Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bon marché mais dangereuses : des attaques complexes menées à moindre coût

octobre 2017 par Kaspersky Lab

Les chercheurs de Kaspersky Lab ont observé une nouvelle tendance dans la façon dont opèrent les acteurs de menaces sophistiquées. De plus en plus, ces acteurs délaissent les techniques coûteuses, comme les vulnérabilités 0-day, au profit de campagnes de social engineering combinant plusieurs tactiques éprouvées et bien connues. Résultats ? Des cyber attaques émergent, qui sont extrêmement difficiles à détecter par les solutions de sécurité professionnelle traditionnelles.

LE CAS : MICROCIN

Kaspersky a mis au jour Microcin, une campagne malicieuse qui illustre parfaitement cette tendance qui voit émerger des attaques dangereuses à moindre coût. La découverte s’est faite en plusieurs étapes :
1. La solution Kaspersky Anti Targeted Attack Platform (KATA) a identifié un fichier RTF suspicieux. Le fichier intégrait un exploit pour un vulnérabilité Microsoft Office déjà bien connue, et même corrigée (CVE-2015-1641). Mais son code avait été drastiquement modifié.
2. Le document de spear-phishing était distribué via des sites s’adressant à un groupe très spécifique d’individus : des personnes cherchant à obtenir une aide au logement unique à la Russie et quelques pays voisins.
3. Le déclenchement de l’exploit entraîne l’installation d’un malware sur l’ordinateur de la victime.
4. Une fois le module principal installé, des modules additionnels sont téléchargés depuis le serveur de commande et de contrôle. Au moins l’un d’entre eux utilise la stéganographie.
5. Une fois la plate-forme malveillante entièrement déployée, le malware cherche des fichiers avec des extensions de type : .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt and .rtf.
6. Ils sont ensuite rassemblés dans une archive protégée par un mot de passe et transférés vers les organisateurs de l’attaque.

Globalement, les cyber criminels utilisent une multitude de techniques et de vecteurs d’infections connus et peu coûteux (lateral movement, backdoors, watering hole, etc.). Les attaquants exploitent également des outils légitimes comme des scripts PowerShell, largement utilizes dans les tests de pénétration.

SOCIAL ENGINEERING : LES EMPLOYÉS COMME PORTE D’ENTRÉE VERS L’ENTREPRISE

Si un réseau d’entreprise est bien protégé, et donc coûteux à attaquer, les criminels choisiront probablement de s’en prendre à des employés de base, pour utiliser leurs équipements informatiques comme porte d’entrée vers l’organisation. C’est pourquoi la formation à tous les échelons de l’entreprise est primordiale.

« Si l’on analyse les différents éléments qui composent cette attaque, elle n’est pas très grave. Pratiquement tous les composants sont déjà connus de l’industrie de la cyber sécurité et relativement faciles à détecter. Cependant, ils sont combinés de telle façon que l’attaque devient très difficile à déceler. Plus grave encore, cette méthode n’est pas un cas unique. Il semble que des acteurs du cyber espionnage se désintéressent du développement d’outils difficiles à détecter au profit d’opérations sophistiquées qui n’impliquent pas de malwares complexes mais restent dangereuses, » explique Alexey Shulmin, Lead malware analyst chez Kaspersky Lab.




Voir les articles précédents

    

Voir les articles suivants