Au cours du premier trimestre 2022, les chercheurs de Kaspersky ont encore découvert de nouveaux outils, techniques et campagnes émanant de groupes APT dans des cyberattaques partout dans le monde. Le rapport trimestriel sur les tendances APT est issu des recherches privées de Kaspersky sur les menaces, ainsi que sur les principaux événements et cyber-incidents dont le public doit être informé selon les chercheurs.

Tout au long du premier trimestre 2022, l’activité APT actuelle est due à des campagnes récentes et à un certain nombre d’attaques liées à des événements géopolitiques sensibles. Les résultats les plus significatifs sont les suivants :

• Les crises géopolitiques, principales causes de l’évolution de l’APT
Le paysage des menaces s’est beaucoup dessiné autour de la guerre en Ukraine. HermeticRansom, DoubleZero et de nombreuses autres nouvelles offensives visant des entités ukrainiennes ont été signalées tout au long des mois de février et mars. Un pic significatif a été observé dans le nombre de nouvelles infrastructures déployées par les groupes APT Gamaredon et UNC1151 (Ghostwriter). Tout au long de leurs enquêtes, les chercheurs de Kaspersky ont identifié deux échantillons de prototypes WhisperGate qui ont été développés en décembre 2021, et qui contiennent des trames de test et des révisions antérieures de ransom note observée dans les échantillons partagés de Microsoft. Ils ont conclu avec certitude que ces échantillons étaient des itérations antérieures du wiper qui aurait été utilisé en Ukraine.
Dans le même temps, les chercheurs de Kaspersky ont identifié trois campagnes liées au groupe Konni qui est actif depuis mi-2021, et qui cible des entités diplomatiques russes. Alors qu’ils ont utilisé le même implant Konni RAT lors des différentes campagnes, les vecteurs d’infection étaient à chaque fois différents : des documents contenant des macros intégrées, un installateur se faisant passer pour une application d’enregistrement COVID-19, ou encore un faux écran de veille du Nouvel An.

• Le retour des attaques de bas niveau
L’année dernière, les chercheurs de Kaspersky ont prédit que le développement des implants de bas niveau allait se poursuivre en 2022. Moonbounce est un exemple frappant de cette tendance. Découvert par Kaspersky, il s’agit du troisième cas connu d’un bootkit de firmware. Cet implant malveillant était caché dans le micro-logiciel UEFI (Unified Extensible Firmware Interface), un élément essentiel des ordinateurs. L’implant a été trouvé dans la flash SPI, un composant de stockage externe au disque dur. La campagne a été attribuée à APT41, un groupe APT bien connu.

• Les groupes APT s’attaquent aux crypto-monnaies
Au cours de ce trimestre, Kaspersky a également observé que les groupes APT poursuivent leur chasse aux crypto-monnaies. Contrairement à la plupart des groupes APT sponsorisés par des Etats, Lazarus et les autres acteurs associés à cet APT ont fait du gain financier l’un de leurs principaux objectifs. Pour ce faire, il distribue des chevaux de Troie sous la forme d’applications de finance décentralisée (DeFi) afin d’augmenter les profits. Lazarus abuse des applications légitimes qui sont couramment utilisées pour gérer les portefeuilles de crypto-monnaies, en distribuant des malwares qui permettent de contrôler les systèmes des victimes.

• Mises à jour et exploitation de services en ligne
Les acteurs APT sont constamment à la recherche de nouveaux moyens d’accroître l’efficacité de leurs attaques. Le groupe de cyber mercenaires surnommé DeathStalker continue ainsi de mettre à jour ses outils peu sophistiqués afin de renforcer l’efficacité des attaques. Lancé pour la première fois en 2013, son plus ancien malware Janicab est un excellent exemple de cette tendance. Dans l’ensemble, Janicab présente les mêmes fonctionnalités que les malwares similaires. Toutefois, au lieu de télécharger plusieurs outils plus tard dans l’intrusion, comme le groupe avait l’habitude de procéder avec les intrusions EVILNUM et Powersing, les nouveaux échantillons intègrent d’emblée la plupart des outils qui sont dissimulés dans le dropper. En outre, DeathStalker utilise les services en ligne les plus populaires au monde, tels que YouTube, Google+ et WordPress, qui font office de DDR (dead-drop resolver) afin d’exécuter des commandes et un contrôle furtifs efficaces.

"La géopolitique a toujours été le principal moteur des attaques APT, chose qui semble encore plus évidente aujourd’hui. Nous vivons une période troublée, ce qui se traduit également à travers le prisme de la cybersécurité. Dans le même temps, nous constatons que l’activité du premier trimestre a été normale pour de nombreux acteurs de la menace, avec la mise à jour continue des outils et de nouvelles campagnes qui visent non seulement à obtenir des informations, mais aussi de l’argent", a déclaré David Emm, chercheur en sécurité au GReAT de Kaspersky. "Cela signifie que les organisations doivent être plus vigilantes que jamais et s’assurer qu’elles disposent des informations sur les menaces et des bons outils pour se protéger des celles existantes et émergentes".

Le rapport Q1 APT Trends regroupe les conclusions des rapports d’informations sur les menaces destinés aux abonnés de Kaspersky. Ceux-ci comprennent également des données sur les indicateurs de compromission (IoC) et les règles YARA pour faciliter l’analyse et la chasse aux logiciels malveillants. Contactez intelreports@kaspersky.com pour plus d’informations.
Au début du trimestre, le GReAT de Kaspersky a donné une conférence sur les cyberattaques en Ukraine, et notamment les dernières activités des APT.

Afin d’éviter les attaques ciblées de groupes connus ou inconnus, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
• Offrez à votre équipe SOC l’accès aux dernières informations sur les menaces (threat intelligence ou TI). Le Kaspersky Threat Intelligence Portal est un point d’accès unique pour consulter la TI de l’entreprise. Cette dernière fournit des données sur les cyberattaques et les enseignements recueillis par Kaspersky depuis plus de 20 ans. Pour aider les entreprises à mettre en place des défenses efficaces en cette période troublée, Kaspersky a annoncé offrir un accès gratuit à des informations indépendantes sur les cyberattaques et les menaces en cours, qui sont mises à jour en permanence et provenant du monde entier. Pour profiter de cette offre, cliquez ici .
• Renforcez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne de Kaspersky, qui a été développée par les experts du GReAT.
• Pour la détection, l’étude et la correction rapide des incidents au niveau des endpoints, déployez des solutions EDR telles que Kaspersky Endpoint Detection and Response.
• Outre l’adoption de protections indispensables des endpoints, déployez une solution de sécurité professionnelle qui détecte les menaces avancées sur le réseau à un stade précoce, comme Kaspersky Anti Targeted Attack Platform.
• Sachant que de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale, mettez en place une politique de sensibilisation à la sécurité et enseignez des compétences pratiques à votre équipe - par exemple via Kaspersky Automated Security Awareness Platform.