Aperçu des recherches sur les menaces du 4e trimestre 2021 ainsi que des récentes découvertes de Trellix Threat Labs
Le 4e trimestre 2021 a été marqué par le recul d'une pandémie longue de deux ans, au cours de laquelle les cybercriminels ont profité des opportunités créées par le télétravail et par l'émergence de Log4Shell, la mauvaise surprise de fin d'année. Au cours du 1er trimestre 2022, les regards se sont tournés vers les campagnes exploitant des cybermenaces contre l'infrastructure ukrainienne dans le contexte du conflit eurasien. Le dernier rapport Trellix Threat Labs inclut nos observations pour le 4e trimestre 2021, l'identification d'une campagne de cyberespionnage en plusieurs phases visant de hauts fonctionnaires, ainsi que notre récente analyse des cyberattaques lancées contre l'Ukraine et du tout récent HermeticWiper pendant le 1er trimestre 2022.
Lettre de notre analyste en chef
Bienvenue dans notre nouveau rapport sur le paysage des menaces.
Alors que nous sortons lentement de la pandémie, les incertitudes à propos des récents conflits en Eurasie dominent notre quotidien et nos conversations. Avant toute chose, Trellix est partisan de la paix. Quelles que soient les parties impliquées dans tout conflit, notre mission est de protéger nos clients et de respecter le droit international.
Lire la suiteCyberattaques contre l'Ukraine
L'équipe Trellix Threat Labs a étudié l'activité des effaceurs déployés en Ukraine, et son analyse laisse penser qu'il existe vraisemblablement une relation entre Whispergate et le tout récent HermeticWiper.
Lire la suiteRansomwares
Au cours du dernier trimestre 2021, le paysage des ransomwares a évolué. Au lieu des attaques de grande envergure décrites dans le précédent rapport, les groupes de ransomware ont dû se trouver une nouvelle base clandestine et les forces de police ont commencé à démanteler plusieurs groupes connus.
Lire la suiteBienvenue dans notre nouveau rapport sur le paysage des menaces.
À la lumière de ces premiers mois, le moins que l'on puisse dire, c'est que l'année a commencé en force. Alors que nous sortons lentement de la pandémie, les incertitudes à propos des récents conflits en Eurasie dominent notre quotidien et nos conversations.
Avant toute chose, Trellix est partisan de la paix. Quelles que soient les parties impliquées dans tout conflit, notre mission est de protéger nos clients et de respecter le droit international. À l'heure de la préparation de ce rapport, nous poursuivons nos recherches et maintenons notre vigilance. Par exemple, le groupe Lapsus$ s'en est pris aux grandes multinationales en ciblant tout particulièrement dans un premier temps des victimes sud-américaines et en divulguant des données sensibles, dont du code source et des certificats.
Nous avons observé plusieurs cas d'exploitation de ces certificats. Ces derniers sont par exemple utilisés pour signer des fichiers binaires malveillants dans l'intention de contourner les mécanismes de protection des systèmes d'exploitation et des produits de sécurité. Des informations complémentaires sur ce groupe, leur dernière compromission et les contre-mesures possibles sont disponibles ici.
Le rapport actuel, le deuxième depuis le lancement de notre nouvelle société, s'intéresse également aux événements (cyber) qui ont fait la une de l'actualité. Des attaques contre l'infrastructure ukrainienne au malware HermeticWiper, conçu pour détruire le secteur de démarrage de n'importe quelle machine infectée, la cybersécurité est au centre de toutes les préoccupations en ce début d'année. Ce rapport revient aussi sur le 4e trimestre 2021, marqué par la vulnérabilité Log4shell et son impact sur des centaines de millions de terminaux, et beaucoup se demandent ce que nous réserve l'année en cours.
Cela fait des années que l'équipe Trellix Threat Labs est l'un des fers de lance de la recherche sur les ransomwares. Suite à notre collaboration avec le secteur public, nous sommes heureux d'annoncer les arrestations de plusieurs membres d'un groupe spécialisé en ransomware et le démantèlement de ses opérations en décembre 2021. Les récentes publications des conversations du groupe de ransomware Conti et du groupe à l'origine du malware Trickbot ont révélé tout le professionnalisme dont font preuve ces cybercriminels pour mener leurs campagnes. Cela prouve combien nous avons besoin d'une réponse unifiée des secteurs privé et public pour déjouer ces attaques.
Par ailleurs, n'hésitez pas à consulter le blog de Trellix Threat Labs, qui propose des informations à jour sur les menaces, des vidéos et des liens vers le bulletin de sécurité.
Ce rapport met également en lumière d'autres menaces et attaques prévalentes observées.
— Christiaan Beek
Analyste principal
L'équipe Trellix a étudié l'activité des effaceurs déployés en Ukraine, et son analyse laisse penser qu'il existe vraisemblablement une relation entre Whispergate et le tout récent HermeticWiper.
Vous pouvez découvrir d'autres informations sur notre analyse et les renseignements recueillis sur les activités de ces menaces en Ukraine.
Les entreprises devraient passer en revue les tactiques, techniques et procédures (TTP) d'accès initial associées aux activités russes pour protéger leur environnement contre toute infiltration de façon proactive.
D'autres groupes et campagnes malveillantes ciblent également l'Ukraine :
ACTINIUM APT
Agent Tesla
CaddyWiper
CERT-AU 4109
Attaques DDoS
Gamaredon APT
GlowSpark
IsaacWiper
NOBELIUM APT
OutSteel
RURansom Wiper
SaintBot
Shuckworm APT
UAC-0056
ACTINIUM APT
Agent Tesla
CaddyWiper
CERT-AU 4109
Attaques DDoS
Gamaredon APT
GlowSpark
IsaacWiper
NOBEpUM APT
OutSteel
RURansom Wiper
SaintBot
Shuckworm APT
UAC-0056
Visitez notre Centre sur les menaces Trellix pour découvrir les menaces émergentes et garder une longueur d'avance sur celles-ci, y compris HermeticWiper.
En mars, Trellix a découvert la première phase d'une campagne malveillante qui ciblait des hôtels de luxe à Macao, en Chine, depuis la seconde quinzaine de novembre 2021. L'attaque a commencé par un e-mail de spearphishing adressé à divers membres de l'équipe de direction de l'hôtel — par exemple le directeur RH, le directeur adjoint et le chef de la réception. À la lumière des postes visés, on peut en déduire que les personnes ciblées disposent d'un accès suffisant au réseau de l'hôtel, y compris les systèmes de réservation. L'attaque se déroule comme suit :
Lisez notre article de blog pour plus d'informations sur le groupe APT DarkHotel, l'attribution de la menace, la campagne et l'analyse technique de l'attaque.
En janvier, notre équipe a annoncé avoir identifié une campagne de cyberespionnage en plusieurs phases visant de hauts fonctionnaires responsables de la politique de sécurité nationale, ainsi que des acteurs du secteur de la défense en Asie occidentale. Trellix a veillé à informer au préalable les victimes et leur a fourni toutes les informations utiles en vue d'éliminer tous les composants malveillants connus de leurs environnements.
L'analyse du déroulement global de l'attaque a révélé que celle-ci commence par l'exécution d'un fichier Excel contenant un exploit de la vulnérabilité d'exécution de code à distance dans MSHTML (CVE-2021-40444). Celui-ci sert à exécuter un fichier DLL malveillant utilisé comme téléchargeur pour le malware de la 3e étape de l'attaque, que nous appelons Graphite. Graphite est un échantillon de malware récemment découvert. Basé sur un stager OneDrive Empire, il se sert de comptes OneDrive comme serveur de commande et contrôle (C&C) via l'API Microsoft Graph.
Les dernières phases de cette attaque en plusieurs étapes (associée selon nous à une opération APT) comprennent l'exécution de plusieurs stagers Empire. Leur mission est de télécharger un agent Empire sur les ordinateurs des victimes et à faire en sorte que le serveur C&C prenne le contrôle à distance des systèmes.
Le schéma suivant présente le déroulement global de cette attaque.
Lisez notre article de blog pour une analyse plus approfondie, dont les différentes phases, l'infrastructure et l'attribution.
Les systèmes principaux de Trellix fournissent les données télémétriques que nous utilisons pour préparer nos rapports trimestriels sur le paysage des menaces. Nous combinons nos données télémétriques à celles de diverses sources de données publiques ainsi que nos propres investigations sur des menaces prévalentes telles que les ransomwares, les campagnes de groupes étatiques, etc.
Par télémétrie, nous entendons les données relatives aux détections, pas aux infections. Il s'agit des détections de fichiers, d'URL, d'adresses IP ou d'autres indicateurs par l'un de nos produits qui nous sont ensuite rapportées.
La confidentialité des informations de nos clients est capitale. Elle est également importante en matière de données télémétriques et de cartographie des secteurs et des pays de nos clients. Comme notre base clients varie selon les pays, les chiffres pourraient indiquer des augmentations qui peuvent s'expliquer par d'autres facteurs, exigeant une analyse plus approfondie. Le secteur des télécommunications, par exemple, affiche toujours des scores élevés. Cela ne signifie pas nécessairement que ce secteur est très ciblé. Le secteur des télécommunications inclut aussi des FAI qui possèdent des espaces d'adresses IP vendues à des sociétés. Qu'est-ce que cela signifie ? Les soumissions provenant de l'espace d'adresses IP du FAI sont attribuées au secteur des télécommunications, mais peuvent provenir en réalité de ses clients, lesquels opèrent dans un autre secteur.
Au cours du dernier trimestre 2021, le paysage des ransomwares a évolué. Au lieu des attaques de grande envergure décrites dans le précédent rapport, les groupes de ransomware ont dû se trouver une nouvelle base clandestine et les forces de police ont commencé à démanteler plusieurs groupes connus. L'un d'entre eux, REvil/Sodinokibi, faisait toujours partie des toutes premières familles de ransomwares au 3e trimestre. Mais REvil a fini par disparaître après un démantèlement coordonné de son infrastructure, des dissensions internes et l'arrestation de plusieurs membres. Trellix est fier d'avoir participé à l'enquête sur REvil en effectuant l'analyse du malware, en localisant la principale infrastructure et en identifiant plusieurs suspects.
Les ransomwares Lockbit, Cuba et Conti occupaient les trois premières places du classement au 4e trimestre 2021. Nous pensons que les membres restants du groupe REvil ont trouvé un nouveau refuge avec ces familles de ransomwares.
Alors que nous terminons à peine de préparer ce rapport, le paysage a encore changé. Conti, devenu l'une des plus grandes familles de ransomwares, a vu des milliers de conversations internes publiées sur Internet, dévoilant leurs rouages. Nous avons baptisé ces fuites les « Panama Papers du ransomware » et nous y reviendrons plus en détail dans notre prochain rapport trimestriel.
Pour aider les entreprises à mieux comprendre les attaques par ransomware et à s'en protéger dans le paysage actuel des menaces, l'équipe Threat Labs présente ses observations et les conclusions de ses recherches sur la prévalence d'un large éventail de ransomwares, y compris les familles, les techniques, les pays, les secteurs et les vecteurs concernés pour le 4e trimestre 2021.
289 %
Augmentation dans la catégorie Médias et communications entre les 3e et 4e trimestres 2021.
61
Les détections de ransomwares parmi les clients basés aux États-Unis ont diminué entre les 3e et 4e trimestres 2021.
Techniques MITRE ATT&CK de ransomware les plus souvent rapportées
1.
Chiffrement de données à des fins d'impact
2.
File and Directory Discovery
3.
Obfuscated Files or Information
4.
Process Discovery
5.
Process Injection
Détections par famille de ransomwares
LockBit
Cuba
Conti
Ryuk
BlackMatter
T3
4 %
8 %
6,7 %
7 %
S.O.
T4
23 %
19 %
17 %
11 %
7 %
T3
T4
LockBit
4 %
23 %
Cuba
8 %
19 %
Conti
6,7 %
17 %
Ryuk
7 %
11 %
BlackMatter
S.O.
7 %
L'équipe assure un suivi et une surveillance des campagnes lancées par des États, ainsi que des indicateurs et techniques qui leur sont associés. Les recherches de notre équipe portent sur les cybercriminels, leurs outils, les pays et les secteurs des clients ciblés ainsi que les techniques MITRE ATT&CK du 4e trimestre 2021. Toutes les données relatives à ces événements, y compris les indicateurs, les règles YARA ainsi que la logique de détection sont disponibles dans Insights.
Techniques MITRE ATT&CK utilisées par les États les plus souvent signalées
1.
PowerShell
2.
Scheduled Task
3.
Obfuscated Files or Information
4.
Windows
5.
Web Protocols
95
Cobalt Strike est l'outil le plus utilisé par les groupes étatiques au 4e trimestre 2021.
30
APT 29 est le premier groupe à la solde d'États au 4e trimestre 2021, soit une hausse de 35 % par rapport au trimestre précédent.
26
Les activités d'États-nations en Turquie représentent près de 26 % du nombre total de détections au 4e trimestre 2021.
Notre équipe a suivi plusieurs catégories de menaces au 4e trimestre 2021. Les résultats des recherches indiquent les pourcentages de détection pour le type de familles de malwares prévalentes observées, les pays et secteurs des clients ciblés, ainsi que les techniques MITRE ATT&CK utilisées.
75
RedLine Stealer (20 %), Raccoon Stealer (17 %), Remcos RAT (12 %), LokiBot (12 %) et Formbook (12 %) représentent près de 75 % des outils de familles de malwares observés au 4e trimestre 2021.
62
Les clients du secteur des transports ont été les plus ciblés (62 %) au 4e trimestre 2021 — plus que les 10 autres principaux secteurs combinés.
80
Augmentation des observations affectant les clients américains entre les 3e et 4e trimestres 2021.
Techniques MITRE ATT&CK de ransomware les plus signalées
1.
Obfuscated Files or Information
2.
Credentials from Web Browsers
3.
File and Directory Discovery
4.
Clés d'exécution du Registre / dossier de démarrage
5.
System Information Discovery
Détections par famille de ransomwares
RedLine Stealer
Raccoon Stealer
Remcos (RAT)
LokiBot
Formbook
T3
1,2 %
S.O.
24 %
19 %
36 %
T4
20 %
17 %
12 %
12 %
12 %
T3
T4
RedLine Stealer
1,2 %
20 %
Raccoon Stealer
S.O.
17 %
Remcos (RAT)
6,7 %
12 %
LokiBot
19 %
12 %
Formbook
36 %
12 %
Des hausses notables du nombre d'incidents rendus publics par pays et par continent ont été observées au 4e trimestre 2021 :
150
C'est l'Allemagne qui a connu l'augmentation la plus forte (150 %) du nombre d'incidents signalés au 4e trimestre 2021.
38
Les États-Unis ont enregistré le plus grand nombre d'incidents signalés au 4 e trimestre 2021, soit 38 % du nombre total d'incidents signalés.
Les cybercriminels continuent de développer des outils personnalisés, mais se tournent souvent vers des techniques d'exploitation des ressources locales (Living off the Land) pour détourner des fichiers binaires légitimes et des utilitaires d'administration de leur utilisation prévue et s'en servir pour distribuer des charges actives malveillantes sur un système cible. Sur la base des événements du 4e trimestre 2021, Trellix a identifié un léger changement des tendances dans les outils utilisés par les pirates tentant d'échapper à la détection.
Les TTP évoluent tandis que les défenses se renforcent et que la communauté de la sécurité partage des indicateurs de compromission entre ses membres. Le rapport du 3e trimestre attirait l'attention sur certains fichiers binaires présents dans un système de production, ou encore utilisés par le personnel administratif pour effectuer des tâches quotidiennes. ll recommandait également de déployer les logiciels nécessaires sur les machines, de surveiller les anomalies et de préserver l'efficacité des systèmes. Les cybercriminels détournent l'intention première de ces outils à des fins malveillantes. Entre les 3e et 4e trimestres, nous constations une légère différence dans les utilitaires exploités par les cybercriminels. En revanche, il est une chose que ne change pas : les cybercriminels s'efforcent toujours d'échapper à la détection et d'utiliser les outils déjà présents dans un système pour distribuer des charges actives, et notamment des ransomwares, des balises, des outils d'exfiltration d'informations et de reconnaissance.
Pour identifier ces fichiers binaires ou les logiciels d'administration au cours de la phase de reconnaissance, les cyberpirates peuvent recueillir des informations sur les technologies utilisées à partir d'offres d'emploi ou de témoignages clients publiés par les fournisseurs, ou encore grâce à un complice interne.
Windows Command Shell (CMD) (53,44 %)
T1059.003
Windows Command Shell est la principale interface de ligne de commande Windows et est souvent utilisé pour exécuter des fichiers et des commandes dans un autre flux de données.
PowerShell (43,92 %)
T1059.001
PowerShell est souvent utilisé pour exécuter des scripts et des commandes PowerShell.
WMI/WMIC (33,86 %)
T1218 T1564.004
WMIC est une interface de ligne de commande du service WMI qui peut être utilisée par les cybercriminels pour exécuter des commandes ou des charges actives virtuelles en local, dans d'autres flux de données ou sur un système distant.
Rundll32 (24,34 %)
T1218.011 T1564.004
Rundll32 peut servir à exécuter des fichiers DLL locaux, des fichiers DLL à partir d'un partage, des fichiers DLL obtenus sur Internet et d'autres flux de données.
Regsvr32 (14,29 %)
T1218.010
Regsvr32 peut être utilisé par des cybercriminels pour enregistrer des fichiers DLL, exécuter du code malveillant et contourner les listes blanches d'applications.
Schtasks (12,70 %)
T1053.005
Un pirate peut planifier des tâches pour assurer sa persistance, exécuter d'autres malwares ou effectuer des tâches automatisées.
MSHTA (10,05 %)
T1218.005
MSHTA peut être utilisé par les cybercriminels pour exécuter des fichiers JavaScript, JScript et VBScript qui peuvent être dissimulés dans des fichiers HTA du système local et dans d'autres flux de données, ou encore être récupérés à partir d'un site distant.
Excel (8,99 %)
T1105
Même en l'absence d'une installation native, de nombreux systèmes possèdent une application de tableur. Les pirates informatiques peuvent donc envoyer à des utilisateurs des pièces jointes contenant du code ou des scripts malveillants qui, une fois exécutés, permettent de récupérer des charges actives depuis un site distant.
Net.exe (7,94 %)
T1087 et sous-techniques
L'utilitaire de ligne de commande Windows permet aux cybercriminels de se livrer à des opérations de reconnaissance, par exemple l'identification d'utilisateurs, de réseaux et de services sur l'ordinateur d'une victime.
Certutil (4,23 %)
T1105, 1564.004 T1027
L'utilitaire de commandes Windows permet d'obtenir des informations sur les autorités de certification et de configurer des services de certificats. Par ailleurs, les pirates peuvent utiliser certutil pour obtenir des outils et du contenu distants, coder et décoder des fichiers ou encore accéder à d'autres flux de données.
Reg.exe (3,70 %)
1003.002 1564.004
Reg.exe permet aux pirates d'ajouter, de modifier, de supprimer et d'exporter des valeurs de Registre qui peuvent être enregistrées dans d'autres flux de données. En outre, reg.exe peut servir à exfiltrer des identifiants d'un fichier SAM.
Services distants (35,98 %)
T1021.001 T1021.004 T1021.005
AnyDesk, ConnectWise Control, RDP, UltraVNC, PuTTY
WinSCP Les cybercriminels peuvent exploiter des services distants, à la fois natifs à Windows et de logiciels tiers, avec des comptes valides pour accéder à distance à un ordinateur ou une infrastructure, introduire des outils et des malwares ou encore exfiltrer des données.
Utilitaires d'archivage (6,35 %)
T1560.001
7-Zip, WinRar
WinZip Les pirates peuvent exploiter les utilitaires d'archivage pour compresser les données collectées en vue de leur exfiltration, de même que pour décompresser des fichiers et des exécutables.
BITSAdmin (3,70 %)
T1105 T1218 T1564.004
BITSAdmin est généralement utilisé pour assurer la persistance, nettoyer des artefacts et appeler des actions supplémentaires lorsqu'un critère déterminé est satisfait.
ADFind (2,65 %)
T1016, T1018, T1069 et sous-techniques, T1087 et sous-techniques, T1482
Cet utilitaire de ligne de commande peut être utilisé par les pirates pour découvrir des informations d'Active Directory, telles que les approbations de domaines, les groupes d'autorisations, les systèmes distants et les configurations réseau.
PsExec (2,12 %)
T1569.002
PsExec est un outil utilisé pour exécuter des commandes et des programmes sur un système distant.
fodhelper.exe (0,05 %)
T1548.002
Fodhelper.exe est un utilitaire Windows qui peut être exploité par les cybercriminels pour exécuter des fichiers malveillants avec des privilèges élevés sur l'ordinateur d'une victime.
Alfred Alvarado
Douglas McKee
Christiaan Beek
Tim Polzer
Marc Elias
Steve Povolny
John Fokker
Thibault Seret
Tim Hux
Leandro Velasco
Max Kersten
Alfred Alvarado
Christiaan Beek
Marc Elias
John Fokker
Tim Hux
Max Kersten
Douglas McKee
Tim Polzer
Steve Povolny
Thibault Seret
Leandro Velasco
Pour suivre l'évolution des menaces et des recherches, consultez les ressources suivantes de notre équipe :
Centre sur les menaces — Menaces actuelles les plus dévastatrices identifiées par notre équipe.