L’éditeur Eset réalise une étude récurrente sur l’activité des Advanced Persistant Thread -APT-. La dernière édition dénote sans surprise une activité toujours plus nocive des groupes de cybercriminels.

Couvrant la période de mai à août 2022, le dernier rapport publié par les équipes d’Eset Research détaille les activités des groupes de hackers affiliés à la Russie, la Corée du Nord, l’Iran et la Chine.

Premier constat, sans surprise, l’Ukraine reste une cible privilégiée de groupes d’attaquants affiliés à la Russie. Le rapport cite les groupes Sandworm, Gamaredon, InvisiMole, Callisto et Turla. « Nous avons remarqué qu’au second trimestre 2022, plusieurs groupes affiliés à la Russie ont utilisé le service de messagerie Telegram pour accéder à des serveurs de commande et de contrôle, ou comme instrument de fuite d’informations. Des pirates d’autres régions ont également essayé d’accéder à des organisations ukrainiennes, à des fins de cyberespionnage et de vol de propriété intellectuelle », explique Jean-Ian Boutin, directeur d’Eset Threat Research, dans ce rapport.

Dans un registre plus global, l’étude ne constate pas de déclin de l’activité des cybercriminels affiliés à la Russie, la Chine, l’Iran et la Corée du Nord.

L’analyse des groupes liées à la Corée du Nord souligne l’activité de ces derniers dans l’attaque des industries de l’aérospatiale, de la défense, dans la finance et sur les cryptomonnaies.
Eset Research illustre cette tendance avec en particulier le groupe Lazarus (réputé très lié à la Corée du Nord) « qui a ciblé un employé d’une entreprise aérospatiale aux Pays-Bas. D’après nos recherches, le groupe a exploité une vulnérabilité dans un pilote Dell légitime pour s’infiltrer dans l’entreprise, et nous pensons qu’il s’agit de la toute première exploitation de cette vulnérabilité en conditions réelles », détaille Jean-Ian Boutin.
Ces derniers temps, Lazarus s’est montré très actif contre les porteurs de cryptomonnaies asiatiques (notamment en Bitcoin, Monero et plus récemment Harmony).
Les institutions financières et les entités utilisant des cryptomonnaies ont aussi été visées par le groupe Kimsuky, lui aussi sponsorisé par la Corée du Nord.

Très actifs, les groupes attaquant pour la Chine ont exploité différentes vulnérabilités et portes dérobées non signalées auparavant. Eset a identifié une variante Linux d’une porte dérobée utilisée par SparklingGoblin contre une université de Hong Kong. Le même groupe a exploité des vulnérabilités dans d’autres systèmes ainsi qu’une vulnérabilité de Confluence pour cibler une entreprise de fabrication de produits alimentaires en Allemagne et une société d’ingénierie aux États-Unis.

De leur côté, ceux affiliés à l’Iran sont de plus en plus nombreux et s’attaquent principalement aux organisations israéliennes. Les chercheurs ont pu attribuer au groupe Polonium une campagne visant une douzaine d’organisations en Israël, et ont pu identifier plusieurs portes dérobées non documentées auparavant. Les organisations de l’industrie du diamant ou liées à cette industrie en Afrique du Sud, à Hong Kong et en Israël, ont été ciblées par Agrius via une attaque sur leur chaîne d’approvisionnement grâce au détournement d’une suite logicielle israélienne utilisée dans ce secteur.

Eset Research a également découvert une nouvelle version d’un malware Android dans une campagne menée par le groupe APT-C-50, preuve que les mobiles restent toujours une cible des cyberattaquants.

 

À lire également :

En 2022, 4 entreprises américaines sur 5 ont fait jouer leur cyberassurance

WithSecure veut renforcer les sécurités de OneDrive

3 mythes sur la reprise d’activité après sinistre

Il est urgent que les entreprises renforcent leur sécurité SaaS

Cybersécurité : échouer parfois pour réussir mieux et ensemble