La campagne comprend plusieurs modules malveillants qui permettent aux agents du groupe malveillant de prendre le contrôle de l’appareil de leur victime. Cela leur permet d’exécuter des commandes, de collecter des fichiers et des informations sur les machines compromises et de les transférer sur d’autres machines en utilisant la même clé USB sécurisée ou d’autres clés USB comme supports. En outre, le groupe APT est capable d’exécuter d’autres fichiers malveillants sur les systèmes infectés.

Les chercheurs de Kaspersky n’ont relevé qu’un nombre limité de victimes, soulignant la nature très ciblée des attaques opérées par le groupe.
« Notre enquête révèle le niveau de sophistication élevé des procédés mis en œuvre par TetrisPhantom, qui incluent l’obscurcissement des logiciels basé sur la virtualisation, des communications bas-niveau avec la clé USB à l’aide de commandes SCSI directes, et l’auto-réplication par le biais d’USB sécurisées connectées. Ces opérations ont été menées par un acteur hautement qualifié et ingénieux, qui s’intéresse de près aux activités d’espionnage au sein de réseaux gouvernementaux sensibles et protégés », commente Noushin Shabab, chercheur principal en sécurité au sein de l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky.

Les chercheurs de Kaspersky n’ont observé aucun chevauchement entre les activités de TetrisPhantom et un acteur APT existant, mais cette campagne d’attaque étant toujours en cours, les experts continuent de surveiller sa progression et s’attendent à l’avenir à observer des attaques plus sophistiquées de leur part.

Pour se protéger des attaques ciblée menée par un acteur de la menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
• Mettez régulièrement à jour votre système d’exploitation, vos applications et votre logiciel antivirus afin de corriger les vulnérabilités connues.
• Méfiez-vous des courriels, des messages ou des appels vous demandant des informations sensibles. Vérifiez l’identité de l’expéditeur avant de communiquer des informations personnelles ou de cliquer sur des liens suspects.
• Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal est un point d’accès unique aux renseignements sur les menaces de l’entreprise, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
• Améliorez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.
• Pour la détection au niveau des terminaux, l’investigation et la réponse rapide aux incidents, mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.