Des groupes APT russes, dont Sandworm, poursuivent les attaques contre l'Ukraine - Nouveau rapport ESET APT Activity 2022
Publié le 31/01/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• ESET publie son nouveau rapport d’activités APT pour la période septembre – fin décembre 2022 (T3 2022)
• Les groupes APT liés à la Russie ont continué à être fortement impliqués dans des opérations visant l'Ukraine, déployant des wipers destructeurs tels que NikoWiper. Sandworm a lancé les wipers en parallèle avec les forces armées russes et leurs frappes de missiles ciblant les infrastructures énergétiques. Bien qu'ESET ne puisse pas montrer que ces événements ont été coordonnés, ils suggèrent que Sandworm et les forces russes ont des objectifs connexes.
• Des groupes APT russes ont attaqué l'Ukraine avec des rançongiciels (Prestige, RansomBoggs).
• Avec Sandworm, d'autres groupes APT russes - Callisto, Gamaredon et Dukes - ont poursuivi leurs campagnes de harponnage contre la nation d'Europe de l'Est.
• Des groupes alignés sur la Chine, en particulier Goblin Panda, ont commencé à dupliquer l'intérêt de Mustang Panda pour les pays européens.
• Des groupes APT alignés sur l'Iran ont continué à fonctionner à grande échelle.

BRATISLAVA, MONTREAL — le 31 janvier 2023 — ESET Research publie aujourd'hui son nouveau rapport d'activité APT, qui résume ses découvertes sur certains groupes de menaces persistantes avancées (APT) qui ont été observés, étudiés et analysés par ses chercheurs entre septembre et fin décembre (T3) 2022. Durant cette période, les groupes APT alignés sur la Russie ont continué à être fortement impliqués dans des opérations visant l'Ukraine, déployant des wipers destructeurs et des rançongiciels. Goblin Panda, un groupe lié à la Chine, a commencé à dupliquer l'intérêt de Mustang Panda pour les pays européens. Des groupes liés à l'Iran ont également continué à opérer à grande échelle.

En Ukraine, ESET a détecté le tristement célèbre groupe Sandworm utilisant un wiper jusqu'alors inconnu contre une entreprise du secteur énergétique. Des acteurs d’états-nations ou parrainés par des état gèrent généralement les groupes APT ; l'attaque décrite s'est produite en octobre à la même période où les forces armées russes ont commencé à lancer des attaques de missiles visant des infrastructures énergétiques. Bien que les chercheurs d'ESET ne puissent montrer que ces événements ont été coordonnés, ils suggèrent que Sandworm et l'armée russe ont des objectifs connexes.

ESET a nommé NikoWiper le dernier wiper d'une série découverte précédemment. En octobre 2022, ce wiper a été utilisé contre une entreprise du secteur de l'énergie en Ukraine. NikoWiper est basé sur SDelete, un utilitaire de ligne de commande Microsoft utilisé pour supprimer des fichiers en toute sécurité.

En plus de maliciels d'effacement de données, ESET a découvert des attaques de Sandworm utilisant un rançongiciel comme wiper. Dans ces attaques, bien que des rançongiciels aient été utilisés, l'objectif final était comme celui des wipers : la destruction des données. Contrairement aux attaques de ransomware traditionnelles, les opérateurs de Sandworm n'ont pas l'intention de fournir une clé de déchiffrement.

En octobre 2022, ESET détectait le déploiement du rançongiciel Prestige contre des entreprises de logistique en Ukraine et en Pologne. En novembre 2022, ESET découvrait un nouveau ransomware en Ukraine écrit en .NET qui a été nommé RansomBoggs. Cette campagne a été publiée par ESET Research sur son compte Twitter. En parallèle à Sandworm, d'autres groupes APT russes tels que Callisto et Gamaredon ont continué leurs campagnes de harponnage contre l'Ukraine pour voler des identifiants et installer des implants.

Les chercheurs ont également détecté MirrorFace, une campagne de harponnage ciblant des entités politiques au Japon et ont remarqué un changement progressif dans le ciblage de certains groupes alignés sur la Chine tels que Goblin Panda, qui a commencé à dupliquer l'intérêt de Mustang Panda pour les pays européens. En novembre, dans une organisation gouvernementale de l'Union européenne, ESET a découvert une nouvelle porte dérobée Goblin Panda, qui a été nommée TurboSlate. Mustang Panda a également continué à cibler les organisations européennes. En Suisse, en septembre, dans une organisation du secteur de l'énergie et de l'ingénierie, les chercheurs avaient détecté un chargeur Korplug utilisé par Mustang Panda.

Des groupes alignés sur l'Iran ont également poursuivi leurs attaques. Outre les entreprises israéliennes, POLONIUM a également commencé à cibler les filiales étrangères d'entreprises israéliennes, et MuddyWater a probablement compromis un fournisseur d’infogérance sécuritaire.

Des groupes alignés sur la Corée du Nord ont utilisé d'anciens exploits pour compromettre des entreprises de crypto-monnaies et des échanges dans diverses parties du monde. Fait intéressant, Konni a élargi le nombre de langues utilisées dans ses documents leurres pour y ajouter l'anglais. Cela signifie qu'il pourrait ne pas viser que ses cibles russes et sud-coréennes habituelles.

Pour plus d'informations techniques, consultez le rapport complet "ESET APT Activity Report" sur www.welivesecurity.com. Suivez aussi ESET Research sur Twitter pour les toutes dernières nouvelles.

Les rapports ESET APT Activity ne contiennent qu'une fraction des renseignements sur la cyber-sécurité fournis aux clients privés d'ESET. La société fournit des rapports techniques approfondis et des mises à jour d'activités fréquentes, détaillant celles de groupes APT spécifiques sous la forme de rapports ESET APT PREMIUM pour aider les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de grande valeur contre les cyber-attaques des criminels et des États-nations. Plus d'informations sur les rapports ESET APT PREMIUM qui fournissent des informations de haute valeur stratégique, exploitables et tactiques sur les menaces de cyber-sécurité sont disponibles sur la page ESET Threat Intelligence.

A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?