Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le cybergang Gaza Team renforce son arsenal d’outils malveillants avec des exploitations de vulnérabilités voire un spyware sous Android

octobre 2017 par Kaspersky Lab

Les experts de Kaspersky Lab enregistrent des modifications majeures dans les opérations du cybergang Gaza Team, qui cible activement diverses entreprises et administrations au Moyen-Orient et en Afrique du Nord (zone MENA). Alors que le groupe est présent dans le paysage des menaces depuis plusieurs années, il a renforcé son arsenal en 2017 avec de nouveaux outils malveillants.

Le cybergang Gaza Team s’attaque, sans interruption depuis 2012 à des ambassades, des diplomates et responsables politiques ainsi qu’à des compagnies pétrolières et gazières et à des médias dans la zone MENA, de nouveaux échantillons de malware étant détectés régulièrement. En 2015, les chercheurs de Kaspersky Lab ont publié un rapport sur l’activité du groupe après avoir observé une évolution majeure dans ses actions malfaisantes. A cette occasion, les auteurs des attaques ont été repérés en train de cibler du personnel informatique ou chargé de la réponse aux incidents, pour tenter d’avoir accès à des outils légitimes d’audit de sécurité et de réduire ainsi nettement la visibilité de leurs activités sur les réseaux visés. En 2017, les chercheurs de Kaspersky Lab ont noté un nouveau pic d’attaques émanant de Gaza Team.

De nouvelles attaques, de nouveaux modes opératoires, mais toujours les mêmes cibles

Si le profil des cibles et leur répartition géographique demeurent inchangés dans ces nouvelles attaques, les opérations de Gaza Team ont cependant pris de l’envergure. Le groupe a été vu à la recherche de tout type d’information dans la zone MENA, ce qui n’était pas le cas jusque-là. Plus important, ses outils d’attaque sont devenus plus élaborés, avec le développement de documents de spearphishing liés à l’actualité géopolitique et servant à transmettre des malwares aux cibles afin d’exploiter une vulnérabilité relativement récente, CVE 2017-0199 dans Microsoft Access, voire d’implanter un logiciel espion dans Android.

Les intrus perpètrent leurs actions malveillantes par l’envoi d’e-mails contenant divers RAT (Remote Access Trojan) dans de faux documents Office ou encore de liens vers une page infectée. Si elle clique sur la pièce jointe ou l’URL, la victime est contaminée par un malware qui permet ensuite aux assaillants de récupérer des fichiers, des frappes clavier et des copies d’écran sur sa machine. Si elle repère la présence du premier fichier malveillant, le module de téléchargement tente d’en installer d’autres sur la même machine pour échapper à la détection.

Des attaques ciblant également les mobiles Android

D’autres enquêtes de Kaspersky Lab indiquent une utilisation potentielle de malware mobile par ce groupe de pirates : certains des noms de fichiers rencontrés durant l’analyse de l’activité de Gaza Team semblent en effet en rapport avec un cheval de Troie pour Android. Cette montée en puissance des techniques d’attaque a permis à Gaza Team de contourner les solutions de sécurité et de manipuler le système des victimes pendant un laps de temps prolongé.

« La poursuite des activités de Gaza Team, que nous observons depuis plusieurs années déjà, montre que la situation dans la zone MENA est loin d’être sûre en matière de cyberespionnage. En raison de progrès significatifs dans les techniques de ce cybergang, nous nous attendons à voir la quantité et la qualité de ses attaques s’intensifier dans un proche avenir. Les particuliers et les entreprises susceptibles d’en être la cible doivent faire preuve de davantage de prudence en ligne », commente David Emm, expert en sécurité chez Kaspersky Lab.

Les produits Kaspersky Lab détectent et bloquent avec succès les attaques menées au moyen de ces techniques.

Les chercheurs de Kaspersky Lab recommandent aux entreprises les mesures suivantes pour éviter d’en être victimes :

 ? Formez votre personnel à reconnaître les e-mails de spearphishing et les liens de phishing.

 ? Utilisez une solution de sécurité éprouvée pour les postes de travail de l’entreprise, en combinaison avec une protection spécialisée contre les menaces avancées, par exemple Kaspersky Anti Targeted Attack Platform, à même d’intercepter les attaques en analysant les anomalies sur le réseau.

 ? Donnez à votre personnel de sécurité un accès aux plus récentes données de veille sur les menaces, qui leur fourniront de précieux outils pour rechercher et prévenir les attaques ciblées, tels que des indicateurs d’infection (IOC) et des règles YARA.


Voir les articles précédents

    

Voir les articles suivants