TA505 : LE RETOUR
octobre 2021 par Tony Hadfield Director Solutions Architect chez Venafi
Selon Proofpoint, le groupe Threat Actor 505 revient sur le « devant de la scène » en ciblant à nouveau les entreprises avec une campagne de pishing massive. Il liste d’ailleurs quelques points communs comme des noms de domaine similaires, des leurres d’emails, des leurres de fichiers Excel et la distribution de cheval de Troie d’accès à distance (RAT) FlawedgGrace.
Tony Hadfield Director Solutions Architect chez Venafi commente :
« Nous avons observé une recrudescence spectaculaire de logiciels malveillants qui utilisent le pishing ainsi que les documents de bureau malveillants pendant la pandémie en raison de l’augmentation du travail à distance. Alors que les recommandations typiques de contrôle de sécurité comme la segmentation du réseau, 2FA et patching sont tous utiles, il y a une chose vraiment simple que les entreprises et organisations peuvent faire pour arrêter les ransomware cachés dans les documents de bureau malveillants : il s’agit des signature de code pour macros. Chaque macro est configurée une seule fois et fonctionnent alors de façon automatique, seules les macros non signées ne sont pas autorisées à s’exécuter. Même si un employé clique sur un document de bureau malveillant, rien ne se passe. Il arrête la chaîne de destruction des logiciels malveillants et réduit considérablement les risques de sécurité liés à ce vecteur d’attaque. »