HP Wolf Security : les Threat Actors innovent avec de nouvelles formes d’attaque en chaîne, comparables à des briques de Lego
septembre 2023 par HP Wolf Security
Le dernier rapport HP révèle que les cybercriminels ont mis au point de nouvelles techniques qui prennent la forme d’un enchaînement de plusieurs combinaisons d’attaques, qui s’imbriquent entre elles comme des briques de Lego. Cette nouvelle forme de cyberattaque vise à échapper aux outils de détection.
En identifiant et en isolant les menaces qui sont passées au travers des outils de protection des PC, HP Wolf Security dispose d’un aperçu précis des dernières techniques utilisées par les cybercriminels. Jusqu’à présent, les utilisateurs de HP Wolf Security ont cliqué sur plus de 30 milliards de pièces jointes, de pages web et de fichiers téléchargés, sans qu’aucune faille n’ai été signalée.
Sur la base de données recueillie auprès de millions d’appareils équipés de HP Wolf Security, les chercheurs ont fait les constats suivants :
Les cybercriminels s’amusent à élaborer des attaques type « Lego » - Les chaînes d’attaque sont souvent mises au point pour mener directement au payload. L’ingéniosité des attaques permet aux hackers de relier différents blocs entre eux, créant ainsi des chaînes d’infection uniques. En combinant les types de fichiers et les techniques comme des briques de Lego, ils déjouent les outils de détection et les mesures de sécurité. Au total, 32 % des chaînes d’infection QakBot analysées par HP au deuxième trimestre étaient uniques.
Différencier un blogger et un keylogger - Les auteurs des attaques menées récemment par Aggah ont hébergé un code malveillant sur la plateforme Blogspot. Cette dissimulation du code dans une source légitime complique la détection de l’attaque puisqu’elle ne permet pas de déterminer si un utilisateur lit un article de blog ou lance une attaque. Les cybermalfaiteurs utilisent ensuite leur connaissance des systèmes Windows pour désactiver certaines fonctions antivirus sur l’ordinateur de l’utilisateur, exécuter XWorm ou le cheval de Troie d’accès à distance AgentTesla, ou pour dérober des informations sensibles.
Aller à l’encontre du protocole - HP a également identifié d’autres offensives de Aggah utilisant une requête d’enregistrement DNS TXT pour diffuser le RAT AgentTesla. Cette requête facilite l’accès à des informations simples concernant les noms de domaine. Les pirates savent que le protocole DNS fait rarement l’objet d’une surveillance ou d’une protection de la part des équipes de sécurité, ce qui rend cette attaque extrêmement difficile à détecter.
Logiciels malveillants polyglottes - En utilisant plusieurs langages de programmation, le pirate échappe à la détection en chiffrant le payload à l’aide d’un crypteur écrit en Go, avant de désactiver les fonctions d’analyse anti-programmes malveillants (qui habituellement la détecteraient). Le logiciel passe ensuite au langage C++ pour interagir avec le système d’exploitation de la victime et exécuter le logiciel malveillant .NET en mémoire, en laissant un minimum de traces sur le PC.
Patrick Schläpfer, Senior Malware Analyst au sein de l’équipe de recherche HP Wolf Security, observe : "Les hackers d’aujourd’hui sont de plus en plus organisés et compétents. Ils recherchent, analysent les systèmes d’exploitation internes et exploitent plus facilement les failles en utilisant des techniques relativement simples et efficaces en toute discrétion".
Le rapport explique en détail comment les groupes cybercriminels diversifient leurs méthodes d’attaque pour contourner les politiques de sécurité et les outils de détection. Les principales conclusions sont les suivantes :
• Pour le cinquième trimestre consécutif, les archives ont été le mode de diffusion de programmes malveillants le plus populaire, avec 44 % des cas analysés par HP.
• Au cours du deuxième trimestre, le nombre de menaces HTML stoppées par HP Wolf Security a augmenté de 23 % par rapport au premier trimestre.
• Le nombre de fichiers exécutables a augmenté de 4 points, passant de 14 % à 18 % entre le premier et le deuxième trimestre, principalement en raison de l’utilisation du fichier PDFpower.exe qui intègre un programme malveillant de détournement de navigateur.
• HP a constaté une baisse de 6 % des logiciels malveillants pour tableurs (de 19 % à 13 %) entre les premier et quatrième trimestres. En effet, les pirates se détournent des formats Office dans lesquels il est plus difficile d’exécuter des macros.
• Au moins 12 % des messages frauduleux identifiés par HP Sure Click ont contourné un ou plusieurs scanners de passerelle de messagerie au cours du deuxième trimestre.
• Les principaux supports utilisés par les pirates au cours du deuxième trimestre étaient le mail (79 %) et les téléchargements à partir du navigateur (12 %).
Ian Pratt, Global Head of Security pour les systèmes personnels au sein de HP, commente :
"Si les chaînes d’infection peuvent varier, les méthodes restent les mêmes : il s’agit inévitablement d’un clic de l’utilisateur. Au lieu d’essayer d’anticiper la chaîne d’infection, les entreprises doivent isoler et prévenir les activités à risque telles que l’ouverture de pièces jointes, les clics sur des liens et les téléchargements dans le navigateur."
HP Wolf Security exécute des tâches risquées telles que l’ouverture de pièces jointes, le téléchargement de fichiers et le clic sur des liens dans des micro-machines virtuelles (micro-VM) isolées pour protéger les utilisateurs. Il enregistre également des informations détaillées sur les tentatives de piratage. La technologie HP d’isolation des applications minimise les menaces qui pourraient échapper à d’autres outils de sécurité. Elle fournit de surcroît de précieuses informations sur les nouvelles techniques d’intrusion et sur le comportement des pirates.
À propos des données
Ces données ont été collectées anonymement à partir des machines virtuelles des clients de HP Wolf Security entre avril et juin 2023.