Rapport de l'APT : les acteurs de la menace chinoise rendent l'Europe dangereuse

Rapport de l'APT : les acteurs de la menace chinoise rendent l'Europe dangereuse

Partager le post

Le fabricant européen de sécurité informatique ESET a publié son dernier "APT Activity Report T3 2022". Focus : Des groupes de hackers chinois sont actifs en Europe et des groupes de hackers russes continuent de cibler l'Ukraine.

Les résultats des enquêtes sur certains groupes de menaces persistantes avancées (APT) sont régulièrement résumés dans ces rapports. Dans le dernier numéro, qui couvre la période de septembre à décembre 2022, les experts d'ESET présentent leurs dernières informations sur diverses campagnes mondiales de piratage. Des groupes alliés à la Chine ont déplacé leurs activités vers les pays européens. Les hackers russes comme Sandworm, Callisto et Gamaredon continuent de cibler l'Ukraine. De plus, des groupes liés à l'Iran et à la Corée du Nord continuent d'opérer à grande échelle.

Les acteurs de la menace chinoise rendent l'Europe dangereuse

« Les pays européens deviennent de plus en plus intéressants pour les groupes APT chinois. Traditionnellement, les groupes de hackers alignés sur la Chine comme Goblin Panda et Mustang Panda avaient tendance à se concentrer davantage sur l'Asie du Sud-Est », explique Jan-Ian Boutin, directeur d'ESET Threat Research. « Mais en novembre dernier, les chercheurs d'ESET ont découvert une nouvelle porte dérobée appelée TurboSlate dans une organisation gouvernementale de l'Union européenne. Le logiciel malveillant a été retracé jusqu'à Goblin Panda, qui semble copier les opérations du groupe APT Mustang Panda. Ces derniers ont découvert par eux-mêmes les destinations européennes début 2022. « Le groupe de cyberespionnage est connu pour cibler les institutions gouvernementales, les entreprises et les instituts de recherche. En septembre dernier, les experts d'ESET ont découvert un chargeur Korplug qui était utilisé par des pirates informatiques dans une entreprise du secteur suisse de l'énergie et de la technologie », a poursuivi Boutin.

La cyberguerre en Ukraine continue

Le groupe notoire Sandworm est également très actif et poursuit ses opérations contre l'Ukraine. Les chercheurs d'ESET sont tombés sur un essuie-glace jusqu'alors inconnu qui a été utilisé contre une entreprise du secteur de l'énergie dans ce pays d'Europe de l'Est en octobre 2022. L'attaque décrite a eu lieu au moment où les forces russes ont commencé à lancer des attaques de missiles sur les infrastructures énergétiques. Bien qu'ESET ne puisse pas prouver que ces événements ont été coordonnés, cela suggère que Sandworm et l'armée russe partagent des objectifs similaires.

ESET a surnommé le dernier essuie-glace, issu d'une gamme d'essuie-glaces découverts précédemment, NikoWiper. Le logiciel malveillant est basé sur SDelete, un outil de ligne de commande Microsoft utilisé pour supprimer des fichiers en toute sécurité. En plus des logiciels malveillants d'effacement des données, les chercheurs d'ESET ont également découvert des attaques de vers de sable utilisant un rançongiciel comme essuie-glace. Le logiciel de cryptage avait le même objectif que l'essuie-glace, il s'agissait de détruire des données. Cela se traduit principalement par le fait que la fourniture d'une clé de déchiffrement n'a jamais été prévue.

Ver des sables, Callisto, Gamaredon

En plus de Sandworm, d'autres groupes APT russes tels que Callisto et Gamaredon ont poursuivi des campagnes de harponnage contre l'Ukraine pour voler des informations d'identification et installer des logiciels malveillants. En octobre 2022, ESET a détecté le rançongiciel Prestige, qui a été utilisé contre des entreprises de logistique en Ukraine et en Pologne. Un mois plus tard, les chercheurs d'ESET en Ukraine ont découvert un nouveau logiciel de cryptage écrit en .NET, qu'ils ont baptisé RansomBoggs. ESET Research a publié les résultats de son enquête sur cette campagne sur le compte Twitter du même nom.

L'Iran et la Corée du Nord continuent d'opérer à grande échelle

Des groupes alliés à l'Iran poursuivent également leurs attaques - en plus des entreprises israéliennes, POLONIUM a également ciblé les filiales étrangères d'entreprises israéliennes. Le groupe iranien APT MuddyWater est également soupçonné d'avoir compromis un fournisseur de services de sécurité managés.

Le groupe de piratage affilié à la Corée du Nord, Konni, a utilisé d'anciennes vulnérabilités pour compromettre les entreprises de crypto-monnaie et les échanges dans différentes parties du monde. Les chercheurs d'ESET ont découvert que les acteurs de la menace ont ajouté l'anglais au répertoire des langues qu'il utilise dans ses documents de tromperie. Cela suggère qu'ils ne limitent plus leur rayon d'action aux seules cibles habituelles russes et sud-coréennes.

Contexte du rapport d'activité de l'APT

En plus du rapport sur les menaces ESET, ESET Research publie le rapport d'activité ESET APT, qui fournit un aperçu régulier des résultats de la recherche sur les activités des menaces persistantes avancées (APT). La première édition couvre la période de mai à août 2022. À l'avenir, le rapport APT sera publié parallèlement au rapport sur les menaces ESET.

Plus sur ESET.com

 


À propos d'ESET

ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.


 

Articles liés au sujet

Protection des données : tendances en 2024

À quels défis les entreprises pourraient-elles être confrontées cette année en matière de protection des données ? Et comment pouvez-vous comprendre cela ? ➡ En savoir plus

Ces menaces ont façonné 2023

En 2023, les botnets sont revenus d'entre les morts, les auteurs de ransomwares ont trouvé des moyens créatifs de gagner de l'argent grâce au vol, et les auteurs de menaces ➡ En savoir plus

FBI, Europol, NCA : le groupe APT LockBit fracassé !

Selon les autorités, Europol, le FBI et la NCA britannique ont démantelé le groupe APT LockBit. Au moins, elle a ➡ En savoir plus

Phishing, vishing et quishing

Au début, les attaques de phishing étaient souvent très simples et utilisaient des sources légitimes de communication écrite telles que le courrier électronique pour accéder ➡ En savoir plus

La tempête de pions au microscope

Pawn Storm (également APT28 ou Forest Blizzard) est un groupe d'acteurs APT qui se distinguent par une répétition persistante de leurs tactiques, ➡ En savoir plus

Boucherie porcine : un modèle économique lucratif pour les cyber-gangs

Sophos a révélé comment les escrocs de Sha Zhu Pan utilisent désormais un modèle commercial pour leurs soi-disant escroqueries de boucherie de porc, censées viser la romance. ➡ En savoir plus

Amendes pour violation du RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en novembre 2018 pour uniformiser les règles de traitement des données personnelles dans l'ensemble de l'UE. ➡ En savoir plus

Microsoft abusé pour phishing

Le département de recherche d'un fournisseur de solutions de cybersécurité a publié le Brand Phishing Report pour le quatrième trimestre 2023. Le rapport ➡ En savoir plus