Avast identifie le groupe APT ciblant les entités gouvernementales en Asie de l'Est. L'analyse suggère que le groupe APT LuckyMouse pourrait être à l'origine de l'attaque et qu'il emploie de nouvelles tactiques avancées pour accéder aux données gouvernementales sensibles.
Avast, un leader mondial des solutions de sécurité numérique et de confidentialité, a identifié une nouvelle campagne de menaces persistantes avancées (APT) ciblant les agences gouvernementales et un centre de données d'État en Mongolie.
Groupe APT avec de nouvelles tactiques
Les analystes d'Avast Threat Intelligence ont découvert que le groupe APT utilisait des portes dérobées et des enregistreurs de frappe pour obtenir un accès à long terme aux réseaux du gouvernement mongol. Ils pensent que le groupe de piratage basé en Chine LuckyMouse, également connu sous le nom d'EmissaryPanda et APT27, est probablement à l'origine de la campagne APT. Le groupe, qui a attaqué des cibles dans la région dans le passé, est connu pour rechercher des ressources nationales et des renseignements politiques dans les pays voisins.
Après recherche et analyse, les chercheurs d'Avast ont découvert que le groupe avait mis à jour ses tactiques. Pour cette attaque, le groupe a utilisé à la fois des enregistreurs de frappe et des portes dérobées pour télécharger une variété d'outils qui leur ont permis d'analyser le réseau cible et de collecter les informations d'identification. Ils les ont ensuite utilisés pour accéder à des données gouvernementales sensibles.
Les entreprises vulnérables comme pont
Les tactiques utilisées par le groupe APT pour accéder à l'infrastructure gouvernementale incluent l'accès à une entreprise vulnérable qui fournit des services gouvernementaux via une pièce jointe malveillante qui utilise une vulnérabilité CVE 2017-11882 non corrigée pour injecter des documents infectés.
«Le groupe LuckyMouse APT est actif depuis l'automne 2017 et a échappé à l'attention d'Avast au cours des deux dernières années en faisant évoluer ses techniques et en modifiant considérablement ses tactiques. En identifiant leur nouveau modus operandi, nous avons pu découvrir la campagne contre le gouvernement mongol et montrer comment le groupe a fait évoluer ses attaques pour accéder à des données sensibles sur le long terme », a déclaré Luigino Camastra, Malware Researcher chez Avast.
Plus d'informations à ce sujet dans le blog de sécurité sur Avast.io
À propos d'Avast Avast (LSE:AVST), une société du FTSE 100, est un leader mondial des produits de sécurité numérique et de confidentialité. Avast compte plus de 400 millions d'utilisateurs en ligne et propose des produits sous les marques Avast et AVG qui protègent les utilisateurs contre les menaces en ligne et l'évolution du paysage des menaces IoT. Le réseau de détection des menaces de l'entreprise est l'un des plus avancés au monde, utilisant des technologies telles que l'apprentissage automatique et l'intelligence artificielle pour détecter et arrêter les menaces en temps réel. Les produits de sécurité numérique d'Avast pour mobiles, PC ou Mac ont reçu les meilleures notes et certifications de VB100, AV-Comparatives, AV-Test, SE Labs et d'autres instituts de test.