Lors de la conférence Security Analyst Summit, les experts de l’équipe Global Research and Analysis Team (GReAT) de Kaspersky ont présenté certaines études particulièrement passionnantes. Nous n’allons pas toutes les revoir en détail, mais nous souhaitons brièvement revenir sur les faits le plus intéressants.
Une plateforme pour le logiciel espion StripedFly
Ce pourrait être un roman policier. Ce programme malveillant avait d’abord été détecté comme un mineur de cryptomonnaie quelconque pour Monero alors qu’il s’agissait en réalité d’une couverture pour une menace modulaire complexe capable d’infecter les ordinateurs sous Windows et Linux. Plusieurs modules StripedFly peuvent voler des informations, prendre des captures d’écran, enregistrer des fichiers audios via le microphone et intercepter les mots de passe Wi-Fi. Pourtant, l’espionnage n’est pas sa seule utilité. Il possède aussi des modules qui lui permettent de fonctionner comme rançongiciel et comme mineur de cryptomonnaie.
Le plus intéressant est que cette menace peut se propager en utilisant l’exploit EthernalBlue, même si ce vecteur a été corrigé en 2017. De plus, StripedFly peut utiliser les clés et les mots de passe volés pour infecter les systèmes Linux et Windows qui ont un serveur SSH en service. Vous trouverez une étude détaillée ainsi que les indicateurs de compromission dans cet article publié sur notre blog Securelist.
Les détails de l’opération Triangulation
Un autre rapport présenté au Security Analyst Summit est celui relatif aux conclusions de l’enquête sur l’opération Triangulation dont nos employés, entre autres, ont été victimes. C’est grâce à une analyse détaillée de cette menace que nos experts ont pu détecter cinq vulnérabilités exploitées par cet acteur de menace dans le système iOS. Quatre d’entre elles (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 and CVE-2023-41990) étaient des vulnérabilités zero-day. Elles se trouvaient dans les appareils iPhone mais aussi iPod, iPad, macOS, Apple TV et Apple Watch. Il s’est avéré qu’en plus d’infecter les dispositifs via iMessage, les cybercriminels pouvaient attaquer le navigateur Safari. Nous vous invitons à lire cet article pour obtenir plus de détails et pour découvrir comment nos experts ont analysé cette menace.
Une nouvelle campagne de Lazarus
Le troisième rapport présenté par les experts GReAT se concentre sur les nouvelles attaques lancées par l’APT Lazarus. Ce groupe cible désormais les développeurs de programmes (dont certains qui ont été attaqués plusieurs fois) et utilise activement des attaques de la chaîne d’approvisionnement.
En exploitant les vulnérabilités de programmes légitimes utilisés pour chiffrer les communications sur le Web, Lazarus infecte le système et déploie un nouvel implant SIGNBT, dont la partie principale n’opère que dans la mémoire. Cet implant permet d’étudier la victime (afin d’obtenir les paramètres du réseau et les noms des processus et des utilisateurs) et de lancer d’autres charges malveillantes. Il télécharge notamment une version améliorée de la porte dérobée déjà connue LPEClient, qui s’exécute aussi dans la mémoire et qui, à son tour, lance un programme malveillant capable de voler les identifiants ou d’autres données. Vous trouverez les informations techniques relatives aux nouveaux outils du groupe APT Lazarus et leurs indicateurs de compromission sur notre blog Securelist.
L’attaque TetrisPhantom
De plus, nos experts ont fourni quelques détails sur l’attaque TetrisPhantom qui a visé les organismes publics de l’Asie-Pacifique. TetrisPhantom consiste à mettre en danger certains types de clés USB sécurisées qui assurent le chiffrement du matériel et qui souvent utilisées par les organismes publics. Alors qu’ils étudiaient cette menace, les experts ont identifié une campagne complète d’espionnage qui se servait de plusieurs modules malveillants pour exécuter des ordres, recueillir les fichiers et les informations des ordinateurs compromis et les transférer à d’autres machines qui utilisent aussi les clés USB sécurisées. Notre rapport trimestriel sur les menaces APT apporte plus de détails sur cette campagne.