Se connecter
Inscription
Mot de passe perdu
Rapport ESET APT Activity: attaques par des agents liés à la Chine, la Corée du Nord et l'Iran; la Russie vise l'Ukraine en gardant l'UE en vue
Publié le 09/05/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● ESET vient de publier son rapport d'activité APT pour le quatrième trimestre 2022 et le premier trimestre 2023. Il résume les activités de certains groupes de menaces persistantes avancées (APT).
● Les acteurs de la menace liés à la Chine - Ke3chang et Mustang Panda - se sont concentrés sur des organisations européennes.
● Les groupes liés à la Corée du Nord ont continué de se concentrer sur des entités sud-coréennes ou liées à la Corée du Sud.
● Lazarus a ciblé, en Pologne, les employés d'un sous-traitant du secteur de la défense avec une fausse offre d'emploi ayant Boeing comme thème et a également déplacé son attention de ses cibles habituelles vers une société de gestion de données en Inde.
● Des similitudes avec le malware Linux de Lazarus, récemment découvert, corroborent la théorie selon laquelle le tristement célèbre groupe aligné sur la Corée du Nord est à l'origine de l'attaque de la chaîne d'approvisionnement 3CX.
● Les groupes APT liés à la Russie ont été fort actifs en Ukraine et dans les pays de l'UE.
● Les wipers déployés par Sandworm (dont un nouveau, nommé SwiftSlicer par ESET).
● Les renseignements repris dans le rapport sont basés principalement sur les données de télémétrie d'ESET et sont vérifiés par des chercheurs d'ESET.
BRATISLAVA, le 9 mai 2023 - ESET vient de publier son rapport d'activité APT. Il résume les activités de certains groupes de menaces persistantes avancées (APT) qui ont été observées, étudiées et analysées par ses chercheurs d'octobre 2022 à fin mars 2023. Le rapport est publié sur une base semi-annuelle. Pendant cette période, plusieurs acteurs liés à la Chine, tels que Ke3chang et Mustang Panda, se sont concentrés sur des organisations européennes. En Israël, le groupe OilRig lié à l'Iran a déployé une nouvelle porte dérobée personnalisée. Les groupes alignés sur la Corée du Nord ont continué à se concentrer sur des entités sud-coréennes ou liées à la Corée du Sud. Les groupes APT liés à la Russie étaient particulièrement actifs en Ukraine et dans les pays de l'UE, en déployant les wipers Sandworm.
Les activités malveillantes décrites dans le rapport ont été détectées par la technologie ESET. « Les produits ESET protègent les systèmes de nos clients contre les activités malveillantes présentées dans ce rapport. Les renseignements partagés sont principalement basés sur des données de télémétrie d'ESET et ont été vérifiés par nos chercheurs », déclare Jean-Ian Boutin, directeur d'ESET Threat Research.
Ke3chang, lié à la Chine, a utilisé des tactiques de déploiement d'une nouvelle variante de Ketrican, et Mustang Panda a utilisé deux nouvelles portes dérobées. MirrorFace a ciblé le Japon et mis en œuvre de nouvelles approches de diffusion de maliciels, tandis que l'opération ChattyGoblin a compromis une société de jeux aux Philippines en ciblant les agents de support de celle-ci. Les groupes SideWinder et Donot Team, liés à l'Inde, ont continué à cibler les institutions gouvernementales en Asie du Sud. Le premier ciblait le secteur de l'éducation en Chine et le second continuait à développer son tristement célèbre cadre yty, mais déployait aussi Remcos RAT, disponible dans le commerce. En Asie du Sud, ESET Research a également détecté un nombre élevé de tentatives de phishing par messagerie Web Zimbra.
En plus de cibler, en Pologne, les employés d'un sous-traitant du secteur de la défense avec une fausse offre d'emploi mentionnant Boeing, le groupe Lazarus, lié à la Corée du Nord, a déplacé son attention de ses cibles habituelles vers une société de gestion de données en Inde, en utilisant un leurre mentionnant Accenture. ESET a
aussi identifié un maliciel Linux exploité dans l'une des campagnes. Les similitudes avec ce maliciel récemment découvert corroborent la théorie selon laquelle ce groupe est à l'origine de l'attaque de la chaîne d'approvisionnement 3CX.
Les groupes APT liés à la Russie ont été particulièrement actifs en Ukraine et dans les pays de l'UE, avec Sandworm déployant des wipers (y compris un nouveau nommé SwiftSlicer par ESET), et Gamaredon, Sednit et les Dukes utilisant des e-mails de harponnage qui, dans le cas des Dukes, ont permis l’exécution d’un implant connu sous le nom de Brute Ratel. ESET a détecté que la plate-forme de messagerie Zimbra était aussi exploitée par Winter Vivern, un groupe particulièrement actif en Europe, et les chercheurs ont noté une baisse significative de l'activité de SturgeonPhisher, un groupe ciblant les fonctionnaires des pays d'Asie centrale avec des e-mails de harponnage. Dès lors, ESET est convaincu que le groupe est actuellement en restructuration.
Pour plus d'informations techniques, consultez le "Rapport d'activité ESET APT" complet sur https://www.welivesecurity.com/2023/05/09/eset-apt-activity-report-q42022-q12023/. Suivez aussi ESET Research sur Twitter (ESET Research on Twitter) pour les dernières nouvelles concernant ESET Research.
Les rapports d'activité ESET APT ne contiennent qu'une fraction des renseignements sur la cyber-sécurité fournis aux clients d'ESET dans les rapports APT privés. Les chercheurs d'ESET préparent des rapports techniques approfondis et des mises à jour fréquentes détaillant les activités de groupes APT spécifiques sous la forme de rapports ESET APT PREMIUM. Ceux-ci afin d’aider les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de grande valeur contre les cyberattaques par des criminels et des États-nations. Les descriptions complètes des activités reprises dans ce document étaient auparavant fournies exclusivement à nos clients premium. Plus d'informations sur ESET APT Reports PREMIUM, avec des informations stratégiques, exploitables et tactiques de haute qualité sur les menaces de cyber-sécurité, sont disponibles sur la page ESET Threat Intelligenc e (ESET Threat Intelligence page).
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
● Les acteurs de la menace liés à la Chine - Ke3chang et Mustang Panda - se sont concentrés sur des organisations européennes.
● Les groupes liés à la Corée du Nord ont continué de se concentrer sur des entités sud-coréennes ou liées à la Corée du Sud.
● Lazarus a ciblé, en Pologne, les employés d'un sous-traitant du secteur de la défense avec une fausse offre d'emploi ayant Boeing comme thème et a également déplacé son attention de ses cibles habituelles vers une société de gestion de données en Inde.
● Des similitudes avec le malware Linux de Lazarus, récemment découvert, corroborent la théorie selon laquelle le tristement célèbre groupe aligné sur la Corée du Nord est à l'origine de l'attaque de la chaîne d'approvisionnement 3CX.
● Les groupes APT liés à la Russie ont été fort actifs en Ukraine et dans les pays de l'UE.
● Les wipers déployés par Sandworm (dont un nouveau, nommé SwiftSlicer par ESET).
● Les renseignements repris dans le rapport sont basés principalement sur les données de télémétrie d'ESET et sont vérifiés par des chercheurs d'ESET.
BRATISLAVA, le 9 mai 2023 - ESET vient de publier son rapport d'activité APT. Il résume les activités de certains groupes de menaces persistantes avancées (APT) qui ont été observées, étudiées et analysées par ses chercheurs d'octobre 2022 à fin mars 2023. Le rapport est publié sur une base semi-annuelle. Pendant cette période, plusieurs acteurs liés à la Chine, tels que Ke3chang et Mustang Panda, se sont concentrés sur des organisations européennes. En Israël, le groupe OilRig lié à l'Iran a déployé une nouvelle porte dérobée personnalisée. Les groupes alignés sur la Corée du Nord ont continué à se concentrer sur des entités sud-coréennes ou liées à la Corée du Sud. Les groupes APT liés à la Russie étaient particulièrement actifs en Ukraine et dans les pays de l'UE, en déployant les wipers Sandworm.
Les activités malveillantes décrites dans le rapport ont été détectées par la technologie ESET. « Les produits ESET protègent les systèmes de nos clients contre les activités malveillantes présentées dans ce rapport. Les renseignements partagés sont principalement basés sur des données de télémétrie d'ESET et ont été vérifiés par nos chercheurs », déclare Jean-Ian Boutin, directeur d'ESET Threat Research.
Ke3chang, lié à la Chine, a utilisé des tactiques de déploiement d'une nouvelle variante de Ketrican, et Mustang Panda a utilisé deux nouvelles portes dérobées. MirrorFace a ciblé le Japon et mis en œuvre de nouvelles approches de diffusion de maliciels, tandis que l'opération ChattyGoblin a compromis une société de jeux aux Philippines en ciblant les agents de support de celle-ci. Les groupes SideWinder et Donot Team, liés à l'Inde, ont continué à cibler les institutions gouvernementales en Asie du Sud. Le premier ciblait le secteur de l'éducation en Chine et le second continuait à développer son tristement célèbre cadre yty, mais déployait aussi Remcos RAT, disponible dans le commerce. En Asie du Sud, ESET Research a également détecté un nombre élevé de tentatives de phishing par messagerie Web Zimbra.
En plus de cibler, en Pologne, les employés d'un sous-traitant du secteur de la défense avec une fausse offre d'emploi mentionnant Boeing, le groupe Lazarus, lié à la Corée du Nord, a déplacé son attention de ses cibles habituelles vers une société de gestion de données en Inde, en utilisant un leurre mentionnant Accenture. ESET a
aussi identifié un maliciel Linux exploité dans l'une des campagnes. Les similitudes avec ce maliciel récemment découvert corroborent la théorie selon laquelle ce groupe est à l'origine de l'attaque de la chaîne d'approvisionnement 3CX.
Les groupes APT liés à la Russie ont été particulièrement actifs en Ukraine et dans les pays de l'UE, avec Sandworm déployant des wipers (y compris un nouveau nommé SwiftSlicer par ESET), et Gamaredon, Sednit et les Dukes utilisant des e-mails de harponnage qui, dans le cas des Dukes, ont permis l’exécution d’un implant connu sous le nom de Brute Ratel. ESET a détecté que la plate-forme de messagerie Zimbra était aussi exploitée par Winter Vivern, un groupe particulièrement actif en Europe, et les chercheurs ont noté une baisse significative de l'activité de SturgeonPhisher, un groupe ciblant les fonctionnaires des pays d'Asie centrale avec des e-mails de harponnage. Dès lors, ESET est convaincu que le groupe est actuellement en restructuration.
Pour plus d'informations techniques, consultez le "Rapport d'activité ESET APT" complet sur https://www.welivesecurity.com/2023/05/09/eset-apt-activity-report-q42022-q12023/. Suivez aussi ESET Research sur Twitter (ESET Research on Twitter) pour les dernières nouvelles concernant ESET Research.
Les rapports d'activité ESET APT ne contiennent qu'une fraction des renseignements sur la cyber-sécurité fournis aux clients d'ESET dans les rapports APT privés. Les chercheurs d'ESET préparent des rapports techniques approfondis et des mises à jour fréquentes détaillant les activités de groupes APT spécifiques sous la forme de rapports ESET APT PREMIUM. Ceux-ci afin d’aider les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de grande valeur contre les cyberattaques par des criminels et des États-nations. Les descriptions complètes des activités reprises dans ce document étaient auparavant fournies exclusivement à nos clients premium. Plus d'informations sur ESET APT Reports PREMIUM, avec des informations stratégiques, exploitables et tactiques de haute qualité sur les menaces de cyber-sécurité, sont disponibles sur la page ESET Threat Intelligenc e (ESET Threat Intelligence page).
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Liens associés
18/04/2024 @ 10:31:59
Poster un commentaire
Jeux Vidéos
Google
Android
