- Le rapport dédié à l’analyse des APT (Groupes d’attaquants alignés avec les intérêts d’États) couvre la période d’avril 2023 à septembre 2023.
- Une place importante est donnée dans ce rapport :
- À l’analyse des campagnes des groupes alignés avec les intérêts chinois opérant dans l’UE
- L’évolution de la cyberguerre de la Russie en Ukraine, du sabotage à l’espionnage.
- Divers groupes ont exploité des vulnérabilités logicielles : WinRAR, serveurs Microsoft Exchange et serveurs IIS.
- Parmi les groupes récemment découverts alignés avec les intérêts de la Chine, DigitalRecyclers a compromis à plusieurs reprises une organisation gouvernementale au sein de l’UE, TheWizards a mené des attaques Man in The Middle et PerplexedGoblin a ciblé une autre organisation gouvernementale au sein de l’UE.
ESET a publié son dernier rapport sur les activités de groupes d’attaquants qualifiés de persistants et avancées (APT). Le rapport couvre la période d’avril 2023 à fin septembre 2023, durant cet intervalle, nous pouvons en tirer quatre grands enseignements de ces analyses.
D’une part, les groupes alignés sur l’Iran et le Moyen-Orient ont maintenu un niveau d’activité élevé, se concentrant principalement sur l’espionnage et le vol de données d’organisations en Israël. Notamment, MuddyWater, aligné avec les intérêts de l’Iran, qui a ciblé une entité en Arabie saoudite, déployant une charge utile dont nous pensons qu’elle serve d’accès initial à un groupe plus avancé.
D’autre part, la principale cible des groupes alignés sur les intérêts de la Russie est demeurée l’Ukraine, où nous avons découvert de nouvelles versions des wipers (effaceurs de données) RoarBat, NikoWiper et un tout nouveau nommé SharpNikoWiper, tous furent déployés par Sandworm. D’autres groupes, tels que Gamaredon, GREF et SturgeonPhisher, ciblent des utilisateurs Telegram pour tenter d’exfiltrer des informations, ou au moins certaines métadonnées de leur Telegram. Ce media est d’ailleurs activement utilisé par Sandworm pour promouvoir ses opérations de cybersabotage. Toutefois, le groupe le plus actif en Ukraine est Gamaredon, qui a considérablement amélioré ses capacités de collecte de données en redéveloppant les outils existants et en en déployant de nouveaux.
Le rapport couvre également les groupes alignés avec les intérêts de la Corée du Nord. Ceux-ci ont continué de se concentrer sur le Japon, la Corée du Sud et les entités alignés avec la Corée du Sud, en utilisant des e-mails de spear phishing soigneusement conçus. L’opération la plus notable du groupe Lazarus a été l’opération DreamJob, attirant ces cibles avec de fausses offres d’emploi pour des postes.
Enfin, nos chercheurs ont découvert les opérations de trois groupes alignés avec les intérêts de la Chine qui n’avaient pas été auparavant identifiés: DigitalRecyclers, qui a compromis à plusieurs reprises une organisation gouvernementale au sein de l’UE ; TheWizards, qui mènent des attaques de type Man In the Middle ; et PerplexedGoblin, ciblant une autre organisation gouvernementale au sein de l’UE.
Pour plus d’informations techniques, consultez le rapport d’activité complet d’ESET APT sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter (maintenant connu sous le nom de X) pour les dernières nouvelles d’ESET Research.