Les experts de Kaspersky ont récemment découvert des campagnes d'espionnage ciblées contre des organisations financières et militaires.
Grâce au Kaspersky Threat Attribution Engine, les chercheurs de Kaspersky ont pu relier plus de 300 échantillons de la porte dérobée Bisonal à une campagne du groupe de cyberespionnage CactusPete. Cette dernière campagne du groupe APT se concentre sur des cibles militaires et financières en Europe de l'Est. On ne sait toujours pas comment la porte dérobée utilisée accède aux appareils des victimes.
CactusPete, également connu sous le nom de Karma Panda ou Tonto Tea, est un groupe de cyberespionnage actif depuis au moins 2012. Leur porte dérobée actuellement déployée cible les représentants des secteurs militaire et financier d'Europe de l'Est, susceptibles d'avoir accès à des informations confidentielles.
Premières attaques d'espionnage en février 2020
Ces récentes activités de groupe ont été remarquées pour la première fois par les chercheurs de Kaspersky en février 2020 lorsqu'ils ont découvert une version mise à jour de la porte dérobée Bisonal. À l'aide de Kaspersky Threat Attribution Engine - un outil d'analyse permettant de trouver des similitudes dans le code malveillant d'acteurs malveillants connus - la porte dérobée a été liée à plus de 300 autres échantillons trouvés "dans la nature". Tous les échantillons ont été découverts entre mars 2019 et avril 2020, environ 20 échantillons par mois. Cela suggère que CactusPete évolue rapidement. En tant que tel, le groupe a continué à perfectionner ses compétences et a eu accès cette année à un code plus complexe comme ShadowPad.
La fonctionnalité de la charge utile malveillante suggère que le groupe est à la recherche d'informations hautement sensibles. Après avoir installé la porte dérobée sur l'appareil de la victime, le groupe peut utiliser Bisonal pour lancer silencieusement divers programmes, mettre fin à des processus, télécharger, télécharger ou supprimer des fichiers et obtenir une liste des lecteurs disponibles. Une fois que les attaquants pénètrent plus profondément dans le système infecté, un enregistreur de frappe est utilisé pour collecter les informations d'identification et télécharger des logiciels malveillants qui accordent des privilèges et augmentent progressivement le contrôle sur le système.
CactusPete utilise des e-mails de harponnage
On ne sait toujours pas comment la porte dérobée est arrivée sur l'appareil dans cette campagne. Cependant, dans le passé, CactusPete s'appuyait principalement sur des e-mails de harponnage contenant des pièces jointes malveillantes pour infecter les appareils.
"CactusPete est un groupe APT intéressant car il n'est en fait pas si avancé, y compris sa porte dérobée bisonale", déclare Konstantin Zykov, chercheur en sécurité chez Kaspersky. « Leur succès ne repose pas sur une technologie complexe ou sur des tactiques sophistiquées de distribution et d'obscurcissement, mais sur une ingénierie sociale réussie. Ils parviennent à infecter des cibles de haut niveau en demandant à leurs victimes d'ouvrir des pièces jointes malveillantes dans des e-mails de phishing. C'est un bon exemple de la raison pour laquelle le phishing continue d'être un moyen si efficace de lancer des cyberattaques et pourquoi il est si important pour les entreprises d'éduquer leurs employés sur la façon de reconnaître ces e-mails et d'utiliser les renseignements sur les menaces pour les surveiller la dernière menace. ”
Recommandations de Kaspersky pour la protection contre les APT
- L'équipe du Centre des opérations de sécurité (SOC) doit toujours avoir accès aux dernières informations sur les menaces pour se tenir au courant des outils, techniques et tactiques nouveaux et émergents utilisés par les acteurs de la menace et les cybercriminels.
- Les entreprises doivent implémenter une solution EDR comme Kaspersky Endpoint Detection and Response pour détecter, enquêter et répondre aux incidents en temps opportun.
- Les employés doivent recevoir une formation régulière sur la cybersécurité [6], car de nombreuses attaques ciblées commencent par du phishing ou d'autres techniques d'ingénierie sociale. Les attaques de phishing simulées peuvent aider à tester, former et alerter les employés sur ce que font les cybercriminels.
- Avec Kaspersky Threat Attribution Engine, les échantillons malveillants peuvent être rapidement liés à des attaquants connus.
Consultez la SecureList de Kaspersky.com pour plus d'informations
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/