Se connecter
Inscription
Mot de passe perdu
Rapport ESET APT : les groupes liés à la Chine ciblent l'UE ; l'Ukraine cible privilégiée pour les groupes liés à la Russie
Publié le 30/10/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● Le nouveau rapport APT comprend les activités, d'avril 2023 à septembre 2023, de groupes APT sélectionnés.
● Il met en évidence les campagnes en cours contre l'UE menées par des groupes liés à la Chine et l'évolution de la cyberguerre russe en Ukraine, du sabotage à l'espionnage.
● Divers groupes exploitent les vulnérabilités de WinRAR, des serveurs Microsoft Exchange et des serveurs IIS.
● L’Ukraine reste la principale cible des groupes liés à la Russie ; les utilisateurs de Telegram sont devenus une cible pour la collecte de données.
● Parmi les nouveaux groupes liés à la Chine, DigitalRecyclers a compromis plusieurs fois une organisation gouvernementale européenne; TheWizards a mené des attaques de type “adversary-in-the-middle” et PerplexedGoblin a ciblé une autre organisation gouvernementale de l'UE.
BRATISLAVA, le 26 octobre 2023 — ESET publie son nouveau rapport sur les activités de certains groupes de menaces persistantes avancées (APT-Advanced Persistant Threats) observées, étudiées et analysées par ses chercheurs entre avril 2023 et fin septembre 2023. L'équipe de recherche a observé plusieurs groupes APT exploitant des vulnérabilités connues pour exfiltrer des données d'agences gouvernementales ou d'organisations associées. Le rapport étudie les campagnes en cours des groupes liés à la Chine dans l'Union européenne et l'évolution de la cyberguerre russe en Ukraine, passant du sabotage à l'espionnage.
Sednit et Sandworm, liés à la Russie, Konni, lié à la Corée du Nord, ainsi que Winter Vivern et SturgeonPhisher, sans attributions géographiques, ont eu l'opportunité d'exploiter les vulnérabilités de WinRAR (Sednit, SturgeonPhisher et Konni), de Roundcube (Sednit et Winter Vivern) et de Zimbra (Winter Vivern). Outlook pour Windows (Sednit) ciblait diverses organisations gouvernementales, pas qu’en Ukraine mais aussi en Europe et en Asie centrale. Au niveau des acteurs alignés sur la Chine, GALLIUM a probablement exploité les faiblesses des serveurs Microsoft Exchange ou IIS, pour étendre ses cibles des opérateurs télécom aux organisations gouvernementales partout dans le monde. MirrorFace a probablement exploité des faiblesses dans le service de stockage en ligne Proself et TA410 a probablement exploité celles du serveur d’applis ColdFusion d’ADOBE.
Les groupes liés à l’Iran et au Moyen-Orient ont continué à opérer à grande échelle, se concentrant principalement sur l’espionnage et le vol de données d’organisations israéliennes. Muddy Water, lié à l'Iran, a également ciblé une entité non identifiée en Arabie Saoudite. Une charge a été déployée suggérant que ce groupe pourrait servir d'installateur d'accès à un groupe encore plus avancé.
La cible principale des groupes liés à la Russie reste l'Ukraine, où on a découvert de nouvelles versions des célèbres wipers RoarBat et NikoWiper ainsi qu'un nouveau wiper appelé SharpNikoWiper, tous déployés par Sandworm. Fait intéressant, alors que d'autres groupes – tels que Gamaredon, GREF et SturgeonPhisher – ciblent les utilisateurs de Telegram pour tenter d'exfiltrer des informations, ou au moins certaines métadonnées liées à Telegram, ce service est activement utilisé par Sandworm à des fins de mesure ainsi que pour faire de la publicité pour son cyber-sabotage. Gamaredon reste le groupe le plus actif en Ukraine et a considérablement amélioré ses capacités de collecte de données en repensant les outils existants et en en déployant de nouveaux.
Les groupes liés à la Corée du Nord ont continué à se concentrer sur le Japon, la Corée du Sud et les entités liées à la Corée du Sud. Ils ont utilisé des e-mails de spearphishing très bien conçus. Le projet Lazarus le plus actif observé était Opération DreamJob, attirant des cibles avec de fausses offres d’emplois lucratifs. Le groupe a illustré sa capacité à créer des maliciels pour toutes les principales plates-formes informatiques.
De plus, les chercheurs ont découvert les activités de trois groupes, jusqu'alors inconnus, liés à la Chine: DigitalRecyclers, qui a compromis à plusieurs reprises une organisation gouvernementale dans l'UE ; TheWizards, qui effectue des attaques de type “adversary-in-the-middle” ; PerplexedGoblin, qui ciblait une autre organisation gouvernementale de l'UE.
Les rapports ESET APT ne contiennent qu'une fraction des informations de cyber-sécurité fournies aux clients dans ses rapports APT privés. Les chercheurs d'ESET produisent des rapports techniques approfondis et des mises à jour fréquentes détaillant les activités de groupes APT spécifiques, tels que les rapports ESET APT PREMIUM, afin d’aider les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs précieux contre les attaques des criminels et des états. Les descriptions détaillées des actions présentées dans ces documents n'étaient auparavant fournies qu'aux clients premium d'ESET. Plus d'informations sur les rapports ESET APT PREMIUM, qui fournissent des informations de haute qualité, stratégiques, utilisables et tactiques sur la cyber-sécurité, sont disponibles sur le site ESET Threat Intelligence.
Pour plus d'informations techniques, consultez le rapport complet d'ESET APT sur www.welivesecurity.com. Suivez également ESET Research sur Twitter (maintenant connu sous le nom de X) ESET Research on Twitter pour les dernières nouvelles concernant ESET Research.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
● Il met en évidence les campagnes en cours contre l'UE menées par des groupes liés à la Chine et l'évolution de la cyberguerre russe en Ukraine, du sabotage à l'espionnage.
● Divers groupes exploitent les vulnérabilités de WinRAR, des serveurs Microsoft Exchange et des serveurs IIS.
● L’Ukraine reste la principale cible des groupes liés à la Russie ; les utilisateurs de Telegram sont devenus une cible pour la collecte de données.
● Parmi les nouveaux groupes liés à la Chine, DigitalRecyclers a compromis plusieurs fois une organisation gouvernementale européenne; TheWizards a mené des attaques de type “adversary-in-the-middle” et PerplexedGoblin a ciblé une autre organisation gouvernementale de l'UE.
BRATISLAVA, le 26 octobre 2023 — ESET publie son nouveau rapport sur les activités de certains groupes de menaces persistantes avancées (APT-Advanced Persistant Threats) observées, étudiées et analysées par ses chercheurs entre avril 2023 et fin septembre 2023. L'équipe de recherche a observé plusieurs groupes APT exploitant des vulnérabilités connues pour exfiltrer des données d'agences gouvernementales ou d'organisations associées. Le rapport étudie les campagnes en cours des groupes liés à la Chine dans l'Union européenne et l'évolution de la cyberguerre russe en Ukraine, passant du sabotage à l'espionnage.
Sednit et Sandworm, liés à la Russie, Konni, lié à la Corée du Nord, ainsi que Winter Vivern et SturgeonPhisher, sans attributions géographiques, ont eu l'opportunité d'exploiter les vulnérabilités de WinRAR (Sednit, SturgeonPhisher et Konni), de Roundcube (Sednit et Winter Vivern) et de Zimbra (Winter Vivern). Outlook pour Windows (Sednit) ciblait diverses organisations gouvernementales, pas qu’en Ukraine mais aussi en Europe et en Asie centrale. Au niveau des acteurs alignés sur la Chine, GALLIUM a probablement exploité les faiblesses des serveurs Microsoft Exchange ou IIS, pour étendre ses cibles des opérateurs télécom aux organisations gouvernementales partout dans le monde. MirrorFace a probablement exploité des faiblesses dans le service de stockage en ligne Proself et TA410 a probablement exploité celles du serveur d’applis ColdFusion d’ADOBE.
Les groupes liés à l’Iran et au Moyen-Orient ont continué à opérer à grande échelle, se concentrant principalement sur l’espionnage et le vol de données d’organisations israéliennes. Muddy Water, lié à l'Iran, a également ciblé une entité non identifiée en Arabie Saoudite. Une charge a été déployée suggérant que ce groupe pourrait servir d'installateur d'accès à un groupe encore plus avancé.
La cible principale des groupes liés à la Russie reste l'Ukraine, où on a découvert de nouvelles versions des célèbres wipers RoarBat et NikoWiper ainsi qu'un nouveau wiper appelé SharpNikoWiper, tous déployés par Sandworm. Fait intéressant, alors que d'autres groupes – tels que Gamaredon, GREF et SturgeonPhisher – ciblent les utilisateurs de Telegram pour tenter d'exfiltrer des informations, ou au moins certaines métadonnées liées à Telegram, ce service est activement utilisé par Sandworm à des fins de mesure ainsi que pour faire de la publicité pour son cyber-sabotage. Gamaredon reste le groupe le plus actif en Ukraine et a considérablement amélioré ses capacités de collecte de données en repensant les outils existants et en en déployant de nouveaux.
Les groupes liés à la Corée du Nord ont continué à se concentrer sur le Japon, la Corée du Sud et les entités liées à la Corée du Sud. Ils ont utilisé des e-mails de spearphishing très bien conçus. Le projet Lazarus le plus actif observé était Opération DreamJob, attirant des cibles avec de fausses offres d’emplois lucratifs. Le groupe a illustré sa capacité à créer des maliciels pour toutes les principales plates-formes informatiques.
De plus, les chercheurs ont découvert les activités de trois groupes, jusqu'alors inconnus, liés à la Chine: DigitalRecyclers, qui a compromis à plusieurs reprises une organisation gouvernementale dans l'UE ; TheWizards, qui effectue des attaques de type “adversary-in-the-middle” ; PerplexedGoblin, qui ciblait une autre organisation gouvernementale de l'UE.
Les rapports ESET APT ne contiennent qu'une fraction des informations de cyber-sécurité fournies aux clients dans ses rapports APT privés. Les chercheurs d'ESET produisent des rapports techniques approfondis et des mises à jour fréquentes détaillant les activités de groupes APT spécifiques, tels que les rapports ESET APT PREMIUM, afin d’aider les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs précieux contre les attaques des criminels et des états. Les descriptions détaillées des actions présentées dans ces documents n'étaient auparavant fournies qu'aux clients premium d'ESET. Plus d'informations sur les rapports ESET APT PREMIUM, qui fournissent des informations de haute qualité, stratégiques, utilisables et tactiques sur la cyber-sécurité, sont disponibles sur le site ESET Threat Intelligence.
Pour plus d'informations techniques, consultez le rapport complet d'ESET APT sur www.welivesecurity.com. Suivez également ESET Research sur Twitter (maintenant connu sous le nom de X) ESET Research on Twitter pour les dernières nouvelles concernant ESET Research.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Liens associés
29/04/2024 @ 09:18:21
Poster un commentaire
Musique
Jeux Vidéos
Navigateurs
Social
