Savez-vous quels groupes de hackers existent ? ESET, le leader européen des solutions de cybersécurité, a publié son rapport d’activité APT pour le quatrième trimestre 2022 et le premier trimestre 2023, résumant les activités de certains groupes APT (« menace persistante avancée ») qui ont été observés, étudiés et analysés par les chercheurs d’ESET à partir d’octobre 2022 jusqu’à fin mars 2023.
Des activités malveillantes par des groupes de pirates ont été détectées par les produits ESET
Une partie du rapport mentionne également certains événements précédemment couverts par le rapport d’activité APT du troisième trimestre 2022. Cela est dû à la décision d’ESET de publier ce rapport semestriellement, l’édition actuelle couvrant le quatrième trimestre 2022 et le premier trimestre 2023, et la suivante couvrant le deuxième et troisième trimestres de 2023.
Au cours de la période surveillée, plusieurs groupes cybercriminels associés à la Chine ont concentré leurs attaques sur des organisations européennes, en appliquant des tactiques telles que la mise en œuvre de portes dérobées – des logiciels malveillants qui permettent de contourner le processus normal d’authentification ou de cryptage d’un système. Par exemple, le groupe Ke3chang a mis en place une nouvelle variante de la porte dérobée Ketrican, tandis que le groupe Mustang Panda a utilisé deux nouvelles portes dérobées.
Le groupe MirrorFace a ciblé le Japon, en utilisant de nouvelles façons de distribuer des logiciels malveillants, tandis que l’opération ChattyGoblin a compromis une société de jeux aux Philippines par le biais de ses agents de support.
Des groupes associés à India SideWinder et Donot Team ont continué d’attaquer les institutions gouvernementales en Asie du Sud, le premier se concentrant sur le secteur de l’éducation en Chine et le second développant son framework yty, qui consiste en une chaîne de téléchargeurs dont l’objectif est de télécharger une porte dérobée. , mais aussi pour implémenter Remcos RAT (cheval de Troie d’accès à distance) disponible dans le commerce. Toujours en Asie du Sud, ESET a détecté un nombre élevé de tentatives de phishing sur la plateforme de messagerie Web Zimbra.
Au Moyen-Orient, le groupe MuddyWater, associé à l’Iran, a cessé d’utiliser l’outil d’accès à distance SimpleHelp pendant cette période pour distribuer des logiciels malveillants à ses victimes, optant à la place pour les scripts PowerShell. En Israël, le groupe OilRig a mis en place une nouvelle porte dérobée personnalisée qu’ESET a appelée Mango et le téléchargeur SC5k, tandis que le groupe POLONIUM a utilisé une porte dérobée CreepySnail modifiée.
Des groupes de pirates informatiques associés à la Corée du Nord tels que ScarCruft, Andariel et Kimsuky ont continué de cibler la Corée du Sud et des entités apparentées en utilisant leurs outils habituels. En plus de cibler les employés d’une entreprise de défense en Pologne avec une fausse offre d’emploi Boeing, le groupe Lazarus a également déplacé son attention de ses cibles traditionnelles vers une société de gestion de données en Inde, en utilisant l’ingénierie sociale sur le thème d’Accenture. . ESET a également identifié des logiciels malveillants Linux déployés dans l’une de ses campagnes.
Les groupes de piratage APT associés à la Russie étaient particulièrement actifs en Ukraine et dans les pays de l’Union européenne, le groupe Sandworm distribuant des essuie-glaces (logiciels malveillants qui effacent les données), dont un nouveau qu’ESET a appelé SwiftSlicer, et les Gamaredon, Sednit et Dukes pour utiliser des e-mails de harponnage ( hameçonnage dirigé vers des cibles spécifiques).
Enfin, ESET a détecté que la plate-forme de messagerie Zimbra susmentionnée était également exploitée par le groupe Winter Vivern, particulièrement actif en Europe, et a constaté une réduction significative de l’activité du groupe SturgeonPhisher, qui se concentre normalement sur les responsables gouvernementaux des pays d’Asie centrale avec e-mails de harponnage, laissant croire à ESET que le groupe est actuellement en train de se réorganiser.
Les activités malveillantes des groupes de pirates décrites dans ce rapport d’activité APT ont été détectées par les produits ESET ; les informations partagées sont principalement basées sur la télémétrie propriétaire d’ESET et ont été vérifiées par ESET Research. Lire le rapport complet ici.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
