Posté le décembre 30, 2021 à 13:29
KASPERSKY DÉTECTE UN LOGICIEL D’ESPIONNAGE DE MASSE VISANT DES ORGANISATIONS MONDIALES
Des chercheurs ont découvert un nouveau logiciel malveillant appelé « PseudoManuscrypt ». Le logiciel malveillant a reçu ce nom en raison de ses caractéristiques similaires à celles du logiciel malveillant Lazarus Manuscrypt. Le logiciel malveillant récemment découvert a la capacité d’espionner les utilisateurs.
Le logiciel malveillant a ciblé des institutions gouvernementales et d’autres institutions privées dans différents secteurs.
Les chercheurs détectent un logiciel malveillant doté de capacités d’espionnage
Les cybercriminels concentrent généralement leurs techniques d’espionnage sur les organisations industrielles. Ces organisations sont ciblées à des fins financières et pour recueillir des renseignements qui pourront être utilisés pour des attaques ciblées à l’avenir.
En 2021, on a constaté une augmentation significative des organisations industrielles ciblées par des groupes APT reconnus, notamment APT41 et Lazarus. Récemment, un rapport de Kaspersky a détecté une nouvelle forme de logiciel malveillant présentant des caractéristiques similaires au logiciel malveillant personnalisé Lazarus Manuscrypt. Ce dernier est utilisé par le groupe de hackers Threat Needle pour lancer des campagnes visant le secteur militaire.
Entre le 20 janvier et le 10 novembre 2021, Kaspersky a noté que sa plateforme avait bloqué le PseudoManuscrypt sur plus de 35 000 appareils dans 195 pays. La plupart des appareils ciblés durant cette campagne appartenaient à des organismes industriels et gouvernementaux. Des organisations de recherche et des organismes militaires ont été ciblés pendant la campagne.
En outre, environ 7,2 % des ordinateurs ciblés étaient liés à des systèmes de contrôle industriel (ICS). Les organisations industrielles les plus touchées étaient l’ingénierie et l’automatisation des bâtiments.
Le logiciel malveillant PseudoManuscrypt est installé sur les systèmes des appareils ciblés par le biais d’un faux installateur de logiciels piratés. La plupart du temps, le logiciel installé est spécifique aux ICS.
Le cas le plus probable est que les faux installateurs sont accessibles via un service de logiciels malveillants (MaaS). Dans plusieurs cas, le logiciel malveillant a été déployé à l’aide du botnet Glupteba. Une fois l’appareil infecté, une chaîne d’infection est exécutée pour télécharger le module malveillant.
Les chercheurs de Kaspersky ont noté que deux variantes du module avaient été déployées, les deux ayant la capacité d’espionner les utilisateurs en enregistrant les frappes de clavier, en copiant les données du presse-papiers, en volant les détails d’authentification du VPN, en volant les données de connexion et en copiant les captures d’écran.
L’analyse médico-légale de ces attaques ne montre pas que les attaquants ont préféré certaines industries. Cependant, la mesure dans laquelle les hackers sont allés attaquer des sociétés d’ingénierie montre que l’objectif de l’attaque pourrait être l’espionnage industriel.
L’analyse des données montre en outre que certaines victimes de ce nouveau logiciel malveillant ont également été victimes de la campagne Lazarus. Les données obtenues lors de la violation sont envoyées aux serveurs des attaquants via un protocole unique par le biais d’une bibliothèque qui était initialement utilisée dans le logiciel malveillant APT41.
Le rapport de Kaspersky n’a pas attribué la campagne au groupe Lazarus ou à tout autre acteur de menaces APT. Vyacheslav Kopeytsev, un expert en sécurité de Kaspersky, a noté qu' »il s’agit d’une campagne très habituelle, et nous sommes encore en train de rassembler les différentes informations dont nous disposons. Cependant, un fait est clair : il s’agit d’une menace à laquelle les spécialistes doivent prêter attention. »
« Elle a pu se frayer un chemin jusqu’à des milliers d’ordinateurs ICS, dont de nombreuses grandes organisations. Nous allons poursuivre nos investigations, en tenant la communauté de la sécurité informée de toute nouvelle découverte », ajoute le chercheur.
Kaspersky propose plusieurs recommandations
Les chercheurs de Kaspersky ont donné plusieurs recommandations à ceux qui veulent se protéger de ce logiciel malveillant. Les chercheurs ont exhorté les organisations à installer des mécanismes de protection avancés sur leurs serveurs et leurs postes de travail.
En outre, les chercheurs ont également déclaré que les organisations doivent analyser tous les composants des terminaux de leur réseau et s’assurer qu’ils sont alimentés sur leurs systèmes. Ils exhortent également ces organisations à mettre en place une politique de travail qui exige un mot de passe administrateur du logiciel à désactiver.
En outre, ces organisations doivent également restreindre l’accès de leurs réseaux à des plateformes telles que les VPN. Le blocage des connexions de ces réseaux sur les ports qui ne sont pas nécessaires peut contribuer à renforcer la continuité du réseau et la sécurité.
Une autre recommandation pour garantir la sécurité consiste à utiliser un code intelligent pour le serveur comme étape d’authentification multifactorielle. Ce code sera utilisé lors de la connexion aux réseaux VPN. La formation des employés à la sécurité en ligne peut également renforcer la sécurité de l’entreprise, car elle garantit que les canaux de communication sont sécurisés.
Les employés doivent également être restreints à l’exécution de diverses fonctions en utilisant exclusivement un administrateur local ou un administrateur de domaine. L’utilisation de services de classe Managed Detection and Response peut également être utilisée pour accéder à un haut niveau de connaissances et aux services d’un personnel de sécurité expert.
Enfin, il est conseillé aux organisations d’employer une mesure de protection dédiée sur leurs systèmes d’atelier. Ces systèmes protégeront les terminaux de l’organisation et permettront au réseau OT de surveiller, d’identifier et de bloquer les activités malveillantes.