Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport d’analyse des APT au 1e trimestre 2020 : Kaspersky confirme l’augmentation des attaques en Asie et via les plateformes mobiles

avril 2020 par Kaspersky

L’analyse par Kaspersky de l’activité des APT (Advanced Persistent Threat) au premier trimestre 2020 montre une hausse de la distribution de logiciels malveillants via les plateformes mobiles ainsi que l’accroissement des activités APT en Asie. Cela est particulièrement vrai pour les nouveaux acteurs, tandis que les acteurs traditionnels deviennent beaucoup plus sélectifs dans la manière dont ils mènent leurs opérations.

Le rapport Kaspersky d’analyse des APT au premier trimestre 2020 confirme une intensification de l’activité en Asie au travers d’une variété d’attaques qui se propagent en Asie du Sud-Est, en Corée et au Japon. Kaspersky a constaté l’apparition de nouveaux acteurs APT avec des campagnes créatives et parfois à petit budget, qui établissent leur présence aux côtés d’acteurs connus tels que CactusPete et Lazarus.

En parallèle, l’intérêt pour les plateformes mobiles comme moyen de diffusion de logiciels malveillants devrait également s’accroître. Kaspersky a en effet récemment fait état d’un certain nombre de campagnes fortement axées sur les attaques mobiles, telle que la campagne du type « watering hole » LightSpy qui ciblait les utilisateurs de Hong Kong et exploitait les appareils iOS et Android, ou encore la campagne d’espionnage Android baptisée PhantomLance qui sévissait en Asie du Sud-Est. Ces deux campagnes ont notamment utilisé avec succès diverses plateformes en ligne (forums, médias sociaux ou encore Google Play), démontrant une approche astucieuse pour la distribution de logiciels malveillants.

Les acteurs APT qui ciblent l’Asie ne sont pas les seuls à avoir développé des implants mobiles. Par exemple, TransparentTribe a mené une campagne à l’aide d’un nouveau module nommé "USBWorm", qui vise l’Afghanistan et l’Inde, et a développé un nouvel implant conçu pour infecter les appareils Android. Le malware utilisé est une version modifiée de l’Android RAT "AhMyth" - un malware open source disponible sur GitHub.

Enfin, les chercheurs de Kaspersky indiquent que si la pandémie COVID-19 a été utilisée par différents acteurs APT comme Kimsuky, Hades et DarkHotel depuis la mi-mars, il s’agit avant tout de l’exploitation d’un sujet d’actualité populaire pour attirer des utilisateurs vulnérables et non d’un changement significatif en termes de tactiques, techniques et procédures des cyber-menaces.

« Les activités APT n’ont pas cessé pendant la pandémie. En fait, certains acteurs en ont même tiré profit de différentes manières, comme en essayant d’améliorer leur réputation en annonçant qu’ils ne cibleraient pas les établissements de santé pour le moment. Néanmoins, nos conclusions suggèrent que le gain financier et la géopolitique continuent d’être les principaux moteurs de l’activité APT, en particulier pour les acteurs qui sont apparus au cours des deux dernières années et qui consolident actuellement leur statut de malfaiteurs persistants. Le mobile prend de plus en plus d’importance dans les nouvelles campagnes, car de nouveaux acteurs apparaissent avec des solutions créatives, et l’activité d’acteurs plus expérimentés est devenue presque invisible. C’est peut-être une conséquence de l’évolution de la situation à laquelle nous sommes tous confrontés. Comme d’habitude, nous devons préciser que nous n’avons pas nécessairement une visibilité totale, et qu’il y aura des activités qui ne sont pas encore sur notre radar ni entièrement comprises - la protection contre les menaces connues et inconnues reste donc vitale pour tout le monde », indique Pierre Delcher, chercheur senior en sécurité au sein du GReAT (Global Research & Analysis Team) de Kaspersky.

Afin d’éviter d’être victime d’une attaque ciblée par un acteur de la menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

1. Donner aux équipes SOC l’accès aux dernières informations sur les menaces afin qu’elles soient au fait des nouveaux outils, techniques et tactiques utilisés par les cybercriminels.

2. Mettre en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response pour la détection au niveau des endpoints et la résolution rapide des incidents.

3. S’assurer que solution de sécurité des points d’accès intègre la protection des appareils mobiles. Elle doit permettre la protection contre les menaces web et les logiciels malveillants ciblant les plateformes mobiles, ainsi que le contrôle des applications et des appareils.

4. En plus d’adopter une protection essentielle des points d’extrémité, il est impératif de mettre en œuvre une solution de sécurité de niveau entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce, comme la plateforme Kaspersky Anti Targeted Attack.

5. Comme de nombreuses attaques ciblées commencent par le phishing ou d’autres techniques d’ingénierie sociale, il est nécessaire de sensibiliser l’ensemble des collaborateurs à la sécurité informatique et de leur enseigner les fondamentaux et les bonnes pratiques - par exemple grâce à la Kaspersky Automated Security Awareness Platform.




Voir les articles précédents

    

Voir les articles suivants