Avril 2022 : Les cyberattaques et malwares à suivre de près

Mis à jour le 15 avril 2022

Pas de repos pour les cybercriminels. Ces dernières semaines le prouvent encore. Les attaquants ne manquent pas d’investir, de se diversifier, d’user de techniques toujours plus retorses.

TEHTRIS vous propose de faire un petit tour des campagnes et malwares qui font parler d’eux, et qui vont nécessiter toute notre attention.

Cyber Gangs, the mafias of the future?
Les cybercriminels se passent bien volontiers de vacances

Sommaire

Enemybot

Identité

Enemybot est un nouveau botnet DDOS basé sur Gafgyt, qui a pour cible les routeurs (Seowon Intech, D-Link, Netgear, Zhone) et les IOT.

Apparu mi-mars, il profite de l’anonymat du réseau Tor pour héberger son serveur.

Fonctionnement

Il emprunte plusieurs modules au code source original de et LolFMe. Leurs méthodes privilégiées restent les attaques par brute force et l’exploitation des vulnérabilités.

Plateformes concernées

Unix (IOT)

Impact et risque

Les adversaires peuvent prendre le contrôle des systèmes vulnérables. L’outil sert à faire du DDOS

Qui se cache derrière Enemybot ?

Keksec (aka : Necro ou Freakout), ils sont connus pour leurs attaques ciblant les fournisseurs de services cloud et pour leurs campagnes de cryptojacking.

Ils sont relativement récents dans le panorama cybercriminel puisqu’ils sont actifs depuis 2022.

Cryptorom : Le retour

L’attaque en soi n’est pas récente, elle a déjà fait de nombreuses victimes au Јароn, еn Сhіnе еt еn Аѕіе du Ѕud-Еѕt en 2021. Elle arrive aujourd’hui en Еurоре еt en Аmérіquе du Nоrd.

Elle diffère aujourd’hui par le perfectionnement de la technique, et l’utilisation d’une nouvelle plateforme, autre que Android, en profitant de deux nouvelles fonctionnalités iOS.

Identité

Campagne d’ingénierie sociale mondiale. Il s’agit d’une opération d’escroquerie bien organisée, basée sur des applications financières frauduleuses.

L’opération abuse du service Apple ”TestFlight Signature” pour augmenter le nombre de victimes et contourner la protection de l’App store.

Fonctionnement

L’amour rend il aveugle ? La campagne Cryptorom s’appuie sur ce vieil adage. L’opération consiste à approcher les victimes sur des sites de rencontres (Bumble, Tinder, Facebook Dating et Grindr) ou bien en discutant avec elles sur des plateformes de messagerie (WhаtѕАрр), puis une fois la confiance acquise, de les inciter à télécharger une application de trading de crypto monnaie (identique à Соіnbаѕе, RоbіnНооd, Віnаnсе оu Віtfіnех.) Bien sûr l’application est fausse. Une fois l’installation faite, la victime est prise au piège.

Plateformes concernées

iPhone, fonctionnalités iOS légitimes telles que TestFlight et Web Clips.

Impact

Les victimes sont piégées et se voient détourner leurs économies au profit des attaquants.

Adversaire

Le groupe derrière cette campagne est actif depuis 2021.

Serpent : La nouvelle porte dérobée

Identité

Il s’agit d’une campagne de courrier électronique ciblée découverte par nos confrères de Proofpoint, à destination de la France. Les secteurs de la construction, de l’immobilier et des entités gouvernementales sont concernés.

Fonctionnement

L’opération part, comme cela est bien souvent le cas d’une attaque de phishing.

Il s’agit d’un document Word contenant des macros, informant sur les règles RGPD[1].

L’exécution des macros entraînent l’activation d’un script PowerShell qui lui-même permet l’installation d’un utilitaire Chocolatey (Chocolatey est utilisé pour échapper à la détection), mais ce n’est pas tout, la campagne s’appuie également sur la stéganographie. Il s’agit d’une technique permettant de dissimuler une information dans une image, dans ce cas précis, il s’agissait Swiper the Fox (les aficionados de Dora l’exploratrice l’auront reconnu).

Tous ces ingrédients permettent au serpent d’arriver à ses fins sans se faire repérer.

Plateformes concernées

Windows

Impact

Permet à l’attaquant de prendre l’administration à distance, la commande et le contrôle (Command and Control, C2), le vol de données.

Adversaire

Il s’agirait d’un APT non identifié à ce jour. Il semblerait que la motivation soit l’espionnage, l’accès aux données.

Asyncrat

Identité

AsyncRAT est un outil d’accès à distance conçu pour surveiller et contrôler à distance d’autres ordinateurs. Il s’agit d’un outil open source, qui est bien souvent utilisé à des fins malveillantes.

Ces derniers mois, les chercheurs en cyber sécurité ont constaté une recrudescence de ces campagnes qui semblent exploiter une nouvelle version du 3LOSH RAT.

Fonctionnement

Les intrusions commencent bien souvent par du phishing (encore), qui n’est pas toujours repéré par les anti-malwares. D’où l’importance d’avoir une bonne technologie de détection, TEHTRIS avec sa technologie EDR veille à sécuriser votre environnement.

L’opération en question ici consiste à utiliser des images de disque ISO pour fournir AsyncRAT, LimeRAT.

Plateformes concernées

Windows

Impact

Créer un lien à distance entre le pirate et l’appareil de la victime. L’objectif étant l’espionnage, le vol de données.

Icedid

Identité

IcedID est un logiciel malveillant sous Windows actif depuis 2017, il n’est pas tout récent mais il continue à faire la une des journaux.

Au départ il était connu pour ses capacités à voler des identifiants bancaires, puis il a été utilisé pour pirater un domaine pour spammer des e-mails afin de diffuser IcedID. Il utilisait généralement des documents Office pour déposer des logiciels malveillants.

Le voici de retour fin mars : IcedID était caché en pièce jointe .zip d’un e-mail envoyé à une compagnie pétrolière ukrainienne.

L’opération vise les organisations de l’énergie, de la santé, du droit et de la pharmacie.

Fonctionnement

Une fois n’est pas coutume, la campagne démarre par…un e-mail de phishing qui semble légitime. Ce dernier contient une archive.zip (protégée par un mot de passe). Les acteurs derrière cette campagne utilisent des fichiers ISO avec un fichier de Windows LNK et une bibliothèque de liens dynamiques (DLL). Une fois le fichier exécuté IcedID se déploie.

Plateformes concernées

Microsoft Exchange

Impact

L’attaquant se sert du cheval de Troie pour réaliser une attaque ransomware

Adversaire

Bien que l’attribution soit difficile, des faisceaux de présomptions semblent établir la culpabilité de TA551 et TA577.

Des menaces de plus en plus nombreuses mais des solutions existent

Pas de répit pour les équipes de sécurité, qui continuent encore et toujours de protéger vos infrastructures.

TEHTRIS est aussi là pour vous aider. Nos solutions sont spécialement conçues pour surveiller votre infrastructure, pour détecter toutes anomalies de comportement et contrôler l’accès, grâce à notre technologie hyper automatisée. Nos solutions XDR sont essentielles pour obtenir une stratégie globale de sécurité.

Choisir TEHTRIS c’est choisir des solutions technologiques adaptées aux besoins et contraintes de votre système. Notre volonté ? atteindre un niveau de sécurisation plus complet et personnalisable pour vous aider à faire face à l’imprévisible.

Pour plus de renseignements nos équipes sont à votre disposition :

[1] Règlement général sur la protection des données

Cyber or not Cyber ?

Abonnez-vous à la newsletter TEHTRIS.

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.

Pour pousser le sujet

Publications similaires

Cyber or not cyber ?

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.