C’est suite à un rapport du FBI relatant ces attaques, décrites comme visant à infecter les organisations cibles avec des mineurs pour utiliser leurs ressources pour faire du crypto-mining, des keyloggers pour voler des données et des portes dérobées pour accéder au système, que les experts de Kaspersky ont commencé à étudier la campagne et établi qu’elle était toujours active.

La campagne en cours vise principalement des organisations telles que des agences gouvernementales, des organisations agricoles et des entreprises de commerce de gros et de détail. Entre mai et octobre, la télémétrie de Kaspersky montre que plus de 10 000 attaques ont affecté plus de 200 utilisateurs finaux. Les cybercriminels ont principalement pris pour cibles des victimes en Russie, en Arabie Saoudite, au Vietnam, au Brésil et en Roumanie. Des attaques occasionnelles ont également été identifiées aux États-Unis, en Inde, au Maroc et en Grèce.
Kaspersky a par ailleurs découvert de nouveaux scripts malveillants qui tentent de s’infiltrer dans les systèmes en exploitant les vulnérabilités des serveurs et des postes de travail. Une fois à l’intérieur, les scripts cherchent à manipuler Windows Defender, à obtenir des privilèges d’administrateur et à perturber le bon fonctionnement de divers produits antivirus.
Ensuite, les scripts tentent de télécharger une porte dérobée, un enregistreur de frappe et un mineur à partir d’un site web désormais hors ligne. Le mineur exploite les ressources du système pour générer diverses crypto-monnaies telles que Monero (XMR). Pendant ce temps, le keylogger capture la séquence complète des frappes effectuées par l’utilisateur sur le clavier et les boutons de la souris, tandis que la porte dérobée établit une communication avec un serveur de commande et de contrôle (C2) pour recevoir et transmettre des données. Cela permet à l’attaquant de prendre le contrôle à distance du système compromis.
« Cette campagne multi-malware évolue rapidement avec l’introduction de nouvelles modifications. La motivation des attaquants semble être la recherche de gains financiers par tous les moyens possibles. Les recherches de nos experts suggèrent que cela pourrait aller au-delà du minage de crypto-monnaie et impliquer des activités telles que la vente d’identifiants de connexion volés sur le dark web ou l’exécution de scénarios avancés utilisant les capacités de la porte dérobée », déclare Vasily Kolesnikov, expert en sécurité chez Kaspersky. « Nos produits, tels que Kaspersky Endpoint Security, permettent de détecter les tentatives d’infection, y compris celles effectuées avec les outils nouvellement modifiés, grâce à leurs capacités de protection étendues. »

L’analyse technique de la campagne est disponible sur Securelist. Pour se protéger des cybermenaces en constante évolution, Kaspersky recommande de mettre en œuvre les mesures de sécurité suivantes :
• Maintenez les logiciels à jour sur tous les appareils que vous utilisez afin d’empêcher les pirates de s’infiltrer dans votre réseau en exploitant les vulnérabilités.
• Installez des correctifs pour les nouvelles vulnérabilités dès que possible. Une fois les patchs téléchargés, les acteurs de la menace ne peuvent plus exploiter la vulnérabilité.
• Effectuer régulièrement un audit de sécurité de l’infrastructure informatique de l’organisation afin de détecter les lacunes et les systèmes vulnérables ;
• Choisir une solution de sécurité éprouvée pour les points d’accès, telle que Kaspersky Endpoint Security for Business, équipée de fonctions d’analyse comportementale et de contrôle des anomalies pour une protection efficace contre les menaces connues et inconnues. La solution dispose d’un système de contrôle des applications et des sites web pour minimiser les risques de lancement de cryptomineurs. L’analyse comportementale permet de détecter rapidement les activités malveillantes, tandis que le gestionnaire de vulnérabilités et de correctifs protège contre les cryptomineurs qui exploitent les vulnérabilités.
• Comme les informations d’identification dérobées peuvent être mises en vente sur le dark web, utilisez Kaspersky Digital Footprint Intelligence pour surveiller les ressources mises à disposition sur le dark net et identifier rapidement les menaces associées.