Rapport de l'APT : les acteurs de la menace chinoise rendent l'Europe dangereuse

Rapport de l'APT : les acteurs de la menace chinoise rendent l'Europe dangereuse

Partager le post

Le fabricant européen de sécurité informatique ESET a publié son dernier "APT Activity Report T3 2022". Focus : Des groupes de hackers chinois sont actifs en Europe et des groupes de hackers russes continuent de cibler l'Ukraine.

Les résultats des enquêtes sur certains groupes de menaces persistantes avancées (APT) sont régulièrement résumés dans ces rapports. Dans le dernier numéro, qui couvre la période de septembre à décembre 2022, les experts d'ESET présentent leurs dernières informations sur diverses campagnes mondiales de piratage. Des groupes alliés à la Chine ont déplacé leurs activités vers les pays européens. Les hackers russes comme Sandworm, Callisto et Gamaredon continuent de cibler l'Ukraine. De plus, des groupes liés à l'Iran et à la Corée du Nord continuent d'opérer à grande échelle.

Les acteurs de la menace chinoise rendent l'Europe dangereuse

« Les pays européens deviennent de plus en plus intéressants pour les groupes APT chinois. Traditionnellement, les groupes de hackers alignés sur la Chine comme Goblin Panda et Mustang Panda avaient tendance à se concentrer davantage sur l'Asie du Sud-Est », explique Jan-Ian Boutin, directeur d'ESET Threat Research. « Mais en novembre dernier, les chercheurs d'ESET ont découvert une nouvelle porte dérobée appelée TurboSlate dans une organisation gouvernementale de l'Union européenne. Le logiciel malveillant a été retracé jusqu'à Goblin Panda, qui semble copier les opérations du groupe APT Mustang Panda. Ces derniers ont découvert par eux-mêmes les destinations européennes début 2022. « Le groupe de cyberespionnage est connu pour cibler les institutions gouvernementales, les entreprises et les instituts de recherche. En septembre dernier, les experts d'ESET ont découvert un chargeur Korplug qui était utilisé par des pirates informatiques dans une entreprise du secteur suisse de l'énergie et de la technologie », a poursuivi Boutin.

La cyberguerre en Ukraine continue

Le groupe notoire Sandworm est également très actif et poursuit ses opérations contre l'Ukraine. Les chercheurs d'ESET sont tombés sur un essuie-glace jusqu'alors inconnu qui a été utilisé contre une entreprise du secteur de l'énergie dans ce pays d'Europe de l'Est en octobre 2022. L'attaque décrite a eu lieu au moment où les forces russes ont commencé à lancer des attaques de missiles sur les infrastructures énergétiques. Bien qu'ESET ne puisse pas prouver que ces événements ont été coordonnés, cela suggère que Sandworm et l'armée russe partagent des objectifs similaires.

ESET a surnommé le dernier essuie-glace, issu d'une gamme d'essuie-glaces découverts précédemment, NikoWiper. Le logiciel malveillant est basé sur SDelete, un outil de ligne de commande Microsoft utilisé pour supprimer des fichiers en toute sécurité. En plus des logiciels malveillants d'effacement des données, les chercheurs d'ESET ont également découvert des attaques de vers de sable utilisant un rançongiciel comme essuie-glace. Le logiciel de cryptage avait le même objectif que l'essuie-glace, il s'agissait de détruire des données. Cela se traduit principalement par le fait que la fourniture d'une clé de déchiffrement n'a jamais été prévue.

Ver des sables, Callisto, Gamaredon

En plus de Sandworm, d'autres groupes APT russes tels que Callisto et Gamaredon ont poursuivi des campagnes de harponnage contre l'Ukraine pour voler des informations d'identification et installer des logiciels malveillants. En octobre 2022, ESET a détecté le rançongiciel Prestige, qui a été utilisé contre des entreprises de logistique en Ukraine et en Pologne. Un mois plus tard, les chercheurs d'ESET en Ukraine ont découvert un nouveau logiciel de cryptage écrit en .NET, qu'ils ont baptisé RansomBoggs. ESET Research a publié les résultats de son enquête sur cette campagne sur le compte Twitter du même nom.

L'Iran et la Corée du Nord continuent d'opérer à grande échelle

Des groupes alliés à l'Iran poursuivent également leurs attaques - en plus des entreprises israéliennes, POLONIUM a également ciblé les filiales étrangères d'entreprises israéliennes. Le groupe iranien APT MuddyWater est également soupçonné d'avoir compromis un fournisseur de services de sécurité managés.

Le groupe de piratage affilié à la Corée du Nord, Konni, a utilisé d'anciennes vulnérabilités pour compromettre les entreprises de crypto-monnaie et les échanges dans différentes parties du monde. Les chercheurs d'ESET ont découvert que les acteurs de la menace ont ajouté l'anglais au répertoire des langues qu'il utilise dans ses documents de tromperie. Cela suggère qu'ils ne limitent plus leur rayon d'action aux seules cibles habituelles russes et sud-coréennes.

Contexte du rapport d'activité de l'APT

En plus du rapport sur les menaces ESET, ESET Research publie le rapport d'activité ESET APT, qui fournit un aperçu régulier des résultats de la recherche sur les activités des menaces persistantes avancées (APT). La première édition couvre la période de mai à août 2022. À l'avenir, le rapport APT sera publié parallèlement au rapport sur les menaces ESET.

Plus sur ESET.com

 


À propos d'ESET

ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.


 

Articles liés au sujet

Cyberdanger : contrebande HTML

Avec la contrebande HTML, le fichier malveillant est d'abord créé sur l'ordinateur de l'utilisateur. C'est pourquoi les programmes anti-malware et les bacs à sable traditionnels le détectent ➡ En savoir plus

Cybersécurité professionnelle pour les PME

Détection et réponse gérées (MDR) pour les PME 24h/7 et 365j/XNUMX, XNUMX jours par an. Le fabricant de sécurité informatique ESET élargit son offre ➡ En savoir plus

I-Soon : les pirates informatiques étrangers dirigés par l'État chinois dévoilés 

En interne, c'est certainement la plus grande trahison envers la Chine : un employé de la société I-Soon a révélé des données et des services ➡ En savoir plus

Un retour de Lockbit est probable

Il est fondamental que Lockbit soit à nouveau visible rapidement. Les victimes sont probablement moins disposées à payer tant qu’il y a des rumeurs ➡ En savoir plus

Menaces croissantes au cours de la dernière année

En 2023, les menaces ont considérablement augmenté. Les attaques via des canaux cryptés ont augmenté de 24 pour cent. L’industrie manufacturière est de retour sur les rails ➡ En savoir plus

Protection des données : tendances en 2024

À quels défis les entreprises pourraient-elles être confrontées cette année en matière de protection des données ? Et comment pouvez-vous comprendre cela ? ➡ En savoir plus

Ces menaces ont façonné 2023

En 2023, les botnets sont revenus d'entre les morts, les auteurs de ransomwares ont trouvé des moyens créatifs de gagner de l'argent grâce au vol, et les auteurs de menaces ➡ En savoir plus

FBI, Europol, NCA : le groupe APT LockBit fracassé !

Selon les autorités, Europol, le FBI et la NCA britannique ont démantelé le groupe APT LockBit. Au moins, elle a ➡ En savoir plus