Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky découvre une campagne APT très active ciblant le marché de cryptomonnaies

août 2022 par Kaspersky

Au deuxième trimestre 2022, les chercheurs de Kaspersky ont remarqué que les acteurs de la menace persistante avancée (APT) ciblaient de plus en plus le secteur des cryptomonnaies. En utilisant du contenu lié aux cryptomonnaies et des avertissements des forces de l’ordre comme appât, l’acteur à l’origine de cette nouvelle campagne très active, baptisée "NaiveCopy", a attaqué des investisseurs en actions et en crypto-monnaies en Corée du Sud. Une analyse plus poussée des stratégies de NaiveCopy a révélé une campagne similaire opérant l’année précédente, visant des entités non-identifiées au Mexique et au Royaume-Uni. Ces éléments, ainsi que d’autres découvertes, sont révélés dans le dernier rapport trimestriel de Threat Intelligence de Kaspersky.

Les acteurs derrière les APT renouvellent continuellement leurs tactiques, affinent leurs outils et développent de nouvelles techniques. Pour aider les utilisateurs et les entreprises à maîtriser ces changements et se tenir informés des menaces potentielles auxquelles ils peuvent être confrontés, l’équipe Global Research and Analysis (GReAT) de Kaspersky fournit des rapports trimestriels sur les développements les plus importants dans le paysage des menaces persistantes avancées. Le rapport trimestriel sur les tendances APT est créé à partir des recherches privées de Kaspersky en matière de Threat Intelligence, et fait état des principaux développements et cyber-incidents dont les experts souhaitent informer les utilisateurs.

Au cours du deuxième trimestre de 2022, les chercheurs de Kaspersky ont découvert une nouvelle campagne très active, ayant débuté en mars et ciblant les investisseurs en actions et en cryptomonnaies. Ce constat est inhabituel, les cybercriminels derrière les APT ne cherchant généralement pas à obtenir de gains financiers. L’acteur malveillant a utilisé des contenus liés aux cryptomonnaies et des rappels à l’ordre des autorités comme leurre pour attirer ses victimes. Les chaînes d’infection impliquent l’injection à distance d’un modèle et le déclenchement d’une macro malveillante qui engendre une procédure de propagation en plusieurs étapes à l’aide de Dropbox. Après avoir balisé les informations de l’ordinateur de la victime, le malware tente ensuite de se procurer la charge utile finale.

Heureusement, les experts de Kaspersky ont pu mettre la main sur ce payload, contenant plusieurs modules utilisés pour extraire des informations sensibles sur la victime. En l’analysant, les chercheurs ont trouvé des échantillons supplémentaires qui avaient été utilisés il y a un an lors d’une autre campagne contre des entités au Mexique et au Royaume-Uni.

Les experts de Kaspersky n’ont pas identifié de lien précis avec des acteurs malveillants connus, mais ils supposent qu’ils ont des connaissances en coréen et qu’ils ont eu recours à une tactique similaire à celle employée précédemment par le groupe Konni pour voler les identifiants de connexion d’un portail coréen très utilisé. Le groupe Konni est un acteur de la menace actif depuis la mi-2021, ciblant principalement les entités diplomatiques russes.

"Au fil des derniers trimestres, nous avons vu des acteurs APT tourner leur attention vers le marché des cryptomonnaies. En utilisant diverses techniques, les acteurs recherchent non seulement des renseignements, mais aussi à tirer des profits. Il s’agit d’une tendance inhabituelle, mais croissante, dans le paysage des APT. Afin de lutter contre les menaces, les organisations doivent obtenir une meilleure visibilité du paysage récent des cybermenaces. La Threat Intelligence est un élément crucial qui permet d’anticiper de telles attaques en temps et en heure", commente David Emm, chercheur senior en sécurité au GReAT de Kaspersky.

Pour se protéger des menaces connues et inconnues, Kaspersky recommande de mettre en place les mesures suivantes :

• Donnez à votre équipe SOC un accès aux dernières informations sur la Threat Intelligence (TI). Le portail Kaspersky Threat Intelligence est un point d’accès unique à la TI, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans. Pour aider les entreprises à se défendre en cette période de crise, Kaspersky a décidé de donner un accès gratuit à des informations indépendantes, actualisées et provenant de sources internationales sur les cyberattaques et les menaces en cours. Demandez votre accès ici.

• Renforcez les compétences de votre équipe de cybersécurité pour lui permettre de faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts du GReAT.

• Mettez en place des solutions EDR pour la détection des problèmes au niveau des terminaux, l’investigation et la neutralisation rapide des menaces, telles que Kaspersky Endpoint Detection and Response.

• En plus des solutions EDR, mettez en œuvre une solution pour la sécurité en entreprise, qui détecte les menaces avancées au niveau du réseau à un stade précoce, comme Kaspersky Anti Targeted Attack Platform.

• Dispensez à votre personnel une formation de base sur la cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale.


Voir les articles précédents

    

Voir les articles suivants