Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybercriminalité : bilan de l’année 2023 par SentinelLabs

janvier 2024 par Blandine Delaporte, Solution Engineer Director de SentinelOne

Ces douze derniers mois ont été sans précédent en matière de cybermenaces. Plusieurs groupes d’hacktivistes, parrainés par des États, sont au cœur des préoccupations alors qu’en 2023, la guerre en Ukraine est entrée dans sa deuxième année et le confit entre Israël et le Hamas a ouvert un nouveau champ de bataille dans le cyberespace.

Parallèlement, en dépit de nouvelles initiatives gouvernementales et de la coopération internationale dans la lutte contre la cybercriminalité, les ransomwares demeurent un problème majeur pour les entreprises, dans un environnement où les ressources cloud représentent de nouvelles cibles et où les grands modèles de langage (LLM) offrent aussi bien aux défenseurs qu’aux attaquants de nouveaux outils et des opportunités inédites. Tout au long de l’année, SentinelLabs a suivi, détecté et documenté ces attaques, en voici les plus importantes :

Janvier
SentinelLabs a publié un rapport sur le groupe hacktiviste pro-russe NoName057(16), décrivant ses attaques contre l’Ukraine, les organisations de l’OTAN et les sites Web des candidats à l’élection présidentielle tchèque de 2023. La division de recherche a également identifié un programme d’attaques par déni de service distribué (DDoS) menées par des activistes, opérant sur des canaux Telegram publics, et a présenté en détail leur malware DDosia. Les équipes ont également révélé la manière dont le groupe, qui avait précédemment ciblé les services publics polonais et le secteur financier danois, a détourné GitHub pour héberger son kit d’outils et rémunéré ses contributeurs les plus influents.
Il a également été question de DragonSpark, une série d’attaques opportunistes dirigées contre des entreprises d’Asie de l’Est. Les auteurs de ces menaces ont utilisé le malware Golang et sa technique atypique pour entraver l’analyse statique et échapper à la détection : l’interprétation du code source Golang.

Février
SentinelLabs a observé la première variante ELF du rançongiciel Clop et mis en évidence les failles de sa méthode de chiffrement, ce qui a permis de développer et de publier un outil de déchiffrement dédié.
Une série de programmes de malwares virtualisés de type .NET, diffusés via des cyberattaques utilisant la publicité en ligne comme support, a également été mis au jour. Baptisés MalVirt, ces programmes s’appuient sur le malware Formbook et dissimulent le trafic de commande et de contrôle (C2) en l’acheminant vers des serveurs leurres hébergés sur des plateformes telles qu’Azure et Namecheap.
Dans une autre étude, publiée en collaboration avec QGroup GmbH, SentinelLabs a identifié un nouveau groupe de menaces appelé WIP26, qui se livre à des activités d’espionnage ciblant les opérateurs télécoms.

Mars
Les opérateurs télécoms ont également été les cibles de l’opération Tainted Love, au Moyen-Orient. Probablement menée par des acteurs du cyberespionnage chinois, cette campagne était en fait le prolongement de l’opération Soft Cell. La première phase d’attaque consistait à infiltrer des serveurs Microsoft Exchange accessibles via Internet pour déployer des webshells et exécuter ainsi des commandes. Une fois implantés, les pirates déployaient des malwares spécifiquement conçus pour dérober des identifiants.

Avril
SentinelLabs a pu déterminer que Transparent Tribe (alias APT36), groupe de pirates suspecté d’être basé au Pakistan et actif depuis 2013, s’intéressait désormais au secteur de l’enseignement supérieur indien, par le biais d’un ensemble de documents malveillants dissimulant le cheval de Troie d’accès à distance Crimson RAT. Alors que ce groupe ciblait jusque-là des militaires et des fonctionnaires indiens, il a diffusé des contenus pédagogiques malveillants hébergés sur une infrastructure APT36 connue.

Mai
La fuite du code source de Babuk en 2021 a donné lieu à de multiples variantes de ce ransomware et a contribué à l’expansion de l’écosystème de logiciels criminels. SentinelLabs a mis en évidence que ce même code source était à l’origine de 10 familles de ransomware différentes ciblant VMware ESXi, permettant éventuellement à de nouveaux acteurs, dépourvus de compétences techniques, de cibler des systèmes Linux. L’équipe SentinelLabs a également dévoilé l’opération Magalenha, une campagne orchestrée par un acteur brésilien ciblant des établissements financiers portugais afin de dérober les identifiants et données à caractère personnel.

Juin
SentinelLabs a publié des rapports sur le groupe de piratage nord-coréen Kimsuky. En collaboration avec NK News, une campagne d’ingénierie sociale, ciblant des experts du secteur des ONG spécialisés dans les affaires nord-coréennes, a été révélée. Cette campagne était axée sur le vol d’identifiants de messagerie, la diffusion de malwares de reconnaissance et le pillage des informations d’identification des abonnés à NK News.

Juillet
La multiplication des malwares et des intrusions APT a fait passer la sécurité cloud au premier plan. SentinelLabs a identifié une campagne de vol d’identifiants dans le cloud qui, après avoir ciblé des instances cloud AWS s’est étendue à Azure et à Google Cloud.
Par ailleurs, une intrusion dont a été victime JumpCloud, spécialiste des services de gestion IT basés dans le cloud, a mobilisé l’infrastructure utilisée par les autorités nord-coréennes pour leurs activités de menaces, comme en a fait état SentinelLabs. Cette intrusion était en lien avec la précédente campagne d’attaques SmoothOperator ciblant 3CX observée en mars.

Août
Si les acteurs de la menace affiliés à la Corée du Nord ont eu fort à faire tout au long de l’année 2023, leurs cibles n’étaient pas toutes localisées en Occident. En août, SentinelLabs a décelé des intrusions dont a été victime le fabricant russe de missiles NPO Mashinostroyeniya ; cette entité homologuée détient des informations ultra-confidentielles sur la technologie sensible de missiles balistiques actuellement en service ou en cours de développement pour l’armée russe. L’analyse a permis de découvrir un ensemble d’emails provenant de l’entreprise victime qui a révélé deux séries distinctes d’activités suspectes et a pu établir un lien entre chacune d’elles et mettre en évidence une intrusion réseau plus conséquente que celle admise par la victime.
Enfin, SentinelLabs a également révélé que des hackers chinois avaient ciblé le secteur des jeux d’argent en Asie du Sud-Est. Certains indicateurs pointaient vers le groupe chinois BRONZE STARLIGHT, soupçonné d’être à l’origine de ransomwares, et dont l’objectif principal semble être l’espionnage plutôt que le gain financier.

Septembre
Transparent Tribe a attiré l’attention de SentinelLabs pour la deuxième fois en diffusant son malware CapraRAT dans une toute nouvelle application Android, clone de YouTube, baptisée CapraTube. Trois applications Android imitant l’interface de YouTube mais sollicitant des autorisations à l’instar des logiciels espions ont été identifiées.
Aleksandar Milenkoski (SentinelLabs), en collaboration avec QGroup, a découvert un autre cyberpirate ciblant les opérateurs télécoms. Baptisé Sandman, cet acteur de la menace, jusqu’alors inconnu, a ciblé des entreprises au Moyen-Orient, en Europe occidentale et en Asie du Sud au moyen d’une toute nouvelle porte dérobée modulaire utilisant la plateforme LuaJIT.

Octobre
Le premier compte rendu sur les cyberactivités financées par les États, suite aux attaques en Israël, a mis en lumière les hackers nécessitant l’attention des acteurs de la cybersécurité au sens large, afin de mieux coordonner la communication et de mieux appréhender le modèle de menaces auquel sont confrontées les entreprises.

Novembre
Sur la lancée des activités d’octobre, SentinelLabs a étudié le malware SpyC23 du collectif de hackers AridViper affilié au Hamas et sa campagne d’espionnage ciblant les appareils Android.
Cette campagne inscrite dans la durée, active en 2022 et en 2023, implique des applications malveillantes se faisant passer pour l’application de messagerie Telegram ou une application de rencontres baptisée « Skipped Messenger ». Une fois installé, ce logiciel espion prend le contrôle de l’appareil de la victime, et est notamment capable de passer des appels sans action de la part de l’utilisateur, d’enregistrer les conversations et de collecter des données confidentielles, notamment la liste des contacts sur le téléphone.
Bien évidemment, 2023 a été une année charnière pour l’IA et, dans ce domaine, les acteurs de la menace ont su en profiter. Ainsi Predator AI, nouveau malware et outil de piratage conçu pour cibler les services cloud a fait son apparition.

Décembre
Des recherches réalisées conjointement par SentinelLabs, PwC et MS Threat Intelligence, ont permis de donner de plus amples informations sur l’APT Sandman.
Enfin les équipes de SentineLabs se sont intéressées aux activités attribuées à Gaza cybergang, collectif pro-Hamas connu depuis 2012. De fin 2022 à fin 2023, il est apparu que ce groupe a introduit une nouvelle porte dérobée dans son arsenal de malwares, Pierogi++, ciblant essentiellement les entités palestiniennes.


Voir les articles précédents

    

Voir les articles suivants