Les chercheurs de Kaspersky ont découvert que l'acteur APT de langue chinoise LuoYu distribue le malware WinDealer via des attaques de type "man-on-the-side" [1]. Ce mécanisme de propagation permet à l'auteur de la menace de modifier le trafic réseau en transit pour injecter des charges utiles malveillantes. De telles attaques sont particulièrement efficaces car elles ne nécessitent pas d'interaction humaine ou autre avec la cible pour une infection réussie.
Suite aux découvertes de TeamT5 [2], les chercheurs de Kaspersky ont découvert une nouvelle méthode utilisée par les acteurs pour faire proliférer le malware WinDealer. Ils utilisent une attaque man-on-the-side pour lire le trafic et insérer de nouveaux messages. Le concept d'attaque de l'homme du côté est que lorsque l'attaquant voit une demande pour une ressource spécifique sur le réseau (que ce soit par ses compétences d'écoute clandestine ou par sa propre position stratégique dans le réseau du FAI), il tente de viser à répondre plus rapide que le serveur légitime. Si tel est le cas, l'ordinateur cible utilise les informations fournies par l'attaquant au lieu des données habituelles. Même s'ils perdent la plupart de ces "courses", les attaquants peuvent toujours continuer d'essayer jusqu'à ce qu'ils infectent l'appareil.
Les logiciels espions collectent beaucoup d'informations
Après une attaque réussie, les logiciels espions atterrissent sur l'appareil cible, qui peut collecter diverses informations. Cela permet aux attaquants de visualiser et de télécharger tous les fichiers stockés sur l'appareil et d'effectuer une recherche par mot-clé sur tous les documents. En général, LuoYu cible les organisations diplomatiques étrangères basées en Chine, les institutions universitaires et les entreprises de défense, de logistique et de télécommunications. L'acteur utilise WinDealer pour attaquer les machines Windows.
En règle générale, les logiciels malveillants contiennent un ou plusieurs serveurs de commande et de contrôle codés en dur à partir desquels les attaquants contrôlent le système. Avec les informations appropriées sur ces serveurs, il est possible de bloquer les adresses IP de ces serveurs avec lesquels le malware interagit, neutralisant ainsi la menace. Cependant, WinDealer s'appuie sur un algorithme complexe de génération d'adresses IP pour déterminer quelle machine contacter.
Windealer génère des adresses IP de contact
Cela couvre une plage de 48.000 XNUMX adresses IP possibles, ce qui rend presque impossible pour l'opérateur d'en contrôler ne serait-ce qu'une petite partie. La seule façon d'expliquer ce comportement réseau apparemment impossible est de supposer que les attaquants ont des capacités d'écoute clandestine importantes dans cette plage IP et peuvent même lire les paquets réseau qui n'atteignent pas une destination.
Une telle attaque de l'homme à côté est particulièrement dévastatrice car elle ne nécessite aucune interaction avec la cible pour aboutir à une infection réussie. Une connexion active à Internet suffit. De plus, les utilisateurs ne peuvent prendre aucune mesure de protection de manière proactive, à part acheminer le trafic de données sur un autre réseau. Bien que cela soit possible en utilisant un VPN, il peut ne pas être utilisé dans certains pays et n'est généralement pas disponible, en particulier pour les citoyens chinois.
L'Allemagne également touchée
La grande majorité des victimes de LuoYu se trouvent en Chine. Les experts de Kaspersky pensent donc que l'APT LuoYu ciblera principalement les utilisateurs et les organisations de langue chinoise liés à la Chine. Cependant, ils ont également remarqué des attentats dans d'autres pays, dont l'Allemagne, l'Autriche, les États-Unis, la République tchèque, la Russie ou l'Inde.
"LuoYu est un acteur de menace hautement sophistiqué qui utilise des méthodes uniquement disponibles pour les attaquants les plus avancés", commente Suguru Ishimaru, chercheur principal en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. « Nous ne pouvons que spéculer sur la manière dont ils ont pu développer de telles capacités. Les attaques de l'homme sur le côté sont extrêmement efficaces car la seule exigence pour une attaque sur un appareil est qu'il soit connecté à Internet. Même si l'attaque échoue la première fois, les attaquants peuvent continuellement répéter le processus jusqu'à ce qu'ils réussissent. Cela permet aux cybercriminels de mener des attaques d'espionnage extrêmement dangereuses et réussies, qui ciblent généralement des diplomates, des scientifiques et des employés d'autres secteurs clés. Quelle que soit la manière dont l'attaque a été menée, la seule façon de vous protéger est de rester très vigilant et d'employer des pratiques de sécurité robustes. Cela comprend des analyses antivirus régulières, une analyse du trafic réseau sortant et une journalisation approfondie pour détecter les anomalies.
Recommandations de Kaspersky pour la protection
- Utilisation de pratiques de sécurité robustes qui incluent des analyses antivirus régulières, une analyse du trafic réseau sortant et une collecte complète des fichiers de décalage pour détecter les anomalies.
- Réalisation d'un audit de cybersécurité de tous les réseaux et correction de toute vulnérabilité découverte sur ou dans le périmètre du réseau.
- Installation de solutions anti-APT et EDR qui permettent la détection des menaces, l'investigation et la résolution rapide des incidents. L'équipe SOC doit toujours avoir accès aux dernières données sur les menaces et recevoir une formation professionnelle régulière. Tout cela est possible dans Kaspersky Expert Security [3].
- En plus d'une protection complète des terminaux, des services dédiés offrent une protection supplémentaire contre les attaques. Kaspersky Managed Detection and Response [4] peut aider à identifier et arrêter les compromis dès le début, avant que les attaquants n'atteignent leurs cibles.
- Threat Intelligence Resource Hub [5] de Kaspersky offre un accès gratuit à des informations indépendantes, constamment mises à jour et disponibles dans le monde entier sur les cyberattaques et les menaces actuelles afin de garantir un niveau de sécurité élevé.
https://teamt5.org
https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
https://www.kaspersky.de/enterprise-security/managed-detection-and-response
https://go.kaspersky.com/uchub Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/