Logo Trellix
Présentation de Trellix (vidéo)
Présentation de Trellix

Une plate-forme de sécurité évolutive, qui apprend et s'adapte en permanence.

Magic Quadrant de Gartner pour les plates-formes de protection des terminaux
MQ Gartner (terminaux)

Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 19 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.

Guide Gartner du marché des plates-formes XDR
Rapport Gartner® : Guide du marché des plates-formes XDR

Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».

Rapport sur le paysage des menaces – Été 2022
Dernier rapport

Notre rapport sur le paysage des menaces de l'été 2022 s'intéresse à l'évolution de la cybercriminalité russe, présente les résultats de nos recherches sur les dispositifs médicaux et les systèmes de contrôle d'accès, et analyse les tendances en matière de sécurité e-mail.

Failles critiques dans un système de contrôle d'accès aux bâtiments répandu
Failles critiques dans un système de contrôle d'accès aux bâtiments répandu

Lors de la conférence Hardwear.io 2022, les chercheurs de Trellix ont divulgué 8 vulnérabilités zero-day dans les panneaux de contrôle d'accès d'HID Global Mercury, qui leur ont permis de déverrouiller et de verrouiller des portes à distance, de modifier et de configurer les comptes utilisateur et d'échapper à la détection des logiciels de gestion.

CEO de Trellix
L'avis de notre CEO sur la sécurité évolutive

Bryan Palma, CEO de Trellix, explique qu'une sécurité qui apprend et évolue en permanence est aujourd'hui indispensable.

Présentation de Trellix (vidéo)
Présentation de Trellix

Une plate-forme de sécurité évolutive, qui apprend et s'adapte en permanence.

Rapport Trellix Threat Labs : Avril 2022

Aperçu des recherches sur les menaces du 4e trimestre 2021 ainsi que des récentes découvertes de Trellix Threat Labs

Le 4e trimestre 2021 a été marqué par le recul d'une pandémie longue de deux ans, au cours de laquelle les cybercriminels ont profité des opportunités créées par le télétravail et par l'émergence de Log4Shell, la mauvaise surprise de fin d'année. Au cours du 1er trimestre 2022, les regards se sont tournés vers les campagnes exploitant des cybermenaces contre l'infrastructure ukrainienne dans le contexte du conflit eurasien. Le dernier rapport Trellix Threat Labs inclut nos observations pour le 4e trimestre 2021, l'identification d'une campagne de cyberespionnage en plusieurs phases visant de hauts fonctionnaires, ainsi que notre récente analyse des cyberattaques lancées contre l'Ukraine et du tout récent HermeticWiper pendant le 1er trimestre 2022.

Lettre de notre analyste en chef

Bienvenue dans notre nouveau rapport sur le paysage des menaces.

À la lumière de ces premiers mois, le moins que l'on puisse dire, c'est que l'année a commencé en force. Alors que nous sortons lentement de la pandémie, les incertitudes à propos des récents conflits en Eurasie dominent notre quotidien et nos conversations.

Avant toute chose, Trellix est partisan de la paix. Quelles que soient les parties impliquées dans tout conflit, notre mission est de protéger nos clients et de respecter le droit international. À l'heure de la préparation de ce rapport, nous poursuivons nos recherches et maintenons notre vigilance. Par exemple, le groupe Lapsus$ s'en est pris aux grandes multinationales en ciblant tout particulièrement dans un premier temps des victimes sud-américaines et en divulguant des données sensibles, dont du code source et des certificats.

Nous avons observé plusieurs cas d'exploitation de ces certificats. Ces derniers sont par exemple utilisés pour signer des fichiers binaires malveillants dans l'intention de contourner les mécanismes de protection des systèmes d'exploitation et des produits de sécurité. Des informations complémentaires sur ce groupe, leur dernière compromission et les contre-mesures possibles sont disponibles ici.

Le rapport actuel, le deuxième depuis le lancement de notre nouvelle société, s'intéresse également aux événements (cyber) qui ont fait la une de l'actualité. Des attaques contre l'infrastructure ukrainienne au malware HermeticWiper, conçu pour détruire le secteur de démarrage de n'importe quelle machine infectée, la cybersécurité est au centre de toutes les préoccupations en ce début d'année. Ce rapport revient aussi sur le 4e trimestre 2021, marqué par la vulnérabilité Log4shell et son impact sur des centaines de millions de terminaux, et beaucoup se demandent ce que nous réserve l'année en cours.

Cela fait des années que l'équipe Trellix Threat Labs est l'un des fers de lance de la recherche sur les ransomwares. Suite à notre collaboration avec le secteur public, nous sommes heureux d'annoncer les arrestations de plusieurs membres d'un groupe spécialisé en ransomware et le démantèlement de ses opérations en décembre 2021. Les récentes publications des conversations du groupe de ransomware Conti et du groupe à l'origine du malware Trickbot ont révélé tout le professionnalisme dont font preuve ces cybercriminels pour mener leurs campagnes. Cela prouve combien nous avons besoin d'une réponse unifiée des secteurs privé et public pour déjouer ces attaques.

Par ailleurs, n'hésitez pas à consulter le blog de Trellix Threat Labs, qui propose des informations à jour sur les menaces, des vidéos et des liens vers le bulletin de sécurité.

Ce rapport met également en lumière d'autres menaces et attaques prévalentes observées.

— Christiaan Beek
Analyste principal

Cyberattaques contre l'Ukraine et HermeticWiper

L'équipe Trellix a étudié l'activité des effaceurs déployés en Ukraine, et son analyse laisse penser qu'il existe vraisemblablement une relation entre Whispergate et le tout récent HermeticWiper.

Vous pouvez découvrir d'autres informations sur notre analyse et les renseignements recueillis sur les activités de ces menaces en Ukraine.

Étapes recommandées pour empêcher l'accès initial

Les entreprises devraient passer en revue les tactiques, techniques et procédures (TTP) d'accès initial associées aux activités russes pour protéger leur environnement contre toute infiltration de façon proactive.

  • Attaques de phishing/spearphishing utilisant des URL abrégées de domaines malveillants.
  • Surveillance des tentatives d'attaque en force destinées à identifier des identifiants de compte et des comptes Microsoft 365 valides.
  • Activation de l'authentification multifacteur (MFA) pour tous les utilisateurs, sans exception.
  • Exploitation de systèmes accessibles au public – l'agence CISA établit une liste complète des vulnérabilités CVE connues pour être exploitées.
  • Désactivation de tous les ports et protocoles non essentiels, surtout ceux associés aux services distants.
  • Traque et blocage des outils à code source libre sans rapport avec les activités métier et utilisés dans des attaques antérieures : UltraVNC, AdvancedRun, wget et impacket.

D'autres groupes et campagnes malveillantes ciblent également l'Ukraine :

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

Attaques DDoS

Gamaredon APT

GlowSpark

IsaacWiper

NOBELIUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

Attaques DDoS

Gamaredon APT

GlowSpark

IsaacWiper

NOBEpUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

Visitez notre Centre sur les menaces Trellix pour découvrir les menaces émergentes et garder une longueur d'avance sur celles-ci, y compris HermeticWiper.

Découverte d'une nouvelle campagne présumée du groupe APT DarkHotel par Trellix Threat Labs

En mars, Trellix a découvert la première phase d'une campagne malveillante qui ciblait des hôtels de luxe à Macao, en Chine, depuis la seconde quinzaine de novembre 2021. L'attaque a commencé par un e-mail de spearphishing adressé à divers membres de l'équipe de direction de l'hôtel — par exemple le directeur RH, le directeur adjoint et le chef de la réception. À la lumière des postes visés, on peut en déduire que les personnes ciblées disposent d'un accès suffisant au réseau de l'hôtel, y compris les systèmes de réservation. L'attaque se déroule comme suit :

  • L'e-mail de spearphishing contient en pièce jointe une feuille Excel. La victime est invitée à ouvrir le fichier et à activer les macros malveillantes incorporées.
  • Ces macros activent une série de mécanismes décrits dans la partie Analyse technique et présentés dans le déroulement de l'infection ci-dessous.
  • Pour commencer, les macros créent une tâche planifiée pour effectuer la reconnaissance, répertorier les données et les exfiltrer.
  • Ensuite, pour établir la communication avec le serveur C&C (Command and Control) utilisé pour exfiltrer les données des victimes, les macros utilisent une technique LOLBAS (Living Off the Land Binaries and Scripts) ; ce faisant, ils exécutent des lignes de commande PowerShell en tant que script approuvé.

Lisez notre article de blog pour plus d'informations sur le groupe APT DarkHotel, l'attribution de la menace, la campagne et l'analyse technique de l'attaque.

Darkhotel Attack Flow Diagram

Identification d'une compromission du cabinet du Premier ministre par Trellix Threat Labs

En janvier, notre équipe a annoncé avoir identifié une campagne de cyberespionnage en plusieurs phases visant de hauts fonctionnaires responsables de la politique de sécurité nationale, ainsi que des acteurs du secteur de la défense en Asie occidentale. Trellix a veillé à informer au préalable les victimes et leur a fourni toutes les informations utiles en vue d'éliminer tous les composants malveillants connus de leurs environnements.

L'analyse du déroulement global de l'attaque a révélé que celle-ci commence par l'exécution d'un fichier Excel contenant un exploit de la vulnérabilité d'exécution de code à distance dans MSHTML (CVE-2021-40444). Celui-ci sert à exécuter un fichier DLL malveillant utilisé comme téléchargeur pour le malware de la 3e étape de l'attaque, que nous appelons Graphite. Graphite est un échantillon de malware récemment découvert. Basé sur un stager OneDrive Empire, il se sert de comptes OneDrive comme serveur de commande et contrôle (C&C) via l'API Microsoft Graph.

Les dernières phases de cette attaque en plusieurs étapes (associée selon nous à une opération APT) comprennent l'exécution de plusieurs stagers Empire. Leur mission est de télécharger un agent Empire sur les ordinateurs des victimes et à faire en sorte que le serveur C&C prenne le contrôle à distance des systèmes.

Le schéma suivant présente le déroulement global de cette attaque.

Prime Minister's Office Comprimise Attack Flow Diagram

Lisez notre article de blog pour une analyse plus approfondie, dont les différentes phases, l'infrastructure et l'attribution.

Méthodologie

Les systèmes principaux de Trellix fournissent les données télémétriques que nous utilisons pour préparer nos rapports trimestriels sur le paysage des menaces. Nous combinons nos données télémétriques à celles de diverses sources de données publiques ainsi que nos propres investigations sur des menaces prévalentes telles que les ransomwares, les campagnes de groupes étatiques, etc.

Par télémétrie, nous entendons les données relatives aux détections, pas aux infections. Il s'agit des détections de fichiers, d'URL, d'adresses IP ou d'autres indicateurs par l'un de nos produits qui nous sont ensuite rapportées.

La confidentialité des informations de nos clients est capitale. Elle est également importante en matière de données télémétriques et de cartographie des secteurs et des pays de nos clients. Comme notre base clients varie selon les pays, les chiffres pourraient indiquer des augmentations qui peuvent s'expliquer par d'autres facteurs, exigeant une analyse plus approfondie. Le secteur des télécommunications, par exemple, affiche toujours des scores élevés. Cela ne signifie pas nécessairement que ce secteur est très ciblé. Le secteur des télécommunications inclut aussi des FAI qui possèdent des espaces d'adresses IP vendues à des sociétés. Qu'est-ce que cela signifie ? Les soumissions provenant de l'espace d'adresses IP du FAI sont attribuées au secteur des télécommunications, mais peuvent provenir en réalité de ses clients, lesquels opèrent dans un autre secteur.

Ransomwares

Au cours du dernier trimestre 2021, le paysage des ransomwares a évolué. Au lieu des attaques de grande envergure décrites dans le précédent rapport, les groupes de ransomware ont dû se trouver une nouvelle base clandestine et les forces de police ont commencé à démanteler plusieurs groupes connus. L'un d'entre eux, REvil/Sodinokibi, faisait toujours partie des toutes premières familles de ransomwares au 3e trimestre. Mais REvil a fini par disparaître après un démantèlement coordonné de son infrastructure, des dissensions internes et l'arrestation de plusieurs membres. Trellix est fier d'avoir participé à l'enquête sur REvil en effectuant l'analyse du malware, en localisant la principale infrastructure et en identifiant plusieurs suspects.

Les ransomwares Lockbit, Cuba et Conti occupaient les trois premières places du classement au 4e trimestre 2021. Nous pensons que les membres restants du groupe REvil ont trouvé un nouveau refuge avec ces familles de ransomwares.

Alors que nous terminons à peine de préparer ce rapport, le paysage a encore changé. Conti, devenu l'une des plus grandes familles de ransomwares, a vu des milliers de conversations internes publiées sur Internet, dévoilant leurs rouages. Nous avons baptisé ces fuites les « Panama Papers du ransomware » et nous y reviendrons plus en détail dans notre prochain rapport trimestriel.

Pour aider les entreprises à mieux comprendre les attaques par ransomware et à s'en protéger dans le paysage actuel des menaces, l'équipe Threat Labs présente ses observations et les conclusions de ses recherches sur la prévalence d'un large éventail de ransomwares, y compris les familles, les techniques, les pays, les secteurs et les vecteurs concernés pour le 4e trimestre 2021.

289 %

Augmentation dans la catégorie Médias et communications entre les 3e et 4e trimestres 2021.

61

Les détections de ransomwares parmi les clients basés aux États-Unis ont diminué entre les 3e et 4e trimestres 2021.

Techniques MITRE ATT&CK de ransomware les plus souvent rapportées

1.

Chiffrement de données à des fins d'impact

2.

File and Directory Discovery

3.

Obfuscated Files or Information

4.

Process Discovery

5.

Process Injection

Détections par famille de ransomwares

LockBit

Cuba

Conti

Ryuk

BlackMatter

T3

4 %

8 %

6,7 %

7 %

S.O.

T4

23 %

19 %

17 %

11 %

7 %

T3

T4

LockBit

4 %

23 %

Cuba

8 %

19 %

Conti

6,7 %

17 %

Ryuk

7 %

11 %

BlackMatter

S.O.

7 %

Activités des États-nations

L'équipe assure un suivi et une surveillance des campagnes lancées par des États, ainsi que des indicateurs et techniques qui leur sont associés. Les recherches de notre équipe portent sur les cybercriminels, leurs outils, les pays et les secteurs des clients ciblés ainsi que les techniques MITRE ATT&CK du 4e trimestre 2021. Toutes les données relatives à ces événements, y compris les indicateurs, les règles YARA ainsi que la logique de détection sont disponibles dans Insights.

Techniques MITRE ATT&CK utilisées par les États les plus souvent signalées

1.

PowerShell

2.

Scheduled Task

3.

Obfuscated Files or Information

4.

Windows

5.

Web Protocols

95

Cobalt Strike est l'outil le plus utilisé par les groupes étatiques au 4e trimestre 2021.

30

APT 29 est le premier groupe à la solde d'États au 4e trimestre 2021, soit une hausse de 35 % par rapport au trimestre précédent.

26

Les activités d'États-nations en Turquie représentent près de 26 % du nombre total de détections au 4e trimestre 2021.

Statistiques sur les menaces prévalentes

Notre équipe a suivi plusieurs catégories de menaces au 4e trimestre 2021. Les résultats des recherches indiquent les pourcentages de détection pour le type de familles de malwares prévalentes observées, les pays et secteurs des clients ciblés, ainsi que les techniques MITRE ATT&CK utilisées.

75

RedLine Stealer (20 %), Raccoon Stealer (17 %), Remcos RAT (12 %), LokiBot (12 %) et Formbook (12 %) représentent près de 75 % des outils de familles de malwares observés au 4e trimestre 2021.

62

Les clients du secteur des transports ont été les plus ciblés (62 %) au 4e trimestre 2021 — plus que les 10 autres principaux secteurs combinés.

80

Augmentation des observations affectant les clients américains entre les 3e et 4e trimestres 2021.

Techniques MITRE ATT&CK de ransomware les plus signalées

1.

Obfuscated Files or Information

2.

Credentials from Web Browsers

3.

File and Directory Discovery

4.

Clés d'exécution du Registre / dossier de démarrage

5.

System Information Discovery

Détections par famille de ransomwares

RedLine Stealer

Raccoon Stealer

Remcos (RAT)

LokiBot

Formbook

T3

1,2 %

S.O.

24 %

19 %

36 %

T4

20 %

17 %

12 %

12 %

12 %

T3

T4

RedLine Stealer

1,2 %

20 %

Raccoon Stealer

S.O.

17 %

Remcos (RAT)

6,7 %

12 %

LokiBot

19 %

12 %

Formbook

36 %

12 %

Menaces par pays, continents, secteurs d'activité et vecteurs d'attaque

Des hausses notables du nombre d'incidents rendus publics par pays et par continent ont été observées au 4e trimestre 2021 :

150

C'est l'Allemagne qui a connu l'augmentation la plus forte (150 %) du nombre d'incidents signalés au 4e trimestre 2021.

38

Les États-Unis ont enregistré le plus grand nombre d'incidents signalés au 4 e trimestre 2021, soit 38 % du nombre total d'incidents signalés.

Exploitation des ressources locales

Les cybercriminels continuent de développer des outils personnalisés, mais se tournent souvent vers des techniques d'exploitation des ressources locales (Living off the Land) pour détourner des fichiers binaires légitimes et des utilitaires d'administration de leur utilisation prévue et s'en servir pour distribuer des charges actives malveillantes sur un système cible. Sur la base des événements du 4e trimestre 2021, Trellix a identifié un léger changement des tendances dans les outils utilisés par les pirates tentant d'échapper à la détection.

Les TTP évoluent tandis que les défenses se renforcent et que la communauté de la sécurité partage des indicateurs de compromission entre ses membres. Le rapport du 3e trimestre attirait l'attention sur certains fichiers binaires présents dans un système de production, ou encore utilisés par le personnel administratif pour effectuer des tâches quotidiennes. ll recommandait également de déployer les logiciels nécessaires sur les machines, de surveiller les anomalies et de préserver l'efficacité des systèmes. Les cybercriminels détournent l'intention première de ces outils à des fins malveillantes. Entre les 3e et 4e trimestres, nous constations une légère différence dans les utilitaires exploités par les cybercriminels. En revanche, il est une chose que ne change pas : les cybercriminels s'efforcent toujours d'échapper à la détection et d'utiliser les outils déjà présents dans un système pour distribuer des charges actives, et notamment des ransomwares, des balises, des outils d'exfiltration d'informations et de reconnaissance.

Pour identifier ces fichiers binaires ou les logiciels d'administration au cours de la phase de reconnaissance, les cyberpirates peuvent recueillir des informations sur les technologies utilisées à partir d'offres d'emploi ou de témoignages clients publiés par les fournisseurs, ou encore grâce à un complice interne.

Fichiers binaires natifs du système d'exploitation Commentaires (passez le curseur de la souris pour en savoir plus) (cliquez pour en savoir plus)

Windows Command Shell (CMD) (53,44 %)

T1059.003

Windows Command Shell est la principale interface de ligne de commande Windows et est souvent utilisé pour exécuter des fichiers et des commandes dans un autre flux de données.

PowerShell (43,92 %)

T1059.001

PowerShell est souvent utilisé pour exécuter des scripts et des commandes PowerShell.

WMI/WMIC (33,86 %)

T1218 T1564.004

WMIC est une interface de ligne de commande du service WMI qui peut être utilisée par les cybercriminels pour exécuter des commandes ou des charges actives virtuelles en local, dans d'autres flux de données ou sur un système distant.

Rundll32 (24,34 %)

T1218.011 T1564.004

Rundll32 peut servir à exécuter des fichiers DLL locaux, des fichiers DLL à partir d'un partage, des fichiers DLL obtenus sur Internet et d'autres flux de données.

Regsvr32 (14,29 %)

T1218.010

Regsvr32 peut être utilisé par des cybercriminels pour enregistrer des fichiers DLL, exécuter du code malveillant et contourner les listes blanches d'applications.

Schtasks (12,70 %)

T1053.005

Un pirate peut planifier des tâches pour assurer sa persistance, exécuter d'autres malwares ou effectuer des tâches automatisées.

MSHTA (10,05 %)

T1218.005

MSHTA peut être utilisé par les cybercriminels pour exécuter des fichiers JavaScript, JScript et VBScript qui peuvent être dissimulés dans des fichiers HTA du système local et dans d'autres flux de données, ou encore être récupérés à partir d'un site distant.

Excel (8,99 %)

T1105

Même en l'absence d'une installation native, de nombreux systèmes possèdent une application de tableur. Les pirates informatiques peuvent donc envoyer à des utilisateurs des pièces jointes contenant du code ou des scripts malveillants qui, une fois exécutés, permettent de récupérer des charges actives depuis un site distant.

Net.exe (7,94 %)

T1087 et sous-techniques

L'utilitaire de ligne de commande Windows permet aux cybercriminels de se livrer à des opérations de reconnaissance, par exemple l'identification d'utilisateurs, de réseaux et de services sur l'ordinateur d'une victime.

Certutil (4,23 %)

T1105, 1564.004 T1027

L'utilitaire de commandes Windows permet d'obtenir des informations sur les autorités de certification et de configurer des services de certificats. Par ailleurs, les pirates peuvent utiliser certutil pour obtenir des outils et du contenu distants, coder et décoder des fichiers ou encore accéder à d'autres flux de données.

Reg.exe (3,70 %)

1003.002 1564.004

Reg.exe permet aux pirates d'ajouter, de modifier, de supprimer et d'exporter des valeurs de Registre qui peuvent être enregistrées dans d'autres flux de données. En outre, reg.exe peut servir à exfiltrer des identifiants d'un fichier SAM.

Outils d'administration Commentaires (passez le curseur de la souris pour en savoir plus) (cliquez pour en savoir plus)

Services distants (35,98 %)

T1021.001 T1021.004 T1021.005

AnyDesk, ConnectWise Control, RDP, UltraVNC, PuTTY

WinSCP Les cybercriminels peuvent exploiter des services distants, à la fois natifs à Windows et de logiciels tiers, avec des comptes valides pour accéder à distance à un ordinateur ou une infrastructure, introduire des outils et des malwares ou encore exfiltrer des données.

Utilitaires d'archivage (6,35 %)

T1560.001

7-Zip, WinRar

WinZip Les pirates peuvent exploiter les utilitaires d'archivage pour compresser les données collectées en vue de leur exfiltration, de même que pour décompresser des fichiers et des exécutables.

BITSAdmin (3,70 %)

T1105 T1218 T1564.004

BITSAdmin est généralement utilisé pour assurer la persistance, nettoyer des artefacts et appeler des actions supplémentaires lorsqu'un critère déterminé est satisfait.

ADFind (2,65 %)

T1016, T1018, T1069 et sous-techniques, T1087 et sous-techniques, T1482

Cet utilitaire de ligne de commande peut être utilisé par les pirates pour découvrir des informations d'Active Directory, telles que les approbations de domaines, les groupes d'autorisations, les systèmes distants et les configurations réseau.

PsExec (2,12 %)

T1569.002

PsExec est un outil utilisé pour exécuter des commandes et des programmes sur un système distant.

fodhelper.exe (0,05 %)

T1548.002

Fodhelper.exe est un utilitaire Windows qui peut être exploité par les cybercriminels pour exécuter des fichiers malveillants avec des privilèges élevés sur l'ordinateur d'une victime.

Rédaction et recherches

Alfred Alvarado

Douglas McKee

Christiaan Beek

Tim Polzer

Marc Elias

Steve Povolny

John Fokker

Thibault Seret

Tim Hux

Leandro Velasco

Max Kersten

 

Alfred Alvarado

Christiaan Beek

Marc Elias

John Fokker

Tim Hux

Max Kersten

Douglas McKee

Tim Polzer

Steve Povolny

Thibault Seret

Leandro Velasco

Ressources

Pour suivre l'évolution des menaces et des recherches, consultez les ressources suivantes de notre équipe :
Centre sur les menaces — Menaces actuelles les plus dévastatrices identifiées par notre équipe.

Twitter :