoir obtenu les droits d'administrateur de domaine et l'accès à Active Directory, les attaquants ont effectué une attaque dite "golden ticket" pour usurper l'identité des comptes d'utilisateurs de n'importe quelle organisation et rechercher des documents et autres fichiers contenant des données sensibles de l'organisation attaquée. Les attaquants ont hébergé les données exfiltrées sur des serveurs dans différents pays.
Attaques de billets d'or
"Les attaques Golden Ticket utilisent le protocole d'authentification par défaut, qui est utilisé depuis la disponibilité de Windows 2000", explique Vyacheslav Kopeytsev, expert en sécurité chez ICS CERT Kaspersky. « En falsifiant des Ticket Granting Tickets (TGT) Kerberos à l'intérieur du réseau d'entreprise, les attaquants peuvent accéder indéfiniment à n'importe quel service appartenant au réseau. Par conséquent, il ne suffit pas de changer simplement les mots de passe ou de verrouiller les comptes compromis. Notre recommandation : examinez attentivement toutes les activités suspectes et utilisez des solutions de sécurité fiables. »
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/