Avec son nouveau rapport d'activité APT - Advanced Persistent Threat -, ESET fournit un aperçu régulier des activités des groupes de pirates et examine leurs actions en détail. Des groupes de Russie, de Corée du Nord, d'Iran et de Chine sont très actifs.
Les pirates liés à la Russie comme Sandworm, Gamaredon, Turla ou InvisiMole continuent d'avoir l'Ukraine comme cible principale. Les entreprises de l'aérospatiale et de la défense sont populaires auprès des acteurs liés à la Corée du Nord. Les groupes iraniens concentrent leurs activités sur Israël. Une entreprise alimentaire allemande était également la cible d'un groupe APT lié à la Chine. Dans l'ensemble, les chercheurs d'ESET n'ont pu détecter aucune diminution d'activité parmi les différents groupes de pirates. Le présent rapport couvre la période de mai à août 2022.
Industrie, Secrets, Chantage
"Les industries de l'aérospatiale et de la défense restent d'un grand intérêt pour les groupes alliés à la Corée du Nord. Par exemple, Lazarus a ciblé un employé d'une entreprise aérospatiale aux Pays-Bas. Selon nos recherches, le groupe a exploité une vulnérabilité dans un pilote Dell légitime pour infiltrer l'entreprise. Nous pensons qu'il s'agit du premier exploit enregistré de cette vulnérabilité dans la nature », a déclaré Jan-Ian Boutin, directeur d'ESET Threat Research. « Nous avons également constaté que plusieurs groupes alliés à la Russie ont abusé du service de messagerie Telegram pour accéder à des serveurs de commande et de contrôle ou pour divulguer des informations sensibles. Des acteurs de l'APT d'autres régions ont également tenté d'accéder à des organisations ukrainiennes, à la fois pour du cyberespionnage et du vol de propriété intellectuelle », poursuit Boutin.
Cryptomonnaies : un autre champ d'activité pour les groupes APT
Les institutions financières et les entreprises travaillant avec des crypto-monnaies ont été la cible de Kimsuky de la Corée du Nord et de deux campagnes du groupe Lazarus. L'une de ces actions, baptisée Operation In(ter)ception par les chercheurs d'ESET, s'écartait de leurs objectifs habituels dans les industries aérospatiale et de la défense. Une personne célibataire d'Argentine a été attaquée avec un logiciel malveillant déguisé en offre d'emploi chez Coinbase. ESET a également découvert que le groupe Konni utilise une technique utilisée par Lazarus dans le passé - une version trojanisée du Sumatra PDF Viewer.
Les groupes chinois utilisent souvent des portes dérobées
Les groupes basés en Chine ont continué à être très actifs. Ils ont exploité diverses vulnérabilités et des portes dérobées auparavant non signalées. C'est ainsi qu'ESET a identifié la variante Linux d'une porte dérobée utilisée par SparklingGoblin contre une université de Hong Kong. Dans un autre cas, le même groupe a utilisé une vulnérabilité Confluence pour attaquer une entreprise de transformation alimentaire en Allemagne et une société d'ingénierie aux États-Unis. ESET Research soupçonne également qu'une vulnérabilité de ManageEngine ADSelfService Plus est à l'origine de la compromission d'un sous-traitant américain de la défense. Ses systèmes ont été attaqués deux jours seulement après la publication de la vulnérabilité. Au Japon, ESET a identifié plusieurs campagnes du groupe Mirrorface, dont l'une était directement liée aux élections à la chambre haute du parlement.
Les groupes iraniens se concentrent sur Israël
Le nombre croissant de groupes liés à l'Iran a continué à concentrer ses efforts principalement sur diverses industries israéliennes. Les chercheurs d'ESET ont pu attribuer une action ciblant une dizaine d'organisations à POLONIUM et identifié plusieurs portes dérobées jusqu'alors non documentées. Agrius ciblait les entreprises et entités impliquées ou associées à l'industrie du diamant en Afrique du Sud, à Hong Kong et en Israël.
Les experts d'ESET pensent qu'il s'agit d'une attaque de la chaîne d'approvisionnement, abusant de logiciels basés en Israël et utilisés dans ce domaine. Une autre campagne en Israël a trouvé des preuves d'un chevauchement possible dans l'utilisation des outils entre les groupes MuddyWater et APT35. ESET Research a également détecté une nouvelle version du malware Android dans une campagne menée par le groupe APT-C-50. Il a été distribué par un site Web iranien copieur et avait des capacités d'espionnage limitées.
Via le rapport d'activité ESET APT
En complément du rapport sur les menaces ESET, ESET Research publie le rapport d'activité ESET APT, qui vise à fournir un aperçu régulier des informations d'ESET sur l'activité des menaces persistantes avancées (APT). La première édition couvre la période de mai à août 2022. Il est prévu que le rapport soit publié immédiatement avec le rapport ESET sur les menaces.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.