Introduction
Depuis la publication de notre premier numéro trimestriel en janvier 2023, le rapportBlackBerry Global Threat Intelligence Report est rapidement devenu un guide de référence clé dans le secteur de la cybersécurité. Ce rapport est utilisé par les professionnels de la cybersécurité du monde entier, notamment les RSSI, les responsables de la sécurité et d'autres décideurs, pour se tenir informés des dernières menaces et défis en matière de cybersécurité qui affectent leurs secteurs et leurs plateformes.
Dans ce nouveau numéro, notre équipe mondiale de recherche et de renseignement sur les menaces ( BlackBerry ) examine les défis auxquels sont confrontés les gouvernements et les entités publiques, les vulnérabilités dans le secteur de la santé, les risques pour les institutions financières et la nécessité de protéger les infrastructures vitales. Nous incluons également une nouvelle analyse géopolitique et une section de commentaires qui fournit un contexte supplémentaire et donne une perspective stratégique aux données présentées. Le rapport couvre la période allant de mars 2023 à mai 2023.
Voici quelques-uns des faits marquants :
- 90 jours en chiffres. De mars 2023 à mai 2023, les solutions de cybersécuritéBlackBerry® ont stoppé plus de 1,5 million d'attaques. En moyenne, les acteurs de la menace ont déployé environ 11,5 attaques par minute. Ces menaces comprenaient environ 1,7 nouveaux échantillons de logiciels malveillants par minute. Cela représente une augmentation de 13 % par rapport à la moyenne de 1,5 nouvel échantillon par minute de la période précédente, ce qui montre que les attaquants diversifient leurs outils pour tenter de contourner les contrôles défensifs, en particulier les solutions existantes basées sur les signatures et les hachages.
- Les secteurs les plus ciblés. Les secteurs de la santé et des services financiers ont été parmi les plus ciblés. Dans le secteur de la santé, la combinaison de données précieuses et de services essentiels constitue une cible lucrative pour les cybercriminels, ce qui se traduit par des gangs de ransomwares ciblant directement les organismes de santé et par la prolifération de logiciels malveillants de vol d'informations, ou "infostealers". Ce rapport souligne l'importance de sécuriser les données des patients et de préserver la fourniture ininterrompue de services médicaux essentiels.
- L'accès à distance augmente le risque cybernétique. Les institutions financières sont confrontées à des menaces persistantes en raison de leur importance économique et de la richesse de leurs données sensibles. Ce rapport examine les défis auxquels est confronté le secteur financier, notamment la disponibilité croissante de logiciels malveillants, les attaques par ransomware et l'augmentation des logiciels malveillants ciblant les services bancaires numériques et mobiles.
- Cyberattaques spécifiques à un pays. Au cours du deuxième trimestre 2023, l'APT28 et le Lazarus Group - des acteurs de la menace parrainés par l'État et liés respectivement à la Russie et à la Corée du Nord - ont été très actifs. Ces acteurs ont l'habitude de cibler spécifiquement les États-Unis, l'Europe et la Corée du Sud. Leur champ d'action s'étend aux agences gouvernementales, aux organisations militaires, aux entreprises et aux institutions financières, ce qui constitue une menace sérieuse pour la sécurité nationale et la stabilité économique. Ces groupes de menace adaptent continuellement leurs techniques, ce qui rend difficile la défense contre leurs attaques.
- Conclusion et perspectives d'avenir. Enfin, nous présentons nos conclusions et nos prévisions en matière de cybermenaces pour les mois à venir en 2023.
Afin de fournir des renseignements exploitables et contextuels sur les cybermenaces, les sections Techniques communes de MITRE et Contre-mesures appliquées et remédiation résument les 20 principales techniques utilisées par les groupes de menace et comparent les tendances par rapport au dernier rapport trimestriel. Par exemple, nous avons confirmé que les cinq tactiques les plus fréquemment utilisées appartiennent aux catégories de la découverte et de l'évasion de la défense. Les techniques signalées comme faisant partie de ces tactiques peuvent être incorporées dans les exercices de l'équipe d'épuration et utilisées pour hiérarchiser les tactiques, les techniques et les procédures (TTP) dans le cadre d'exercices pratiques de modélisation des menaces.
En outre, l'équipe de recherche et de renseignement sur les menaces BlackBerry a utilisé MITRE D3FEND™ pour élaborer une liste complète de contre-mesures pour toutes les techniques utilisées pendant cette période. MITRE D3FEND est disponible dans notre dépôt public GitHub. Ce rapport dresse la liste des règles Sigma les plus efficaces pour détecter les comportements malveillants présentés par les 224 851 échantillons uniques que les solutionsBlackBerry Cybersecurity powered by Cylance® AI ont arrêté au cours de cette période de reporting. Notre objectif est de permettre aux lecteurs de traduire nos résultats en leurs propres capacités pratiques de chasse et de détection des menaces.
Enfin, j'aimerais remercier notre équipe d'élite de chercheurs mondiaux de l'équipe de recherche et de renseignement sur les menaces BlackBerry pour continuer à produire des recherches de classe mondiale, premières sur le marché, qui informent et éduquent notre lectorat tout en améliorant continuellement les produits et services basés sur les données BlackBerry et l'IA Cylance . Nous espérons que les données détaillées et exploitables présentées dans notre dernière édition vous seront utiles.
Ismael Valenzuela
Vice-président, Threat Research and Intelligence chez BlackBerry
@aboutsecurity
Attaques par pays et par secteur d'activité
Cyberattaques par pays
Les cinq pays qui subissent le plus de cyberattaques
La figure 1 montre les cinq pays où les solutions deBlackBerry Cybersecurity ont empêché le plus grand nombre de cyberattaques et où des échantillons malveillants uniques ont été utilisés. Comme lors de la période précédente, c'est aux États-Unis que BlackBerry a empêché le plus grand nombre d'attaques. Nous avons depuis constaté une croissance dans la région Asie-Pacifique (APAC), la Corée du Sud et le Japon entrant dans le trio de tête. La Nouvelle-Zélande et Hong Kong sont entrés dans le top 10. Même si les États-Unis restent en tête, nous avons constaté une diversification beaucoup plus grande des pays où ces nouveaux échantillons ont été observés.
Attaques par secteur d'activité
Selon les données télémétriques de BlackBerry , voici les secteurs d'activité les plus touchés par les cyberattaques que les solutions de cybersécurité de BlackBerry ont permis de protéger au cours de la période couverte par le rapport :
- Institutions financières
- Services et équipements de santé, y compris les hôpitaux, les cliniques et les dispositifs médicaux
- Gouvernement/Entités publiques
- Infrastructures critiques
Au cours de cette période, les secteurs d'activité attaqués étaient plus diversifiés que dans le dernier rapport. La figure 2 montre la répartition des cyberattaques entre les trois principaux secteurs d'activité. Elle montre également qu'il existe une relation inverse entre le classement des industries de 1 à 3 en termes d'attaques stoppées et de hachages uniques stoppés :
Gouvernement/Entités publiques
Les organisations gouvernementales sont des cibles attrayantes pour les acteurs de la menace dont les motivations peuvent être géopolitiques, financières ou de perturbation. Les acteurs de la menace pouvant être des particuliers, des petits groupes ou des groupes APT parrainés par l'État (qui utilisent des tactiques APT), les organisations gouvernementales doivent se défendre contre un large éventail de menaces.
Au cours de cette période, les solutions de cybersécurité de BlackBerry ont permis d'arrêter plus de 55 000 attaques individuelles contre le secteur du gouvernement et des services publics, soit une augmentation de près de 40 % par rapport à la période précédente.
BlackBerry Les solutions de cybersécurité ont permis d'arrêter le plus grand nombre d'attaques contre des entités gouvernementales en Amérique du Nord et dans la région APAC, où l'Australie, la Corée du Sud et le Japon ont été les pays les plus visés dans la région.
Principales menaces pour les gouvernements
Au cours de la période précédente, l'équipe de recherche et de renseignement sur les menaces ( BlackBerry ) a recensé de nombreuses familles de logiciels malveillants bon marché et facilement accessibles ciblant les entités gouvernementales, notamment RedLine, Emotet et RaccoonStealer (RecordBreaker). Les chargeurs de logiciels malveillants de base PrivateLoader et SmokeLoader ont également ciblé le secteur public.
DCRat, également connu sous le nom de Dark Crystal RAT, a été documenté au cours de cette période de déclaration. DCRat est couramment observé depuis 2019 et permet aux acteurs de la menace de prendre le contrôle de l'appareil d'une victime, qui sert ensuite de point d'accès pratique à l'environnement compromis.
Examen du paysage des menaces gouvernementales au sens large
Cette période a été largement dominée par les nouvelles concernant les groupes de ransomware qui ont ciblé et violé les systèmes des villes et des États d'Amérique du Nord.
En mars, le groupe de ransomware LockBit a pris pour cible la ville d'Oakland1, en Californie. Le groupe exploite un ransomware-as-a-service (RaaS) et emploie généralement de multiples tactiques et techniques pour infiltrer les réseaux, identifier les informations critiques et confidentielles, et exfiltrer les données pour les utiliser comme garantie dans des stratagèmes de double extorsion afin de pousser les victimes à payer des demandes de rançon plus importantes. Au cours de la période considérée, le groupe de menace BlackByte a également revendiqué des attaques par ransomware Royal contre les villes de Dallas (Texas) et d'Augusta (Géorgie).
Le groupe de ransomware Clop (également appelé Cl0P ou CLOP) est un RaaS similaire qui a été observé en train d'abuser de la vulnérabilité CVE-2023-06692, depuis lors corrigée, dans l'application de transfert de fichiers gérés (MFT) GoAnywhere. Après la découverte de cette vulnérabilité, Clop a revendiqué plusieurs autres attaques au cours de la période considérée, notamment une attaque contre la ville deToronto3, au Canada, où le groupe affirme avoir chiffré des appareils et exfiltré les métadonnées de plus de 35 000 citoyens.
La Pologne a également été la cible d'une attaque. SelonReuters4, le service fiscal polonais a été mis hors ligne en mars par une cyberattaque russe présumée. Selon le commissaire polonais à la sécurité de l'information5, le groupe NoName, proche de la Russie, est à l'origine de ces attaques, qu'il a qualifiées de "simples" au regard des normes actuelles.
En mai, le groupe hacktiviste Mysterious Team a ciblé les sites du gouvernement et du ministère des finances au Sénégal6 dans une attaque par déni de service distribué (DDoS).
Soins de santé
Le secteur de la santé est l'une des industries les plus régulièrement ciblées par les acteurs de la menace. Parce qu'ils fournissent des services essentiels, les systèmes et les infrastructures de santé ne peuvent pas rester hors ligne pendant de longues périodes. Cela en fait des cibles attrayantes pour les gangs de ransomwares qui poussent les victimes à payer rapidement pour que le fournisseur de soins de santé puisse reprendre ses activités. Selon un rapport récent de l'Internet Crime Complaint Center (IC3) du FBI, les soins de santé et la santé publique ont été le secteur d'infrastructure critique le plus ciblé par les gangs de ransomwares aux États-Unis en 2022, avec 210 attaques officiellement signalées.7
Le secteur de la santé est également visé en raison de la valeur des données confidentielles contenues dans ses systèmes, notamment les informations personnelles identifiables (IPI) des individus, y compris les noms, adresses, dates de naissance, numéros de sécurité sociale, et souvent les dossiers médicaux sensibles. Les IPI peuvent être utilisées à des fins criminelles telles que l'usurpation d'identité8, vendues sur des forums de marché du dark web, ou utilisées à des fins de chantage ou de rançon.
Selon l'Office for Civil Rights Breach Portal du ministère américain de la santé et des servicessociaux9, 146 incidents de piratage informatique ont été recensés sur le site à l'encontre de prestataires de soins de santé américains au cours de la période considérée.
Principales menaces dans le domaine de la santé
Au cours de la période considérée, les solutions de cybersécurité de BlackBerry ont détecté et arrêté 13 433 binaires de logiciels malveillants uniques et ont empêché plus de 109 922 attaques disparates dans l'ensemble du secteur des soins de santé.
Les attaques les plus importantes ont été menées à l'aide de logiciels malveillants de base, en particulier des voleurs d'informations tels que RedLine. Une autre menace très répandue est Amadey (un bot lié à un botnet du même nom), qui peut effectuer une reconnaissance sur un hôte infecté, voler des données et délivrer des charges utiles supplémentaires.
Les acteurs de la menace ont également utilisé des familles de logiciels malveillants telles que Emotet, IcedID et SmokeLoader pour cibler le secteur de la santé. Le point commun de ces attaques contre les prestataires de soins de santé est qu'elles utilisent des logiciels malveillants de vol d'informations qui peuvent également délivrer d'autres charges utiles malveillantes.
Examen du paysage général des menaces dans le domaine de la santé
Au cours de la période couverte par le présent rapport, plusieurs cyberattaques notables et de grande ampleur ont été perpétrées dans le secteur de la santé. Début mars, l'hôpital espagnol Clínic de Barcelona a été victime10 d'une attaque par ransomware dont on pense qu'elle a été perpétrée11 par l'organisation cybercriminelle RansomHouse. L'attaque visait des machines virtuelles au sein de l'infrastructure de l'hôpital et a gravement perturbé les services médicaux programmés. Un peu plus d'une semaine plus tard, Alliance Healthcare, l'un des principaux fournisseurs de produits pharmaceutiques en Espagne, a été la cible d'une attaque qui a entraîné la fermeture complète12 du site web de l'entreprise, des systèmes de facturation et du traitement des commandes.
Toujours en mars, le fabricant de produits pharmaceutiques Sun Pharmaceuticals, basé à Mumbai - le plus grand de sa catégorie en Inde et le quatrième au monde - a été attaqué13 par l'opérateur du ransomware ALPHV/BlackCat, qui a ajouté les données volées de l'entreprise à son site de fuite peu de temps après. À peu près à la même période, le groupe a également attaqué le Lehigh Valley Health Network, basé en Pennsylvanie, après quoi il a menacé de publier des photos de patientes atteintes d'un cancer dusein14, une action qui a été universellement condamnée comme un nouveau coup bas pour l'industrie de la cybercriminalité.
Des acteurs de la menace parrainés par des États sont également soupçonnés d'avoir ciblé le secteur de la santé au cours de cette période. En mai, les forces de l'ordre sud-coréennes ont révélé que des pirates informatiques basés en Corée du Nord s'étaient introduits dans l'hôpital de l'université nationale de Séoul et avaient volé des données médicales confidentielles. L'intrusion s'est produite à la mi-2021 et a été suivie d'une enquête de deux ans. Les médias ont affirmé que le groupe APT Kimsuky avait perpétré cette attaque.15
Ces attaques variées démontrent que le secteur de la santé est une cible attrayante pour tous les types d'acteurs de la menace. Étant donné que les organismes de santé détiennent généralement des données sensibles et fournissent des services essentiels, le nombre d'attaques contre ce secteur est susceptible d'augmenter.
Finances
Le secteur financier est une cible fréquente des cybercriminels à la recherche de gains importants, d'effets destructeurs (notamment d'éventuelles amendes gouvernementales, de frais juridiques, de coûts d'atténuation des menaces et d'atteintes à la réputation de la cible) et de données financières sensibles qui peuvent être vendues sur des forums du dark web. Ces données sont souvent achetées par des acteurs secondaires qui les utilisent pour atteindre d'autres objectifs malveillants.
Au cours de cette période, les solutions de cybersécurité de BlackBerry ont permis d'arrêter plus de 17 000 attaques visant des institutions financières, dont près de 15 000 contre des organisations américaines. Les autres attaques visant le secteur financier ont été détectées et stoppées dans des pays d'Amérique du Sud et d'Asie.
Principales menaces pour l'industrie financière
Au cours de la période couverte par le présent rapport, la télémétrie du site BlackBerry a permis d'observer une tendance continue à l'utilisation de logiciels malveillants de base tels que RedLine, qui peuvent recueillir des informations, notamment des identifiants enregistrés, des données de cartes de crédit et (dans une version plus récente) des crypto-monnaies. BlackBerry a également observé des attaques utilisant le logiciel malveillant de porte dérobée SmokeLoader et le cadre de travail open-source MimiKatz.
Amadey, un botnet vendu sur des forums de piratage russophones, a été détecté comme une menace pour le secteur financier. Amadey renvoie les informations de la victime ciblée à son centre de commande et de contrôle (C2) en attendant les commandes de l'attaquant. La principale fonction d'Amadey est de charger des charges utiles malveillantes sur les machines compromises.
Examen de l'ensemble des menaces pesant sur la finance
Le secteur financier - en particulier les banques - a subi de nombreuses attaques au cours de cette période. Le ransomware Clop, une variante de la famille des ransomwares CryptoMix, constitue une autre menace courante pour les institutions financières. Le groupe à l'origine de ce logiciel malveillant a également exploité une nouvelle vulnérabilité trouvée dans le logiciel GoAnywhere MFT, qui souffrait d'une vulnérabilité d'injection de commande avant authentification repérée comme CVE-2023-0669 16 dans la récente violation de la plateforme bancaire Hatch Bank17.
Au début de la période considérée, le groupe RaaS à l'origine de Lockbit 3.0 a ciblé FullertonIndia18 , une société financière non bancaire en Inde. Le groupe à l'origine de l'attaque a affirmé avoir volé plus de 600 Go de données qu'il a partagées sur son site de fuite du dark web.
En Australie, le géant du crédit Latitude Financial Services19 et l'unité indonésienne de la Commonwealth Bank of Australia20 ont tous deux été la cible de cyberattaques au début de l'année 2023.
Le secteur financier a également été la cible d'un nouveau logiciel malveillant Android. Le cheval de Troie Android connu sous le nom de "Chameleon" 21 imite une application de service bancaire électronique de la PKO Bank Polski pour tromper les victimes. Le groupe de logiciels malveillants Android Xenomorph a publié des versions mises à jour et aurait volé les informations d'identification de plus de 400 banques22 dans le monde.
Infrastructures critiques
Des infrastructures critiques fiables étant nécessaires pour fournir des services essentiels dont dépendent des populations entières, elles constituent une cible de grande valeur pour les États-nations hostiles et d'autres groupes qui planifient des attaques. Comme nous l'avons indiqué dans notre précédent rapport, le secteur énergétique ukrainien a été la cible d'attaques physiques et numériques de la part de groupes soupçonnés d'être soutenus par la Russie. Étant donné que les malfaiteurs, les gouvernements et les infrastructures critiques s'intéressent de plus en plus aux failles de sécurité des technologies opérationnelles (OT), les entités doivent donner la priorité à la sécurité de leurs infrastructures.
Au cours de cette période, la télémétrie BlackBerry a enregistré le plus grand nombre d'attaques contre les infrastructures américaines, suivies par l'Inde, le Japon et l'Équateur. Dans l'ensemble, les solutions de cybersécurité de BlackBerry ont permis d'arrêter plus de 25 000 attaques contre des infrastructures critiques au cours de cette période.
Principales cibles des infrastructures critiques
Les infrastructures critiques sont souvent isolées des autres systèmes dans le but d'atténuer les menaces extérieures. Cependant, la numérisation croissante et l'intégration avec l'Internet des objets (IoT) dans les écosystèmes informatiques et OT peuvent présenter des risques imprévus. Avec l'adoption de nouvelles technologies, des cybermenaces sophistiquées suivront sans aucun doute. En plus d'endommager les infrastructures, les cybercriminels cherchent à accéder aux données et aux systèmes.
Les logiciels malveillants de type "commodity" constituent également une menace croissante pour les infrastructures. Par exemple, BlackBerry a détecté le voleur d'informations Vidar, un logiciel malveillant de base.
Examen de l'ensemble des menaces pesant sur les infrastructures critiques
Plusieurs attaques très médiatisées contre des infrastructures critiques ont eu lieu au cours de la période couverte par le présent rapport, notamment une attaque contre les États-Unis menée par Volt Typhoon, un acteur présumé de la menace parrainé par l'État chinois. Selon les recherches deMicrosoft23, Volt Typhoon est principalement impliqué dans l'espionnage. Le groupe s'appuie sur des techniques de "living off the land" (LotL)24 et compromet l'équipement du réseau pour canaliser le trafic du réseau tout en restant indétecté.
En avril, un groupe suspecté d'être basé en Corée du Nord et soupçonné d'être à l'origine de l'attaque de la chaîne d'approvisionnement X_Trader25 a été lié à la compromission d'infrastructures critiques aux États-Unis et en Europe. Les tensions géopolitiques croissantes ont sensibilisé le public à la menace élevée qui pèse sur les infrastructures critiques basées en Occident. Le National Cyber Security Center (NCSC) du Royaume-Uni, par exemple, a lancé une alerte26 appelant à la vigilance en raison de l'activité accrue d'acteurs de la menace alignés sur l'État et favorables à l'invasion de l'Ukraine par la Russie.
Analyse géopolitique et commentaires
Nous vivons à l'ère de la géopolitique numérique. La cyberactivité malveillante est devenue une tactique fréquemment employée par certains États-nations pour projeter leur puissance, perturber leurs adversaires et atteindre leurs objectifs géopolitiques. Comme le décrit le Centre canadien de cybersécurité dans son Évaluation nationale de la cybermenace pour2023-2427, la cybermenace "est devenue un outil important pour les États afin d'influencer les événements sans atteindre le seuil d'un conflit". Les motivations des cyberattaques peuvent aller du vol de propriété intellectuelle au cyberespionnage, en passant par la perturbation d'infrastructures essentielles et l'alimentation de campagnes d'influence numérique visant à saper la confiance du public dans le gouvernement (voir la stratégie nationale de cybersécurité des États-Unis)28 .
Au cours de cette période, BlackBerry a enregistré une augmentation de près de 40 % du nombre de cyberattaques contre des entités du secteur public qui ont été stoppées par les solutions de cybersécurité deBlackBerry . Les secteurs des infrastructures critiques sont devenus des cibles stratégiques pour les cyberacteurs parrainés par des États, car les temps d'arrêt dans la fourniture de services essentiels par le gouvernement peuvent être particulièrement préjudiciables et saper la confiance du public. C'est pourquoi les gouvernements des Cinq Yeux, une alliance de renseignement composée de l'Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis, ont toujours estimé que les cyberacteurs parrainés par des États "mènent presque certainement des activités de reconnaissance contre les infrastructures critiques" dans le but de "se prépositionner sur les réseaux OT industriels" et d'"envoyer des messages intimidants sur [leur] pouvoir et [leur] capacité [à] menacer la santé et la sécurité d'une population". (The Cyber Threat to Canada's Oil and Gas Sector,29 Canadian Center for Cyber Security, 2023 ; voir également les alertes et avis de la CISA en matière de cybersécurité).30
Face à l'escalade des cyberattaques, les gouvernements intensifient leur collaboration pour aider à enquêter sur les incidents, à y répondre et à s'en remettre. On peut citer à titre d'exemple la mobilisation rapide des États-Unis et d'autres pays partenaires alliés pour aider le CostaRica31, l'Albanie32 et le Monténégro33 en 2022, alors que chacun de leurs gouvernements était confronté à des cyberattaques contre des infrastructures critiques. Plus récemment, à Vancouver, au Canada, plus de 30 gouvernements ont réaffirmé la nécessité d'une vaste coopération internationale pour contrer les cybermenaces et défendre le comportement responsable des États dans le cyberespace (voir "Les nations sont invitées à faire preuve de responsabilité dans le cyberespace après la réunion de Vancouver")34.
Alors que les hostilités en Ukraine se poursuivent, le lien entre la géopolitique et les cyberattaques est de plus en plus évident. L'Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis ont publié plusieurs cyberavis conjoints35 mettant en garde contre d'éventuelles cyberactivités ciblant des infrastructures critiques et menées par des groupes criminels-hacktivistes "parrainés par l'État russe" et "alignés sur la Russie", qui soutiennent l'invasion de l'Ukraine par la Russie. Au cours de la période couverte par le présent rapport, le siteBlackBerry a recensé des attaques menées par des acteurs soupçonnés d'être affiliés à la Russie et visant des missions diplomatiques de l'UE et des organismes de santé américains apportant une aide médicale aux réfugiés ukrainiens. Nous nous attendons à ce que cette tendance se poursuive à mesure que la crise géopolitique s'intensifie.
Nombre total de menaces stoppées
De mars à mai 2023, les solutions de cybersécurité deBlackBerry ont stoppé 1 528 488 cyberattaques. Pendant cette période, les acteurs de la menace ont déployé en moyenne 16 614 échantillons de logiciels malveillants par jour contre les clients de BlackBerry . Cela représente une moyenne de 11,5 échantillons de logiciels malveillants par minute.
Ces échantillons comprenaient 224 851 nouveaux échantillons uniques de logiciels malveillants. En moyenne, cela équivaut à 2 444 nouveaux échantillons par jour ou à 1,7 nouvel échantillon par minute. Cela représente une augmentation de 13 % par rapport à la moyenne de 1,5 échantillon unique par minute de la période précédente.
Le graphique suivant montre la dynamique des cyberattaques que les solutions BlackBerry Cybersecurity powered by Cylance AI ont permis d'éviter au cours de cette période.
Acteurs et outils de la menace
Au cours de cette période, les solutions de cybersécurité de BlackBerry , pilotées par Cylance AI, ont défendu les clients contre ces acteurs et outils de menace avancés.
Acteurs de la menace
APT28
APT28, également connu sous le nom de Sofacy/Fancy Bear, est un groupe de cyberespionnage hautement qualifié et disposant de ressources considérables36, dont on suppose qu'il opère pour le compte du gouvernement russe et qu'il s'attaque aux pays occidentaux et à leurs alliés. Actif depuis au moins 2007, le groupe cible un large éventail de secteurs, dont les gouvernements, l'armée, les entreprises de défense et les sociétés d'énergie. Le groupe est soupçonné d'être impliqué dans des campagnes de menaces persistantes avancées (APT), notamment l'opération Pawn Storm et l'opération Sofacy.
En novembre 2015, le groupe a commencé à utiliser une arme appelée Zebrocy qui comporte trois éléments principaux : un téléchargeur et un dropper qui peuvent découvrir les processus en cours et télécharger le fichier malveillant sur les systèmes, et une porte dérobée qui établit une persistance dans le système et exfiltre des données.
Groupe Lazarus
Le LazarusGroup37 , également connu sous les noms de Labyrinth Chollima, Hidden Cobra, Guardians of Peace, Zinc et Nickel Academy, serait un groupe de cybermenaces parrainé par l'État nord-coréen et attribué à l'agence de renseignement nord-coréenne Reconnaissance General Bureau. Le groupe est actif depuis au moins 2009 et serait responsable de l'attaque destructive par essuie-glace de novembre 2014 contre Sony Pictures Entertainment dans le cadre d'une campagne baptisée "Operation Blockbuster".38
Ce groupe a utilisé un cheval de Troie d'accès à distance (RAT) personnalisé appelé Manuscrypt39 qui recueille des informations sur le système, exécute des commandes et télécharge des charges utiles supplémentaires.
Outils
AdFind
AdFind est un outil en ligne de commande open-source qui recueille des informations à partir d'Active Directory (AD). AdFind est utilisé lors des phases de découverte pour recueillir les données AD des victimes.
Mimikatz
Mimikatz est un cadre et un outil de test de pénétration (pen-testing) open-source qui offre de nombreuses fonctionnalités pour tester la sécurité des réseaux et renforcer les systèmes. Mimikatz peut extraire des informations confidentielles telles que des mots de passe et des identifiants et offre de nombreuses autres fonctionnalités pour aider les professionnels de la sécurité à identifier les vulnérabilités, y compris l'escalade des privilèges sur les ordinateurs fonctionnant sous Windows®. En raison de ses puissantes capacités, les acteurs de la menace abusent souvent de Mimikatz pour atteindre leurs objectifs malveillants.
Grève du cobalt
Cobalt Strike®40 est une plateforme commerciale d'émulation d'adversaires qui peut exécuter des attaques ciblées et émuler les actions post-exploitation d'acteurs de menaces avancées. Cet outil est souvent utilisé par les professionnels de la sécurité dans le cadre de tests d'intrusion afin d'évaluer et de tester la sécurité des réseaux et des systèmes informatiques.
Cobalt Strike Beacon est un agent léger sans fichier qui peut être déployé sur l'appareil d'une victime pour lui offrir des fonctionnalités telles que le transfert de fichiers, l'enregistrement de frappe, l'élévation de privilèges, le balayage de ports, etc. Ces fonctionnalités sont souvent utilisées par les professionnels de la sécurité pour simuler des menaces et tester les cyberdéfenses, mais elles sont aussi régulièrement utilisées de manière abusive par les acteurs de la menace.
RAT extrême
Extreme RAT (alias XTRAT, Xtreme Rat) est un cheval de Troie d'accès à distance qui permet notamment de télécharger des fichiers, de gérer le registre, d'exécuter des commandes shell, de réaliser des captures d'écran, de manipuler des processus et des services en cours d'exécution et d'enregistrer des données audio par le biais du microphone ou de la caméra Web d'un appareil. Ce RAT a été utilisé dans des attaques visant les gouvernements israélien41 et syrien42 en 2012 et 2015, ainsi que dans d'autres attaques menées par de nombreux acteurs différents.
Familles de logiciels malveillants les plus répandues
Fenêtres
Droppers/Downloaders
Emotet
Au cours des dix dernières années, Emotet a évolué, passant du cheval de Troie bancaire autonome qu'il était à l'origine à un logiciel malveillant en tant que service (MaaS) exploité derrière un trio de réseaux de zombies baptisés Epoch1, Epoch2 et Epoch3. Les réseaux de zombies servent de mécanisme de distribution pour divers autres logiciels malveillants tels que TrickBot, IcedID, Bumblebee Loader, et sont également connus pour déployer des balises Cobalt Strike malveillantes.
Dans le passé, le célèbre gang Ryuk ransomware a utilisé Emotet en conjonction avec TrickBot pour faciliter l'accès aux environnements des victimes. Emotet utilise des courriers électroniques non sollicités et des documents Microsoft® Office infectés comme principal vecteur d'infection. Après avoir survécu aux efforts de démantèlement des forces de l'ordre et à plus d'une année sabbatique qu'il s'est lui-même imposée, Emotet reste présent dans le paysage actuel des menaces.
PrivateLoader
PrivateLoader est apparu pour la première fois dans le paysage des menaces en 2022 et était lié à un service de paiement à l'installation. Utilisant des versions trojanisées de logiciels "crackés" (ou modifiés) comme principal vecteur d'infection, PrivateLoader a été utilisé dans de nombreuses campagnes pour diffuser divers logiciels malveillants, notamment RedLine, Remcos, njRAT, SmokeLoader et d'autres. La télémétrie de BlackBerry indique que PrivateLoader deviendra probablement un visiteur régulier, bien que malvenu, à l'avenir.
Chargeur de fumée
SmokeLoader fait régulièrement partie du paysage des menaces et n'a cessé d'évoluer depuis son apparition en 2011. Jusqu'en 2014, il était principalement utilisé par des acteurs de la menace basés en Russie et servait à charger toute une série de logiciels malveillants, notamment des ransomwares, des infostealers, des cryptominers et des chevaux de Troie bancaires. SmokeLoader est souvent distribué par le biais de courriers électroniques non sollicités, de documents contenant des armes et d'attaques par spearphishing. Une fois installé sur l'hôte d'une victime, SmokeLoader peut créer un mécanisme de persistance pour survivre après un redémarrage, effectuer une injection de DLL pour tenter de se dissimuler dans des processus légitimes, effectuer un dénombrement des hôtes et télécharger des fichiers supplémentaires ou des logiciels malveillants. SmokeLoader contient également des techniques anti-sandbox et anti-analyse telles que l'obscurcissement du code.
Au cours de la période précédente, SmokeLoader a été utilisé à deux reprises pour cibler des entités ukrainiennes dans des chaînes d'exécution comprenant des archives, des documents leurres, des chargeurs JavaScript et l'utilisation de PowerShell pour livrer une charge utile SmokeLoader.
Infostealers
RedLine
RedLine est un voleur d'informations bien connu, basé sur .NET, qui cible les systèmes Windows. Selon la télémétrie de BlackBerry , RedLine a été l'une des familles de logiciels malveillants les plus observées au cours de cette période. Cette famille de logiciels malveillants très répandue a également été abordée dans le Global Threat Intelligence Report - April 2023.
RedLine est un voleur d'informations relativement peu coûteux qui tente d'exfiltrer des informations personnelles d'un système infecté, telles que les mots de passe, les numéros de sécurité sociale et les informations relatives aux cartes de crédit enregistrées dans les navigateurs. En outre, RedLine peut rassembler et envoyer à l'attaquant des listes d'applications (y compris des logiciels de sécurité) installées sur l'appareil d'une victime, ce qui aide les attaquants à préparer des attaques secondaires. RedLine peut également exécuter des commandes et constitue souvent un élément d'une chaîne d'exécution en plusieurs étapes.
RedLine est largement diffusé sur les forums clandestins et est vendu en tant que produit autonome ou dans le cadre d'un abonnement MaaS. À l'heure où nous écrivons ces lignes, il est possible de l'acheter pour environ 100 à 150 USD.
La popularité de RedLine et sa capacité à infliger des dégâts résultent de sa polyvalence. Le logiciel malveillant peut être diffusé de différentes manières et est souvent déployé en tant que charge utile secondaire ou tertiaire d'autres logiciels malveillants afin d'augmenter les dommages causés au système d'une victime. Ces derniers mois, RedLine a été distribué via des pièces jointes Microsoft® OneNote trojanisées dans des courriels d'hameçonnage.
RaccoonStealer/RecordBreaker
RaccoonStealer est un voleur d'informations qui obtient les cookies des navigateurs, les mots de passe, les données de remplissage automatique des navigateurs web et les données des portefeuilles de crypto-monnaie. Le logiciel malveillant aurait été vendu en tant que MaaS sur des forums du dark web et des plateformes similaires.
À la mi-2022, après une interruption et une suspension temporaire des opérations, le groupe à l'origine du logiciel malveillant a annoncé une nouvelle version de RaccoonStealer, baptisée RaccoonStealer 2.0 ou RecordBreaker. Ce logiciel malveillant mis à jour est actuellement distribué en tant que MaaS sur les marchés noirs. Le groupe affirme l'avoir reconstruit à partir de zéro avec une infrastructure mise à jour et des capacités de vol d'informations améliorées.
Vidar
Vidar est un autre logiciel malveillant fréquemment utilisé qui est ouvertement distribué sur des forums clandestins. Il s'agirait d'un fork de l'infostealer Arkei. Vidar recueille des informations bancaires, des identifiants de navigateur et des portefeuilles de crypto-monnaies, ainsi que des fichiers standard. Lors de l'exécution, le logiciel malveillant recueille des informations critiques sur le système ainsi que des données sur le matériel, les processus en cours et les logiciels, et les renvoie à l'auteur de la menace.
Depuis sa sortie initiale en 2018, de multiples itérations de Vidar ont renforcé ses capacités, sa capacité d'évasion et sa complexité globale, ce qui a accru sa popularité auprès des acteurs de la menace. D'autres familles de logiciels malveillants ont été observées en train de déposer Vidar en tant que charge utile secondaire.
IcedID
Souvent appelé BokBot, ce cheval de Troie bancaire a été découvert pour la première fois en 2017. Depuis, IcedID s'est réinventé à de multiples reprises pour devenir constamment répandu dans le paysage des menaces. IcedID est modulaire par nature, et sa fonctionnalité principale est celle d'un cheval de Troie bancaire sophistiqué.
Comme IcedID est fréquemment mis à jour pour devenir plus évasif et plus nuisible, il reste une menace importante en 2023. En outre, IcedID sert souvent de dropper de charges utiles supplémentaires pour les logiciels malveillants de niveau secondaire, y compris les ransomwares et les compromissions Cobalt Strike.
Trojans d'accès à distance
Agent Tesla
Agent Tesla est un RAT et un voleur d'informations compilé en .NET qui est présent dans le paysage des menaces depuis au moins 2014. Il s'agit d'un RAT à part entière qui peut voler et exfiltrer un large éventail de données (y compris des frappes au clavier, des captures d'écran et des informations d'identification à partir de nombreuses applications couramment utilisées).
L'agent Tesla a utilisé de nombreux vecteurs d'infection, notamment des courriers électroniques non sollicités et des documents Microsoft® Word militarisés. Il s'est également propagé par l'exploitation des vulnérabilités de Microsoft® Office et par des fichiers HTML compilés. Au cours de la période précédente, l'agent Tesla est devenu l'un des RAT les plus actifs dans le paysage mondial des menaces.
Ransomware
Chat noir/ALPHV
Apparu dans la nature en 2021, BlackCat ou ALPHV/Noberus est une famille de ransomwares écrits dans le langage de programmation Rust. Le logiciel malveillant est vendu en tant que RaaS et peut cibler les systèmes d'exploitation Windows et Linux.
ALPHV est un ransomware prolifique qui a été utilisé pour cibler des victimes de premier plan. Après avoir infecté l'hôte, le ransomware ALPHV devient évasif et tente de bloquer les fonctions de récupération et de rapport avant de faire exploser la charge utile finale du ransomware.
ALPHV s'est encore fait connaître en exfiltrant des données sensibles et en utilisant une double méthode d'extorsion pour pousser les victimes à payer des rançons plus importantes afin de rétablir l'accès à leurs fichiers cryptés et d'éviter qu'ils ne soient divulgués au public.
Selon un avis duFBI43 , BlackCat/ALPHV est potentiellement lié aux groupes plus anciens DarkSide et BlackMatter.
Mobile
Android
Depuis sa première version en 2008, AndroidTM est devenu la plateforme mobile de prédilection de plus de trois milliards44 d'utilisateurs actifs d'appareils portables, soit près de 71 % du marché mondial.45 Malheureusement, la popularité d'Android en fait également une cible attrayante pour les acteurs de la menace, de sorte que le paysage des menaces liées à Android n'a jamais été aussi animé. Voici quelques-unes des menaces Android les plus courantes que nous avons rencontrées au cours de la période considérée.
SpyNote
SpyNote46 (également connu sous le nom de SpyMax) est une famille de logiciels malveillants utilisés pour espionner les victimes. SpyNote extrait des appareils mobiles des informations sensibles telles que des informations d'identification et des détails de cartes de crédit. SpyNote peut également surveiller la localisation de l'utilisateur, accéder à la caméra d'un appareil, intercepter des SMS (ce qui permet aux auteurs de menaces de contourner l'authentification à deux facteurs), surveiller et enregistrer des appels téléphoniques et contrôler un appareil à distance.
SpyNote continue d'évoluer. La dernière itération, baptisée SpyNote.C, est la première variante à être diffusée par de fausses applications qui se font passer pour des applications légitimes d'organisations financières de premier plan, ainsi que pour d'autres applications mobiles couramment utilisées. À la suite d'une fuite du code source en octobre 2022, les échantillons de SpyNote se sont multipliés dans le paysage des menacesmobiles47.
SpinOk
SpinOk, qui a été documenté pour la première fois fin mai 2023, est un composant logiciel malveillant doté de capacités d'espionnage qui semble être un kit de développement logiciel (SDK) pour une application de marketing. Au cours de la période précédente, SpinOK a été intégré involontairement dans des dizaines48 d'applications dans le cadre d'une attaque de la chaîne d'approvisionnement SDK.49
Une fois intégré, SpinOK affiche des publicités qui semblent être des mini-jeux afin d'encourager les utilisateurs à garder l'application ouverte. SpinOk permet aux acteurs de la menace d'identifier le contenu de l'appareil et d'exfiltrer des données vers des serveurs distants. Il peut également entraver les efforts d'analyse des menaces.50
SMSThief
SMSThief peut intercepter, transférer ou copier les SMS d'une victime tout en fonctionnant en arrière-plan. Des variantes de SMSThief sont utilisées depuis au moins dix ans. SMSThief peut également enrôler des victimes dans des arnaques aux numéros surtaxés51 en envoyant des SMS depuis l'appareil de l'utilisateur vers un numéro surtaxé qui entraîne des frais excessifs.
Linux
Linux® est principalement utilisé sur les serveurs d'entreprise (sur site et dans le cloud) et les appareils IoT, plutôt que sur les systèmes des utilisateurs. Les vecteurs d'infection les plus populaires sont le forçage brutal de mots de passe pour obtenir un accès Secure Shell (SSH) ou l'exploitation de vulnérabilités dans les services tournés vers le public. Les attaques de cette période de reporting restent cohérentes avec la période précédente, y compris les attaques DDoS, les cryptomineurs et les ransomwares ciblant spécifiquement les serveurs VMWare ESXi.
Linux étant une cible active pour les acteurs de la menace, les entreprises doivent agir pour réduire les risques. L'application des correctifs de sécurité doit être une priorité. Les correctifs peuvent aider à protéger les environnements Linux contre les exploits à distance et les vulnérabilités d'escalade des privilèges locaux (LPE), qui sont couramment utilisées dans les attaques sophistiquées. Ces exploits à distance incluent des logiciels malveillants avancés tels que des portes dérobées. Étant donné que de nombreuses menaces pesant sur les environnements Linux reposent sur le forçage brutal de mots de passe faibles pour obtenir l'accès, nous recommandons d'exiger des informations d'identification solides ainsi qu'un programme efficace de gestion des vulnérabilités.
Déni de service distribué
Les attaques DDoS basées sur des logiciels malveillants ont constitué la menace la plus fréquente pour les systèmes Linux au cours de la période couverte par le présent rapport. La variante de logiciel malveillant la plus déployée était Mirai, active depuis au moins 2016. Le code source de Mirai est publié dans des forums clandestins, ce qui rend difficile l'attribution des attaques à des groupes spécifiques. Mirai cible principalement les appareils IoT qui ne disposent pas de mises à jour de sécurité.
Gafygt52 , actif depuis 2014, est un botnet basé sur Linux qui utilise une base de code similaire à Mirai et qui cible généralement des appareils tels que les routeurs IoT. Au cours de la période précédente, XorDDos53 était le logiciel malveillant le plus avancé utilisé dans les attaques DDoS, bien qu'il soit aussi le moins répandu. XorDDoS se propage principalement en forçant brutalement l'accès à SSH et peut inclure un rootkit qui dissimule sa présence aux administrateurs système.
Les cryptomineurs
La deuxième menace la plus fréquente pour les serveurs Linux au cours de cette période est celle des cryptomineurs, c'est-à-dire des acteurs qui utilisent les ressources du système d'une victime pour miner de la crypto-monnaie (principalement Monero). Si le logiciel multiplateforme open-source XMRig est le cryptomineur le plus courant, cette période de référence a révélé un pic d'utilisation du botnetPrometei54, actif depuis au moins 2020 et également disponible en version Windows. Prometei utilise notamment des algorithmes générés par des domaines pour rendre difficile l'arrêt du réseau de zombies. Prometei a ciblé des victimes dans le monde entier, mais pas des hôtes russes. À l'origine, Prometei aurait été conçu pour ne pas cibler les pays de la CEI, à savoir la Russie, l'Ukraine, le Belarus et le Kazakhstan. Toutefois, les versions ultérieures du logiciel malveillant semblent indiquer que ce n'est plus le cas. Le logiciel malveillant semble être conçu pour infecter tous les appareils, sauf ceux basés en Russie. Il semble donc que les activistes pro-russes cherchent à attaquer les pays qui ont soutenu l'Ukraine contre l'invasion russe.
Ransomware
Alors que la plupart des attaques par ransomware ciblent Windows, la plupart des groupes de menace importants créent une version Linux de leurs logiciels malveillants, ciblant souvent VMWare ESXi. Plusieurs groupes importants, dont Lockbit, Black Basta, BlackCat/ALPHV, Babuk, Royal et Hive, se sont ainsi livrés à des activités de ce type. Trigona55 et Money Message56 sont de nouvelles souches de ransomware qui incluent une version Linux.
À l'avenir, nous nous attendons à ce que de nouveaux groupes de ransomware développent une variante Linux dès le lancement de leurs opérations, ce qui augmentera la probabilité d'attaques de ransomware contre les systèmes Linux.
macOS
Bien qu'il soit considéré comme plus sûr que Windows, macOS est depuis longtemps la cible d'acteurs de menaces avancées. Pour obtenir des informations détaillées, consultez la présentation de macOS : Tracking High Profile Targeted Attacks, Threat Actors & TTPs,57 BlackBerry's presentation at RSA 2023.
Alors que les logiciels malveillants typiques de macOS affichent des logiciels publicitaires ou détournent les recherches effectuées dans le navigateur web, un nombre croissant d'acteurs de la menace ont utilisé des langages de programmation multiplateformes pour développer des logiciels malveillants ciblant macOS lui-même. Par exemple, nous avons observé une nouvelle souche appelée Atomic macOS (AMOS), un voleur d'informations basé sur le langage de programmation multiplateforme GoLang (alias Go).
Logiciels publicitaires et détournement de navigateur
Bien que de nombreuses personnes considèrent que les logiciels publicitaires ne sont rien de plus qu'une application indésirable, ils peuvent télécharger et installer des composants nuisibles tels que des portes dérobées. Au cours de la période considérée, notre télémétrie montre qu'AdLoad et Pirrit restent les logiciels publicitaires les plus largement déployés. Nous avons également observé la réapparition de Genieo, une menace plus ancienne qui redirige les résultats de la barre de recherche pour orienter l'utilisateur vers des logiciels publicitaires potentiellement malveillants. Les logiciels publicitaires peuvent être programmés pour diriger les internautes vers des sites web malveillants qui téléchargent des logiciels malveillants sur l'appareil de la victime. Ces sites malveillants peuvent être clonés pour ressembler à des sites légitimes. Par exemple, le groupe de menace RomCom a récemment cloné des sites hébergeant des applications d'entreprise légitimes et a utilisé le typosquattage pour créer des URL similaires à celles utilisées sur le vrai site web. Les visiteurs des faux sites ont téléchargé à leur insu des versions trojanisées de logiciels populaires, ce qui a permis aux auteurs de la menace d'accéder à leur machine et d'exfiltrer des informations.
Atomic macOS (AMOS) Stealer
Atomic macOS (AMOS) est une nouvelle souche de voleur d'informations ciblant macOS qui est apparue au cours de la période considérée58 et qui a été déployée dans la nature. AMOS fait l'objet d'une publicité sur l'application de messagerie populaire Telegram, basée sur le cloud. Le logiciel malveillant peut collecter les informations d'identification de l'utilisateur à partir des trousseaux de clés, des navigateurs et des portefeuilles de crypto-monnaie et exfiltrer des fichiers à partir de répertoires spécifiques de l'utilisateur tels que Desktop et Documents. Sur la plateforme Windows, les courtiers d'accès initiaux (IAB) utilisent les informations d'identification volées pour compromettre les réseaux et déployer des ransomwares. Bien que ce comportement n'ait pas été observé dans AMOS, il est concevable qu'il se produise à l'avenir.
Histoires les plus intéressantes
SideWinder utilise le polymorphisme côté serveur pour attaquer des fonctionnaires du gouvernement pakistanais - et vise désormais la Turquie
Début mai, l'équipe de recherche et de renseignement sur les menaces du site BlackBerry a publié des conclusions mettant au jour une campagne menée par le groupe APTSideWinder59, qui serait originaire d'Inde. La campagne visait des cibles du gouvernement pakistanais et a été mise en œuvre par une chaîne d'exécution complexe reposant sur des courriels d'hameçonnage et des documents militarisés qui exploitent la vulnérabilité CVE-2017-019960 pour effectuer une injection de modèle à distance. Le groupe a utilisé un polymorphisme unique côté serveur61 pour contourner les mécanismes de détection basés sur les signatures. En cas de succès, l'exploit délivrait alors une charge utile à l'étape suivante.
La première campagne a eu lieu en décembre 2022. En mars 2023, l'équipe de recherche et de renseignement sur les menaces ( BlackBerry ) a découvert des preuves d'une nouvelle campagne SideWinder visant la Turquie. Le calendrier de cette campagne a coïncidé avec des événements géopolitiques dans la région, notamment le soutien public de la Turquie au Pakistan dans son conflit avec l'Inde au sujet du Cachemire.62
Les premières implantations et l'analyse du réseau suggèrent que l'opération de la chaîne d'approvisionnement 3CX remonte à l'automne 2022
Fin mars 2023, le fournisseur de services de communication d'entreprise 3CX a annoncé63 une faille de sécurité majeure qui a entraîné la distribution dans le monde entier de versions troyennes de son logiciel de voix sur IP, 3CXDesktopApp.
3CXDesktopApp est un produit de conférence vocale et vidéo largement utilisé pour les appels, la vidéo et le chat en direct. Le site web de l'entreprise indique que 3CX compte environ 600 000 entreprises clientes, avec plus de 12 millions d'utilisateurs quotidiens dans 190 pays.64
3CX a annoncé65 la faille le lendemain de l'attaque. Dans une mise à jour ultérieure sur l'incident66, 3CX a déclaré que l'acteur de menace UNC4736, affilié à la Corée du Nord, était à l'origine de l'attaque, qui a déployé le logiciel malveillant Taxhaul (alias TxRLoader) en conjonction avec le téléchargeur Coldcat.
Le logiciel malveillant a d'abord été diffusé par un programme d'installation malveillant qui apparaissait comme un fichier de dépendance compromis permettant aux fichiers trojanisés d'être signés et d'apparaître comme des fichiers légitimes du fournisseur.
BlackBerry La télémétrie et l'analyse des échantillons initiaux et de l'infrastructure réseau correspondante indiquent que l'opération a commencé entre l'été et le début de l'automne 2022. L'attaque a touché les secteurs de la santé, de l'industrie pharmaceutique, de l'informatique et de la finance en Australie, aux États-Unis et au Royaume-Uni.
NOBELIUM utilise la visite de l'ambassadeur de Pologne aux États-Unis pour cibler les gouvernements de l'UE qui aident l'Ukraine
Au début du mois de mars, BlackBerry ont observé des campagnes ciblant des entités européennes menées par l'acteur de menace parrainé par l'État russe connu sous le nom de NOBELIUM (APT29), qui est publiquement lié au service de renseignement étranger russe SVR.
Le groupe a créé des leurres personnalisés ciblant les personnes intéressées par le voyage de l'ambassadeur polonais Marek Magierowksi à Washington, D.C., pour discuter de la guerre en cours en Ukraine. Un autre leurre a été conçu pour abuser des systèmes légitimes LegisWrite et eTrustEx, que les pays de l'UE utilisent pour l'échange d'informations et le transfert sécurisé de données.
L 'outil utilise une technique de contrebande HTML pour livrer d'autres composants malveillants (souvent sous la forme d'un fichier ISO ou IMG) à l'ordinateur de la victime, qui vole alors des informations sensibles. Le chevauchement entre la visite de l'ambassadeur polonais aux États-Unis et le leurre utilisé dans les attaques prouve que NOBELIUM utilise des événements géopolitiques pour attirer les victimes et augmenter la probabilité d'une infection réussie.
De l'abus des publicités Google à une vaste campagne de spearphishing usurpant l'identité de l'administration fiscale espagnole
Au début du mois d'avril 2023, l'équipe de recherche et de renseignement sur les menaces de BlackBerry a publié les résultats de plusieurs mois de suivi de deux campagnes malveillantes qui ont exploité le typosquattage68 à des fins et dans des buts différents.
La première - une campagne de malvertising69 abusant de la plateforme Google Ads - était en cours depuis au moins plusieurs mois. Des versions falsifiées et transformées en chevaux de Troie de logiciels courants tels que Libre Office, AnyDesk, TeamViewer et Brave livraient des voleurs d'informations de base, dont Vidar et IcedID. Pour tromper les victimes peu méfiantes, l'auteur de la menace a cloné des sites web légitimes et leur a attribué des noms de domaine qui utilisent le typosquattage pour imiter les URL des vrais sites web.
La seconde campagne était une campagne de spearphishing ciblée à grande échelle qui imitait l'agence fiscale nationale espagnole. Cette campagne visait à voler les identifiants de messagerie électronique de victimes issues de secteurs clés tels que la technologie, la construction, l'énergie, l'agriculture, le conseil, le gouvernement, l'automobile, les soins de santé et la finance.
La vulnérabilité RCE de PaperCut est fortement exploitée par les acteurs de la menace
En mars 2023, une faille d'exécution de code à distance (RCE) dans PaperCut NG/MF versions 8.0 et supérieures a été divulguée publiquement.70 PaperCut est un développeur de logiciels de gestion d'impression dont les produits sont utilisés dans le monde entier. La vulnérabilité (répertoriée sous le nom de CVE-2023-27350)71 a depuis été corrigée, mais parce qu'elle est disponible en tant que preuve de concept (POC) publique et difficile à détecter, la faille RCE est un vecteur d'infection idéal pour les acteurs de la menace afin de pénétrer dans les systèmes utilisant des versions non corrigées du logiciel vulnérable.
Les opérateurs du ransomware Bl00dy ont exploité cette faille pour cibler72 des entités du secteur de l'éducation. Les gangs Clop et LockBit ont également été vus en train de cibler des serveursvulnérables73 et, au début du mois de mai, Microsoft a révélé74 qu'elle avait observé plusieurs groupes APT parrainés par l'État iranien, dont Mango Sandstorm et Mint Sandstorm, en train d'exploiter activement cette vulnérabilité.
Les forces de l'ordre démantèlent une opération d'espionnage russe par le biais d'un logiciel malveillant
Le ministère américain de la justice a annoncé75 début mai que l'infrastructure utilisée par le célèbre acteur de la menace Turla avait été démantelée, ce qui a porté un coup considérable aux capacités de cyberespionnage de la Russie. Le groupe, qui a été lié au Service fédéral de sécurité de la Fédération de Russie (FSB), utilisait un voleur d'informations sophistiqué appelé Snake pour obtenir des documents confidentiels d'États membres de l'Organisation du traité de l'Atlantique Nord (OTAN) et des Nations unies. L'infrastructure de Snake comprenait un réseau de zombies présent sur des systèmes infectés dans au moins 50 pays, y compris des membres de l'OTAN, et aurait été utilisée de manière abusive pendant plus de 20 ans.
En réponse à cette découverte, le FBI a mis au point un utilitaire judicieusement nommé Persée (héros grec et tueur de monstres). Perseus désactive le logiciel malveillant Snake sans endommager les systèmes infectés.
Un nouveau groupe de menace, "Rhysida", s'attaque à l'armée chilienne
Fin mai 2023, une attaque par ransomware contre l'armée chilienne (Ejercito de Chile) par un nouveau groupe de menace appelé Rhysida a été rendue publique.76 Les détails de l'attaque n'ont pas été entièrement divulgués, mais un caporal de l'armée a été arrêté77 pour son implication présumée dans l'attaque par ransomware.
L'équipe de recherche et de renseignement sur les menaces du site BlackBerry a trouvé des indicateurs de compromission (IoC) indiquant que Rhysida en est au stade initial de son développement. L'analyse des échantillons indique que le groupe a exécuté un fichier .exe via PowerShell. Ce fichier exécutable portable (PE) tente de modifier le fond d'écran de l'utilisateur par le biais de clés de registre ; il chiffre les fichiers à l'aide d'un algorithme XOR et AES et ajoute l'extension Rhysida aux fichiers chiffrés (pour éviter de chiffrer les dossiers du système d'exploitation, ce qui interromprait le fonctionnement du système). L'injection de processus dans Explorer a également été observée.
Ensuite, une note de rançon nommée "CriticalBreachDetected.pdf" est placée et contient des informations sur la manière de contacter le groupe par l'intermédiaire d'un portail TOR. Le groupe demande une rançon à payer en bitcoins (BTC). Si la victime accepte de payer, elle doit fournir une pièce d'identité et remplir un formulaire supplémentaire pour être contactée par le groupe.
Techniques courantes de MITRE
Comprendre les techniques de haut niveau des groupes de menace peut aider à décider des techniques de détection à privilégier. BlackBerry a observé les 20 principales techniques suivantes utilisées par les acteurs de la menace.
Une flèche vers le haut dans la dernière colonne indique que l'utilisation de la technique a augmenté depuis notre dernier rapport. Une flèche vers le bas indique que l'utilisation a diminué depuis notre dernier rapport. Un symbole égal (=) signifie que la technique reste dans la même position que dans notre dernier rapport.
La liste complète des techniques de MITRE est disponible sur le GitHub public Threat Research and Intelligence.
| Nom de la technique | ID de la technique | Tactique | Dernier rapport | Changer |
|---|---|---|---|---|
|
1. Recherche d'informations sur le système
|
T1082
|
Découverte
|
1
|
=
|
|
2. Virtualisation/évasion du bac à sable
|
T1497
|
Défense Evasion
|
3
|
↑
|
|
3. Découverte de logiciels de sécurité
|
T1518.001
|
Découverte
|
4
|
↑
|
|
4. Injection du processus
|
T1055
|
Défense Evasion
|
2
|
↓
|
|
5. La mascarade
|
T1036
|
Défense Evasion
|
5
|
=
|
|
6. Découverte du système à distance
|
T1018
|
Découverte
|
6
|
=
|
|
7. Protocole de la couche application
|
T1071
|
Commande et contrôle
|
7
|
=
|
|
8. Découverte de fichiers et de répertoires
|
T1083
|
Découverte
|
8
|
=
|
|
9. Protocole de la couche non applicative
|
T1095
|
Commande et contrôle
|
9
|
=
|
|
10. Découverte du processus
|
T1057
|
Découverte
|
10
|
=
|
|
11. Capture d'entrée
|
T1056
|
Collection
|
13
|
↑
|
|
12. Chargement latéral de DLL
|
T1574.002
|
Persistance
|
12
|
↓
|
|
13. Emballage du logiciel
|
T1027.002
|
Défense Evasion
|
14
|
↑
|
|
14. Interprète de commandes et de scripts
|
T1059
|
Exécution
|
12
|
↓
|
|
15. Clés d'exécution du registre/dossier de démarrage
|
T1547.001
|
Persistance
|
19
|
↑
|
|
16. Canal crypté
|
T1573
|
Commande et contrôle
|
17
|
↑
|
|
17. Désactiver ou modifier des outils
|
T1562.001
|
Défense Evasion
|
15
|
↓
|
|
18. Rundll32
|
T1218.011
|
Défense Evasion
|
16
|
↓
|
|
19. Fichiers ou informations obscurcis
|
T1027
|
Défense Evasion
|
18
|
↓
|
|
20. Découverte de la fenêtre d'application
|
T1010
|
Découverte
|
20
|
=
|
| ID de la technique | |
|---|---|
| 1. Recherche d'informations sur le système |
T1082
|
| 2. Virtualisation/évasion du bac à sable |
T1497
|
| 3. Découverte de logiciels de sécurité |
T1518.001
|
| 4. Injection du processus |
T1055
|
| 5. La mascarade |
T1036
|
| 6. Découverte du système à distance |
T1018
|
| 7. Protocole de la couche application |
T1071
|
| 8. Découverte de fichiers et de répertoires |
T1083
|
| 9. Protocole de la couche non applicative |
T1095
|
| 10. Découverte du processus |
T1057
|
| 11. Capture d'entrée |
T1056
|
| 12. Chargement latéral de DLL |
T1574.002
|
| 13. Emballage du logiciel |
T1027.002
|
| 14. Interprète de commandes et de scripts |
T1059
|
| 15. Clés d'exécution du registre/dossier de démarrage |
T1547.001
|
| 16. Canal crypté |
T1573
|
| 17. Désactiver ou modifier des outils |
T1562.001
|
| 18. Rundll32 |
T1218.011
|
| 19. Fichiers ou informations obscurcis |
T1027
|
| 20. Découverte de la fenêtre d'application |
T1010
|
| Tactique | |
|---|---|
| 1. Recherche d'informations sur le système |
Découverte
|
| 2. Virtualisation/évasion du bac à sable |
Défense Evasion
|
| 3. Découverte de logiciels de sécurité |
Découverte
|
| 4. Injection du processus |
Défense Evasion
|
| 5. La mascarade |
Défense Evasion
|
| 6. Découverte du système à distance |
Découverte
|
| 7. Protocole de la couche application |
Commande et contrôle
|
| 8. Découverte de fichiers et de répertoires |
Découverte
|
| 9. Protocole de la couche non applicative |
Commande et contrôle
|
| 10. Découverte du processus |
Découverte
|
| 11. Capture d'entrée |
Collection
|
| 12. Chargement latéral de DLL |
Persistance
|
| 13. Emballage du logiciel |
Défense Evasion
|
| 14. Interprète de commandes et de scripts |
Exécution
|
| 15. Clés d'exécution du registre/dossier de démarrage |
Persistance
|
| 16. Canal crypté |
Commande et contrôle
|
| 17. Désactiver ou modifier des outils |
Défense Evasion
|
| 18. Rundll32 |
Défense Evasion
|
| 19. Fichiers ou informations obscurcis |
Défense Evasion
|
| 20. Découverte de la fenêtre d'application |
Découverte
|
| Dernier rapport | |
|---|---|
| 1. Recherche d'informations sur le système |
1
|
| 2. Virtualisation/évasion du bac à sable |
3
|
| 3. Découverte de logiciels de sécurité |
4
|
| 4. Injection du processus |
2
|
| 5. La mascarade |
5
|
| 6. Découverte du système à distance |
6
|
| 7. Protocole de la couche application |
7
|
| 8. Découverte de fichiers et de répertoires |
8
|
| 9. Protocole de la couche non applicative |
9
|
| 10. Découverte du processus |
10
|
| 11. Capture d'entrée |
13
|
| 12. Chargement latéral de DLL |
12
|
| 13. Emballage du logiciel |
14
|
| 14. Interprète de commandes et de scripts |
12
|
| 15. Clés d'exécution du registre/dossier de démarrage |
19
|
| 16. Canal crypté |
17
|
| 17. Désactiver ou modifier des outils |
15
|
| 18. Rundll32 |
16
|
| 19. Fichiers ou informations obscurcis |
18
|
| 20. Découverte de la fenêtre d'application |
20
|
| Changer | |
|---|---|
| 1. Recherche d'informations sur le système |
=
|
| 2. Virtualisation/évasion du bac à sable |
↑
|
| 3. Découverte de logiciels de sécurité |
↑
|
| 4. Injection du processus |
↓
|
| 5. La mascarade |
=
|
| 6. Découverte du système à distance |
=
|
| 7. Protocole de la couche application |
=
|
| 8. Découverte de fichiers et de répertoires |
=
|
| 9. Protocole de la couche non applicative |
=
|
| 10. Découverte du processus |
=
|
| 11. Capture d'entrée |
↑
|
| 12. Chargement latéral de DLL |
↓
|
| 13. Emballage du logiciel |
↑
|
| 14. Interprète de commandes et de scripts |
↓
|
| 15. Clés d'exécution du registre/dossier de démarrage |
↑
|
| 16. Canal crypté |
↑
|
| 17. Désactiver ou modifier des outils |
↓
|
| 18. Rundll32 |
↓
|
| 19. Fichiers ou informations obscurcis |
↓
|
| 20. Découverte de la fenêtre d'application |
=
|
Contre-mesures appliquées et remédiation
Techniques de détection
L'équipe de recherche et de renseignement sur les menaces de BlackBerry a identifié 386 règles Sigma publiques qui ont détecté des comportements liés aux menaces dans les 224 851 échantillons uniques stoppés par les solutions de cybersécurité de BlackBerry au cours de cette période. La figure 4 présente les 10 règles Sigma qui ont détecté le plus de comportements malveillants.
| Règle de Sigma | Description | MITRE ATT&CK Technique | Tactique MITRE ATT&CK | Dernier rapport | Changer |
|---|---|---|---|---|---|
|
1. Création d'un exécutable par un exécutable
|
Détecte la création d'un exécutable par un autre exécutable
|
Développer les capacités : Logiciels malveillants - T1587.001
|
Développement des ressources
|
1
|
=
|
|
2. Wow6432Node CurrentVersion Autorun Keys Modification
|
Détecte la modification du point d'extension du démarrage automatique (ASEP) dans le registre.
|
Exécution du démarrage automatique au démarrage ou à l'ouverture de session : Clés d'exécution du registre / Dossier de démarrage - T1547.001
|
Persistance
|
2
|
=
|
|
3. Modification des clés d'exécution automatique de la version actuelle
|
Détecte la modification du point d'extension du démarrage automatique (ASEP) dans le registre.
|
Exécution du démarrage automatique au démarrage ou à l'ouverture de session : Clés d'exécution du registre / Dossier de démarrage - T1547.001
|
Persistance
|
6
|
↑
|
|
4. Création de processus à l'aide du dossier Sysnative
|
Détecte les événements de création de processus qui utilisent le dossier Sysnative (commun pour les spawns Cobalt Strike).
|
Processus d'injection - T1055
|
Défense Evasion
|
3
|
↓
|
|
5. Démarrage du processus à partir d'un dossier suspect
|
Détecte le démarrage de processus à partir de dossiers rares ou peu courants, comme le dossier temporaire ou les dossiers.
|
Exécution par l'utilisateur - T1204
|
Exécution
|
5
|
=
|
|
6. Désactiver le pare-feu Microsoft Defender via le registre
|
Les adversaires peuvent désactiver ou modifier les pare-feu du système afin de contourner les contrôles limitant l'utilisation du réseau.
|
Affaiblir les défenses : Désactiver ou modifier le pare-feu du système - T1562.004
|
Défense Evasion
|
7
|
↑
|
|
7. Appels suspects par Ordinal
|
Détecte les appels suspects de DLL dans les exportations rundll32.dll par valeur ordinale.
|
Exécution du proxy binaire du système : Rundll32 - T1218.011
|
Défense Evasion
|
9
|
↑
|
|
8. PowerShell Créer une tâche programmée
|
Des adversaires peuvent abuser du planificateur de tâches de Windows pour planifier des tâches en vue de l'exécution initiale ou récurrente d'un code malveillant.
|
Tâche programmée/emploi : Tâche programmée - T1053.005
|
Persistance
|
8
|
=
|
|
9. Exécution suspecte de Taskkill
|
Les adversaires peuvent arrêter les services ou les processus afin de procéder à la destruction des données ou au chiffrement des données pour les impacter sur les entrepôts de données de services tels qu'Exchange et SQL Server.
|
Arrêt de service - T1489
|
Impact
|
NA
|
↑
|
|
10. Exécution de Net.exe
|
Détecte l'exécution de l'utilitaire Windows Net.exe, qu'il soit suspect ou bénin
|
Techniques multiples :
Découverte des groupes de permission - T1069 Découverte des comptes - T1087 Découverte des services système - T1007 |
Découverte
|
NA
|
↑
|
| Description | |
|---|---|
| 1. Création d'un exécutable par un exécutable |
Détecte la création d'un exécutable par un autre exécutable
|
| 2. Wow6432Node CurrentVersion Autorun Keys Modification |
Détecte la modification du point d'extension du démarrage automatique (ASEP) dans le registre.
|
| 3. Modification des clés d'exécution automatique de la version actuelle |
Détecte la modification du point d'extension du démarrage automatique (ASEP) dans le registre.
|
| 4. Création de processus à l'aide du dossier Sysnative |
Détecte les événements de création de processus qui utilisent le dossier Sysnative (commun pour les spawns Cobalt Strike).
|
| 5. Démarrage du processus à partir d'un dossier suspect |
Détecte le démarrage de processus à partir de dossiers rares ou peu courants, comme le dossier temporaire ou les dossiers.
|
| 6. Désactiver le pare-feu Microsoft Defender via le registre |
Les adversaires peuvent désactiver ou modifier les pare-feu du système afin de contourner les contrôles limitant l'utilisation du réseau.
|
| 7. Appels suspects par Ordinal |
Détecte les appels suspects de DLL dans les exportations rundll32.dll par valeur ordinale.
|
| 8. PowerShell Créer une tâche programmée |
Des adversaires peuvent abuser du planificateur de tâches de Windows pour planifier des tâches en vue de l'exécution initiale ou récurrente d'un code malveillant.
|
| 9. Exécution suspecte de Taskkill |
Les adversaires peuvent arrêter les services ou les processus afin de procéder à la destruction des données ou au chiffrement des données pour les impacter sur les entrepôts de données de services tels qu'Exchange et SQL Server.
|
| 10. Exécution de Net.exe |
Détecte l'exécution de l'utilitaire Windows Net.exe, qu'il soit suspect ou bénin
|
| MITRE ATT&CK Technique | |
|---|---|
| 1. Création d'un exécutable par un exécutable |
Développer les capacités : Logiciels malveillants - T1587.001
|
| 2. Wow6432Node CurrentVersion Autorun Keys Modification |
Exécution du démarrage automatique au démarrage ou à l'ouverture de session : Clés d'exécution du registre / Dossier de démarrage - T1547.001
|
| 3. Modification des clés d'exécution automatique de la version actuelle |
Exécution du démarrage automatique au démarrage ou à l'ouverture de session : Clés d'exécution du registre / Dossier de démarrage - T1547.001
|
| 4. Création de processus à l'aide du dossier Sysnative |
Processus d'injection - T1055
|
| 5. Démarrage du processus à partir d'un dossier suspect |
Exécution par l'utilisateur - T1204
|
| 6. Désactiver le pare-feu Microsoft Defender via le registre |
Affaiblir les défenses : Désactiver ou modifier le pare-feu du système - T1562.004
|
| 7. Appels suspects par Ordinal |
Exécution du proxy binaire du système : Rundll32 - T1218.011
|
| 8. PowerShell Créer une tâche programmée |
Tâche programmée/emploi : Tâche programmée - T1053.005
|
| 9. Exécution suspecte de Taskkill |
Arrêt de service - T1489
|
| 10. Exécution de Net.exe |
Techniques multiples :
Découverte des groupes de permission - T1069 Découverte des comptes - T1087 Découverte des services système - T1007 |
| Tactique MITRE ATT&CK | |
|---|---|
| 1. Création d'un exécutable par un exécutable |
Développement des ressources
|
| 2. Wow6432Node CurrentVersion Autorun Keys Modification |
Persistance
|
| 3. Modification des clés d'exécution automatique de la version actuelle |
Persistance
|
| 4. Création de processus à l'aide du dossier Sysnative |
Défense Evasion
|
| 5. Démarrage du processus à partir d'un dossier suspect |
Exécution
|
| 6. Désactiver le pare-feu Microsoft Defender via le registre |
Défense Evasion
|
| 7. Appels suspects par Ordinal |
Défense Evasion
|
| 8. PowerShell Créer une tâche programmée |
Persistance
|
| 9. Exécution suspecte de Taskkill |
Impact
|
| 10. Exécution de Net.exe |
Découverte
|
| Dernier rapport | |
|---|---|
| 1. Création d'un exécutable par un exécutable |
1
|
| 2. Wow6432Node CurrentVersion Autorun Keys Modification |
2
|
| 3. Modification des clés d'exécution automatique de la version actuelle |
6
|
| 4. Création de processus à l'aide du dossier Sysnative |
3
|
| 5. Démarrage du processus à partir d'un dossier suspect |
5
|
| 6. Désactiver le pare-feu Microsoft Defender via le registre |
7
|
| 7. Appels suspects par Ordinal |
9
|
| 8. PowerShell Créer une tâche programmée |
8
|
| 9. Exécution suspecte de Taskkill |
NA
|
| 10. Exécution de Net.exe |
NA
|
| Changer | |
|---|---|
| 1. Création d'un exécutable par un exécutable |
=
|
| 2. Wow6432Node CurrentVersion Autorun Keys Modification |
=
|
| 3. Modification des clés d'exécution automatique de la version actuelle |
↑
|
| 4. Création de processus à l'aide du dossier Sysnative |
↓
|
| 5. Démarrage du processus à partir d'un dossier suspect |
=
|
| 6. Désactiver le pare-feu Microsoft Defender via le registre |
↑
|
| 7. Appels suspects par Ordinal |
↑
|
| 8. PowerShell Créer une tâche programmée |
=
|
| 9. Exécution suspecte de Taskkill |
↑
|
| 10. Exécution de Net.exe |
↑
|
Règle Sigma : Exécution de Net.exe
Lié à l'événement Sysmon ID 1 Création de processus. Cette règle Sigma identifie les exécutions avec des lignes de commande spécifiques. Les comportements intéressants que nous avons observés sont les suivants :
Processus parental de l'exécution de l'AppData\NLocal\N
> C:\NWindows\NSystem32\Nnet.exe view
Processus parental de l'exécution de l'AppData\NLocal\N
> net stop "TeamViewer"
Processus parent C:\NWindows\NSysWOW64\Ncmd.exe en cours d'exécution
> utilisateur net
Processus parental de l'exécution de l'AppData\NLocal\N
> net group "Domain Admins" /domain
Règle Sigma : Exécution suspecte de Taskkill
Également liée à l'événement Sysmon ID 1 Création de processus, cette règle Sigma a pour but d'identifier les comportements liés à la mise à mort de processus dans le système.
> taskkill /F /IM chrome.exe /T> taskkill /f /t /im <FILENAME>.exe> taskkill /im google* /f /t
La plupart des comportements observés comprennent l'indicateur /F, qui signifie que le processus sera forcé de se terminer. L'indicateur /T signifie que tout processus enfant sera également interrompu. Enfin, le paramètre /IM spécifie le nom de l'image du processus à terminer, et les caractères génériques (*) sont autorisés.
Règle Sigma : Démarrage d'un processus à partir d'un dossier suspect
Cette règle Sigma indique les processus qui sont lancés à partir de dossiers peu courants dans le système d'exploitation. Voici un exemple de dossiers communs :
> C:\Users\<USER>\AppData\Local\Temp\> C:\NWindows\NTempérature
Les dossiers peu courants qui correspondent à cette règle Sigma sont les suivants :
> C:\NUsers\NPublic\NLibraries(Utilisé par RomCom et d'autres acteurs de la menace)> C:\N- Users\NPublic\N- C:\N- C:\N- Users\NPublic\N> C:\Users\<USER>\AppData\Local\Temp\~[a-zA-Z]+\.tmp\ (Regular Expression ~[a-zA-Z]+\.tmp)
Sigma à MITRE
Sigma est un format de signature ouvert, basé sur du texte, qui peut décrire des événements et des modèles de journaux. Les règles Sigma sont généralement associées à des techniques MITRE, et plusieurs techniques MITRE peuvent être associées à une règle Sigma individuelle. Au cours de la période couverte par ce rapport, 386 règles Sigma ont détecté des comportements malveillants dans plus de 220 000 échantillons nouveaux et uniques de logiciels malveillants.
Si l'on compare ces techniques à celles de MITRE, on ne constate pas de corrélation directe avec les "techniques communes de MITRE" de cette période de rapport.
Les cinq principales techniques MITRE observées dans les règles Sigma sont énumérées ci-dessous.
| Technique | Nombre de règles Sigma |
|---|---|
|
Exécution du démarrage automatique au démarrage ou à l'ouverture de session : Clés d'exécution du registre / Dossier de démarrage - T1547.001
|
14
|
|
Altérer les défenses : Désactiver ou modifier des outils - T1562.001
|
11
|
|
Interprète de commandes et de scripts : PowerShell - T1059.001
|
10
|
|
Interprète de commandes et de scripts - T1059
|
9
|
|
Tâche programmée/emploi : Tâche programmée - T1053.005
|
9
|
| Nombre de règles Sigma | |
|---|---|
| Exécution du démarrage automatique au démarrage ou à l'ouverture de session : Clés d'exécution du registre / Dossier de démarrage - T1547.001 |
14
|
| Altérer les défenses : Désactiver ou modifier des outils - T1562.001 |
11
|
| Interprète de commandes et de scripts : PowerShell - T1059.001 |
10
|
| Interprète de commandes et de scripts - T1059 |
9
|
| Tâche programmée/emploi : Tâche programmée - T1053.005 |
9
|
Conclusion
L'augmentation de 13 % des échantillons malveillants uniques ciblant nos clients témoigne des efforts déployés par les acteurs de la menace pour diversifier les outils de compilation. Ce processus produit des hachages différents pour des échantillons similaires qui pourraient être utilisés pour contourner les flux et les filtres simples utilisés par les centres d'opérations de sécurité (SOC) traditionnels.
APT28 et le groupe Lazarus ont été deux des acteurs les plus actifs dans la lutte contre les menaces visant nos clients au cours de la période considérée. On pense qu'ils sont tous deux parrainés par des États, APT28 étant lié à la Russie et Lazarus à la Corée du Nord. Ces deux groupes s'en prennent depuis longtemps à l'Occident, en particulier aux États-Unis, à l'Europe et à la Corée du Sud. Leurs cibles sont des agences gouvernementales, des organisations militaires, des entreprises et des institutions financières. Ces deux groupes représentent une menace sérieuse pour la sécurité nationale et la prospérité économique. Étant donné que ces groupes font constamment évoluer leurs techniques pour rendre leur défense plus difficile, les organisations doivent connaître les dernières TTP de ces acteurs de la menace et les inclure dans les exercices de l'équipe d'épuration afin de renforcer les stratégies défensives et d'appliquer des contre-mesures.
Les secteurs de la santé et des institutions financières ont été les plus ciblés au cours de cette période. Les voleurs d'informations qui dérobent et échangent des informations d'identification volées ont été les exploits les plus courants dans les secteurs de la finance et de la santé. Cependant, nous avons également assisté à des attaques très médiatisées contre des hôpitaux et des organisations financières liées aux opérations de secours en Ukraine. Par exemple, des groupes de cybermenaces tels que RomCom ont ciblé des entités médicales basées aux États-Unis qui apportaient une aide humanitaire aux réfugiés ukrainiens.
Les ransomwares restent une menace permanente pour les institutions financières et de santé. D'après nos données télémétriques de cette période et de la précédente, il est probable que ces deux secteurs restent très ciblés.
En travaillant avec les échantillons de cette période de rapport, nous avons confirmé que les tactiques les plus fréquemment utilisées sont la découverte et l'évasion de la défense. Il est essentiel de donner la priorité à la détection de ces tactiques dans un réseau. En apprenant ces TTP et les profils des acteurs de la menace, une équipe de cybersécurité peut réduire de manière significative l'impact des attaques, ainsi que faciliter la chasse aux menaces, la réponse aux incidents et les efforts de récupération.
Prévisions
- Fin mai, l'éditeur de logiciels Progress Software a informé ses clients de l'existence d'une vulnérabilité dans son produit MOVEit Transfer78*. Cette vulnérabilité (CVE-2023-3436279) peut être exploitée par injection SQL et peut conduire à une escalade des privilèges et à une intrusion dans le système. Cette vulnérabilité a été largement exploitée sur des systèmes non corrigés dans la nature, notamment par le gang du ransomware Clop, qui l'a exploitée pour ouvrir une brèche présumée80 dans des centaines d'organisations. Nous pensons que les acteurs de la menace continueront à tenter d'exploiter cette vulnérabilité jusqu'à ce que tous les systèmes vulnérables soient corrigés.81
- Des recherches récentes82 indiquent que la valeur du marché mondial des services bancaires mobiles devrait atteindre 1,82 milliard de dollars en 2026, et des tendances telles que l'essor des néobanques83 indiquent que l'utilisation des services bancaires numériques et mobiles devrait continuer à augmenter au cours de la prochaine décennie. Malheureusement, cette croissance s'accompagnera probablement d'une augmentation des logiciels malveillants liés aux services bancaires mobiles. Plusieurs événements alarmants84 se sont produits au cours des derniers mois, notamment un nouveau botnet Android qui a ciblé environ 450 applications financières.85 Les logiciels malveillants centrés sur les smartphones vont probablement se multiplier, car les acteurs de la menace tentent d'exploiter les consommateurs qui sont de grands utilisateurs de services bancaires en ligne.
- Campagnes d'hameçonnage Les efforts déployés pour éviter d'être détectés sont de plus en plus sophistiqués. Au cours des derniers mois, un nombre croissant de nouveaux domaines web ont été enregistrés, qui agissent comme des proxys avant de diffuser des contenus malveillants. L'utilisation de proxys et de la géolocalisation pour cibler les victimes dans un pays ou une région spécifique rend difficile la détection précoce des sites web frauduleux. Ces types de campagnes d'hameçonnage vont se multiplier, offrant aux hameçonneurs plus de temps opérationnel pour obtenir des informations de leurs victimes avant d'être détectés.
- L'IA générative comme ChatGPT pose aux organisations un problème potentiel de cybersécurité. Le ChatGPT a déjà été utilisé pour générer de nouveaux logiciels malveillants - par exemple, des chercheurs de HYAS Labs ont crééBlackMamba86, un keylogger polymorphe qui modifie automatiquement son code à la volée pour échapper à la détection, en exploitant un grand modèle de langage (LLM) - la technologie sur laquelle le ChatGPT est basé. Les acteurs de la menace exploitent également l'intérêt mondial pour le ChatGPT afin d'inciter le public à installer des logiciels malveillants. Par exemple, environ 2 000 personnes par jour ont installé une extension de navigateur malveillante appelée Quick access to ChatGPT87 qui a recueilli des informations sur les comptes Facebook Business. Nous prévoyons que le ChatGPT continuera à présenter des menaces innovantes à un rythme croissant à l'horizon 2023.
Pour en savoir plus sur la manière dont BlackBerry peut sécuriser votre organisation, visitez le site https://www.blackberry.com.
Avis de non-responsabilité
Les informations contenues dans le rapport 2023 BlackBerry Global Threat Intelligence Report sont uniquement destinées à des fins éducatives. BlackBerry ne garantit pas et n'assume pas la responsabilité de l'exactitude, de l'exhaustivité et de la fiabilité des déclarations ou des recherches de tiers auxquelles il est fait référence dans le présent document. L'analyse exprimée dans ce rapport reflète la compréhension actuelle des informations disponibles par nos analystes de recherche et peut être sujette à des changements au fur et à mesure que des informations supplémentaires sont portées à notre connaissance. Il incombe aux lecteurs de faire preuve de diligence raisonnable lorsqu'ils appliquent ces informations à leur vie privée et professionnelle. BlackBerry ne tolère aucune utilisation malveillante ou abusive des informations présentées dans ce rapport.
© 2023 BlackBerry Limited. Les marques commerciales, y compris, mais sans s'y limiter, BLACKBERRY, EMBLEM Design et Cylance sont des marques commerciales ou des marques déposées de BlackBerry Limited, et les droits exclusifs sur ces marques sont expressément réservés. Toutes les autres marques sont la propriété de leurs détenteurs respectifs.
Remerciements
Le rapport 2023 BlackBerry Global Threat Intelligence Report est le fruit de la collaboration de nos équipes et de nos collaborateurs talentueux. Nous tenons à remercier tout particulièrement
Références
2 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
4 https://www.reuters.com/world/europe/poland-says-russian-hackers-attacked-tax-website-2023-03-01/
5 https://www.thefirstnews.com/article/cyber-attacks-have-become-commonplace-says-govt-official-36902
6 https://www.reuters.com/world/africa/senegalese-government-websites-hit-with-cyberattack-2023-05-27/
7 https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
8 https://www.fraudsmart.ie/personal/fraud-scams/phone-fraud/identity-theft/
9 https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
10 https://www.clinicbarcelona.org/en/news/computer-attack-on-the-frcb-idibaps
14 https://twitter.com/vxunderground/status/1632464810863390721
16 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
24 https://darktrace.com/blog/living-off-the-land-how-hackers-blend-into-your-environment
25 https://techcrunch.com/2023/04/20/3cx-supply-chain-xtrader-mandiant
26 https://www.ncsc.gov.uk/news/heightened-threat-of-state-aligned-groups
27 https://www.cyber.gc.ca/en/guidance/national-cyber-threat-assessment-2023-2024
28 https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
29 https://www.cyber.gc.ca/sites/default/files/cyber-threat-oil-gas-e.pdf
30 https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
37 https://attack.mitre.org/groups/G0032/
38 https://www.usna.edu/CyberCenter/_files/documents/Operation-Blockbuster-Report.pdf
39 https://www.cisa.gov/news-events/analysis-reports/ar20-133a
40 https://attack.mitre.org/software/S0154/
42 https://archive.f-secure.com/weblog/archives/00002356.html
44 https://www.theverge.com/2021/5/18/22440813/android-devices-active-number-smartphones-google-2021
46 https://cyware.com/news/spynote-infections-on-the-rise-after-source-code-leak-c5d36dce
47 https://www.threatfabric.com/blogs/spynote-rat-targeting-financial-institutions
48 https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.SpinOk/README.adoc
50 https://news.drweb.com/show/?i=14705&lng=en
51 https://www.scamwatch.gov.au/types-of-scams/buying-or-selling/mobile-premium-services
52 https://threatpost.com/gafgyt-botnet-ddos-mirai/165424/
54 https://blog.talosintelligence.com/prometei-botnet-improves/
55 https://unit42.paloaltonetworks.com/trigona-ransomware-update/
56 https://blog.cyble.com/2023/04/06/demystifying-money-message-ransomware/
57 https://www.rsaconference.com/library/presentation/usa/2023/macOS
58 https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/
59 https://attack.mitre.org/groups/G0121/
60 https://nvd.nist.gov/vuln/detail/cve-2017-0199
61 https://nakedsecurity.sophos.com/2012/07/31/server-side-polymorphism-malware/
63 https://www.3cx.com/blog/news/desktopapp-security-alert/
65 https://www.3cx.com/blog/news/desktopapp-security-alert/
66 https://www.3cx.com/blog/news/mandiant-initial-results/
67 https://attack.mitre.org/software/S0634/
68 https://support.microsoft.com/en-us/topic/what-is-typosquatting-54a18872-8459-4d47-b3e3-d84d9a362eb0
69 https://www.cisecurity.org/insights/blog/malvertising
70 https://www.papercut.com/blog/news/rce-security-exploit-in-papercut-servers/
71 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27350
72 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a
74 https://twitter.com/MsftSecIntel/status/1654610012457648129
76 https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/
77 https://izoologic.com/2023/06/19/rhysida-ransomware-exposes-stolen-data-from-the-chilean-army/
78 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
79 https://nvd.nist.gov/vuln/detail/CVE-2023-34362
81 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
82 https://www.alliedmarketresearch.com/mobile-banking-market
83 https://www.bankrate.com/banking/what-is-a-neobank/
84 https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/
85 https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet#3
86 https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-security
*Un correctif pour la vulnérabilité du 31 mai a été mis à disposition dans les 48 heures suivant sa découverte. Pour plus de détails, consultez le site https://www.ipswitch.com/blog/update-steps-we-are-taking-protect-moveit-customers.