- ESET a publié son rapport détaillant les activités d’une sélection de groupes d’attaquants avancés (APT) couvrant le quatrième trimestre 2022 et le premier trimestre 2023.
- Les groupes Ke3chang et Mustang Panda aligné avec les intérêts Chinois se sont concentrés sur des organisations européennes.
- Les groupes alignés à la Corée du Nord ont continué de se concentrer sur des entités sud-coréennes ou liées à la Corée du Sud.
- Lazarus a ciblé les salariés d’une entreprise de défense en Pologne avec une fausse offre d’emploi de la part de Boeing, et s’est également détourné de ses cibles habituelles pour s’intéresser à une entreprise de gestion de données en Inde.
- Les similitudes avec un malware Linux de Lazarus récemment découvert corroborent la théorie selon laquelle le groupe affilié à la Corée du Nord est à l’origine de l’attaque contre la chaîne d’approvisionnement de 3CX.
- Les groupes affiliés à la Russie ont été particulièrement actifs en Ukraine et dans les pays de l’UE.
- Les wipers (malwares d’effacement de données) déployés par Sandworm (dont un tout nouveau que nous avons nommé SwiftSlicer).
ESET a publié son rapport sur les activités des groupes d’attaquants avancés (APT) sur la période d’octobre 2022 à la fin du mois de mars 2023. Au cours de cette période, plusieurs groupes de pirates alignés avec la Chine, tels que Ke3chang et Mustang Panda, se sont concentrés sur des organisations européennes. En Israël, le groupe OilRig aligné avec l’Iran a déployé une nouvelle porte dérobée personnalisée. Les groupes alignés avec la Corée du Nord ont continué de se concentrer sur des entités sud-coréennes ou liées à la Corée du Sud. Les groupes alignés avec la Russie ont été particulièrement actifs en Ukraine et dans les pays de l’UE, notamment Sandworm déployant des wipers.
Les activités malveillantes décrites dans le rapport d’ESET sont détectées par la technologie ESET. « Les produits ESET protègent les systèmes de nos clients contre les activités malveillantes décrites dans ce rapport. Les informations partagées ici sont principalement issues des données propriétaires de la télémétrie d’ESET, et ont été vérifiées par les chercheurs d’ESET, » déclare Jean-Ian Boutin, Director Threat Research chez ESET.
Le groupe Ke3chang a déployé une nouvelle variante de Ketrican, et Mustang Panda a utilisé deux nouvelles portes dérobées. MirrorFace a ciblé le Japon et mis en œuvre de nouvelles méthodes de diffusion de malwares, tandis que la campagne ChattyGoblin a compromis une société de jeux aux Philippines en ciblant ses agents d’assistance. Les groupes SideWinder et Donot Team alignés avec l’Inde ont continué de cibler des institutions gouvernementales en Asie du Sud, le premier en visant le secteur de l’éducation en Chine, et le second en continuant de développer son fameux framework yty, mais en déployant également l’outil commercial d’accès à distance Remcos. Toujours en Asie du Sud, ESET Research a détecté un grand nombre de tentatives d’hameçonnage sur le webmail Zimbra.
En plus de cibler les salariés d’une entreprise de défense en Pologne avec une fausse offre d’emploi émanant de Boeing, le groupe Lazarus affilié s’est également détourné de ses cibles habituelles pour se concentrer sur une entreprise de gestion de données en Inde, en utilisant un leurre semblant provenir d’Accenture. ESET a par ailleurs identifié un malware Linux utilisé dans l’une de ses campagnes. Les similitudes avec un malware récemment découvert corroborent la théorie selon laquelle le groupe est à l’origine de l’attaque contre la chaîne d’approvisionnement de 3CX.
Les groupes alignés avec la Russie ont été particulièrement actifs en Ukraine et dans les pays de l’UE, dont Sandworm déployant des wipers (ESET a nommé SwiftSlicer, un wiper alors inconnu) et Gamaredon, Sednit et Dukes utilisant des emails d’hameçonnage, qui dans le cas de Dukes ont détourné l’outil utilisé par les Red Team, Brute Ratel. Enfin, ESET a détecté que la plateforme de messagerie Zimbra mentionnée précédemment a également été exploitée par Winter Vivern, un groupe particulièrement actif en Europe. Les chercheurs ont noté une baisse significative de l’activité de SturgeonPhisher, un groupe ciblant des fonctionnaires de pays d’Asie centrale avec des emails d’hameçonnage, ce qui nous amène à penser que le groupe est actuellement en train de se rééquiper.