En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Plus d’un millier de victimes d’une campagne APT de grande ampleur en Asie du Sud-Est

Publication: Août 2021

Partagez sur
 
Les experts de Kaspersky ont détecté une nouvelle menace persistante avancée (APT) déployée à grande échelle qui s’attaque à des utilisateurs basés en Asie du Sud-Est, principalement au Myanmar et aux Philippines...
 

Kaspersky a recensé une centaine de victimes au Myanmar et 1 400 aux Philippines, notamment des structures gouvernementales. L’infection initiale s’effectue par un e-mail de phishing contenant un document Word malveillant. Une fois téléchargé sur le système, le malware peut ensuite contaminer d’autres hôtes par l’intermédiaire de clés USB.

Les campagnes APT sont, par nature, hautement ciblées. Généralement, quelques dizaines d’utilisateurs seulement sont pris pour cible, le plus souvent avec une précision chirurgicale. Pourtant, Kaspersky a récemment détecté une campagne déployée à grande échelle en Asie du Sud-Est.

Surnommé LuminousMoth, ce malware se livre à des attaques de cyber-espionnage contre des structures gouvernementales depuis au moins octobre 2020. Focalisés dans un premier temps sur le Myanmar, les hackers se sont tournés depuis vers les Philippines. En général, ils s’introduisent dans le système grâce à un e-mail de phishing contenant un lien de téléchargement Dropbox. Lorsque l’on a cliqué dessus, le lien télécharge une archive RAR présentée sous forme de document Word qui propage la charge malveillante.

Une fois installé sur le système, le malware tente de contaminer d’autres hôtes en transitant par des clés USB. Si le malware en détecte une, il crée des répertoires cachés où il stocke tous les fichiers de la victime, ainsi que les fichiers exécutables malveillants.

Il dispose également de deux fonctions de post-exploitation qui peuvent servir à effectuer des mouvements latéraux. L’une d’entre elles est une version factice signée de Zoom, tandis que l’autre permet de dérober des cookies depuis le navigateur Chrome. Une fois installé sur un appareil, LuminousMoth s’emploie à exfiltrer les données jusqu’au serveur de commande et de contrôle (C2). Pour les cibles au Myanmar, les serveurs C2 étaient souvent des domaines imitant l’apparence de médias connus.

Selon les experts de Kaspersky, LuminousMoth pourrait être piloté par le groupe cybercriminel HoneyMyte, un acteur sinophone bien connu et établi de longue date (degré de certitude : moyen à élevé). Le principal objectif d’HoneyMyte est de réunir des informations de nature géopolitique et économique en Asie et en Afrique.

« Ce nouveau foyer infectieux pourrait bien confirmer une tendance récurrente en 2021 : des hackers sinophones qui modifient des malwares existants ou qui en conçoivent de nouveaux », commente Mark Lechtik, Senior Security Researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT).

« Il est rare d’assister à des attaques d’une telle ampleur. Il est également intéressant de noter qu’il y a eu beaucoup plus d’attaques aux Philippines qu’au Myanmar. Cela est peut-être lié à l’utilisation de clés USB qui favorisent la prolifération du malware, à moins qu’il y ait un autre vecteur d’infection aux Philippines dont nous n’avons pas encore connaissance », ajoute Aseel Kayal, Security Researcher au GReAT.

« Depuis un an, nous constatons un regain d’activité malveillante de la part d’acteurs sinophones, et nous n’avons probablement pas fini d’entendre parler de LuminousMoth. Sans compter que le groupe en question va certainement chercher à perfectionner son outil. Nous continuerons de surveiller de près tout développement ultérieur », souligne Paul Rascagneres, chercheur en cybersécurité senior au GReAT.

Pour en savoir davantage sur LuminousMoth, consulter Securelist.

Pour se protéger face aux campagnes APT telles que LuminousMoth, les experts de Kaspersky recommandent d’appliquer les mesures suivantes :

- Inculquer à votre personnel des principes de base en matière de cybersécurité, car beaucoup d’attaques ciblées sont exécutées à partir d’e-mails de phishing ou par des techniques d’ingénierie sociale.

- Conduire un audit de cybersécurité sur votre réseau et corriger toute faille détectée à l’intérieur ou dans le périmètre du réseau.

- Installer des solutions anti-APT et EDR, qui offrent des capacités de détection et de découverte des menaces, d’investigation et de traitement des incidents. Fournir aux opérateurs de SOC l’accès aux toutes dernières données en matière de menaces et leur dispenser des formations régulières pour les aider à actualiser leurs compétences. Toutes ces mesures sont intégrées dans la solution Kaspersky Expert Security.

- En plus d’une protection efficace des terminaux, certains produits ciblés peuvent aider à se prémunir contre les attaques de grande ampleur. La solution Kaspersky Managed Detection and Response permet d’anticiper et de bloquer les attaques avant que les cyberpirates n’atteignent leurs objectifs.

https://www.kaspersky.fr/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: