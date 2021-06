ESET présente EmissarySoldier orchestrée par le groupe LuckyMouse

juin 2021 par ESET

La stratégie de cybersécurité de l’Union européenne et celle de tous les gouvernements dans le monde, a été mise à l’épreuve, non seulement en raison de son mandat stipulant la transition vers le numérique, mais également par la pandémie de COVID-19, l’adoption en masse du télétravail et des menaces telles que le cyberespionnage, les logiciels rançonneurs et les attaques contre la chaîne d’approvisionnement. Par-dessus tout, les groupes de pirates sont le défi et l’ennemi, le plus redoutable de tous les gouvernements.

Les groupes de pirates utilisent des outils avancés Le rapport d’ESET sur les gouvernements examine le paysage des menaces façonné par les groupes de pirates et souligne sa nature complexe, en s’intéressant plus particulièrement à EmissarySoldier, une campagne malveillante menée par le groupe de pirates LuckyMouse, qui utilise sa boîte à outils SysUpdate pour compromettre des machines opérant Microsoft SharePoint.

Cette étude approfondie de LuckyMouse examine sa boîte à outils SysUpdate relativement inconnue, dont les premiers échantillons n’ont été découverts qu’en 2018. Depuis lors, elle a évolué par étapes successives. Le modus operandi actuel de LuckyMouse consiste à installer ses modules via un modèle dit « en trident » qui utilise trois composants : une application légitime vulnérable au détournement de DLL, une DLL personnalisée qui charge le logiciel malveillant, et un binaire brut encodé avec Shikata Ga Nai. Vue d’ensemble du modèle en trident

Comme l’architecture modulaire de SysUpdate permet à ses opérateurs de limiter à volonté l’exposition des composants malveillants, les chercheurs d’ESET n’ont pas réussi à obtenir de modules malveillants et s’attendent à ce que ce soit une problématique constante lors de futures analyses. Quoi qu’il en soit, LuckyMouse a renforcé son activité en 2020, intégrant progressivement différentes fonctionnalités à la panoplie d’outils de SysUpdate.

L’évolution des outils utilisés par les groupes de pirates tels que LuckyMouse est une préoccupation majeure, car les gouvernements ont la responsabilité d’assurer la stabilité, pour leurs citoyens et les entreprises, et dans leurs relations avec les autres nations. Ces tâches de gouvernance sont menacées par LuckyMouse et d’autres groupes de pirates, y compris des acteurs financés par d’autres états, qui s’attaquent à des plateformes de collaboration très répandues telles que Microsoft SharePoint et aux services numériques fournis.

Les gouvernements en première ligne

Plusieurs études d’ESET sont arrivées à leur terme en 2020 et 2021, celles-ci notamment utilisées par des organismes tels que l’Organisation européenne pour la recherche nucléaire (CERN), Europol et l’Agence nationale française de cybersécurité (ANSSI). Leurs points de vue, partagés durant l’événement virtuel (https://eecd.eset.com/) et dans le rapport qui en résulte, soulignent que les gouvernements et leurs infrastructures informatiques sont en première ligne.

Le rapport insiste également sur la nécessité pour les experts de continuer à aider les gouvernements à apporter leur vision en matière de sécurité, et continuer de suivre les tactiques, les techniques et les procédures des groupes de pirates via les différentes technologies de détection et de traitement des incidents à leur disposition.