CyberThreats Barometer
Avril 2023
Les chiffres du mois
135 869
49 793
Compromission
TOP
ÉCLAIRAGE DU MOIS
Mustang Panda , également connu sous les noms “RedDelta” ou “Bronze President”, est un groupe de cybercriminels supposément lié au gouvernement chinois. Actif depuis au moins 2014, il cible principalement les organisations gouvernementales, les ONG et toutes les autres entités considérées comme des ennemis du régime communiste chinois.
Selon le registre des groupes d’attaquants d’APT du MITRE ATT&CK, Mustang Panda, référencé sous l’ID G0019, utilise des campagnes sophistiquées de phishing comme vecteur d’infection initial. Ces courriels malveillants contiennent souvent des fichiers semblables à des documents légitimes d’intérêt national ou organisationnel pour les cibles.
Le groupe se distingue également par l’utilisation systématique de RAT (Remote Access Trojans) personnalisés, principalement basés sur la famille de logiciels malveillants PlugX (également connue sous le nom de Korplug). Une fois que la machine de la cible est infectée, ces RAT permettent de télécharger un C2 tel que Poison Ivy ou Cobalt Strike pour établir une liaison avec un serveur contrôlé par Mustang Panda.
Depuis janvier 2023, Mustang Panda utilise dans ses attaques une porte dérobée inédite, nommée MQsTTang (un jeu de mots entre “Mustang” et “MQTT”). Ce backdoor rudimentaire permet à l’attaquant d’exécuter des commandes arbitraires sur la machine de sa victime et d’utiliser le protocole MQTT pour la communication C&C. Bien que MQTT soit couramment utilisé pour la communication entre les dispositifs IoT et les contrôleurs, ce protocole avait été jusqu’alors peu utilisé dans une famille de logiciels malveillants publiquement documentée.
A noter que cette nouvelle campagne de Mustang Panda cible principalement les organisations gouvernementales en Europe et en Asie par le biais de campagnes e-mails de type spear-phishing.
Vulnérabilités critiques [CVE]
Familles de malwares
DÉFINITION DU MOIS
Une attaque de type “Supply Chain” (ou attaque de la chaine d’approvisionnement ), consiste à cibler l’élément le plus faible parmi ceux qui sont utilisés dans une chaîne de production. Cette technique est identifiée dans le framework Mitre Att&ck sous l’identifiant T1195 .
Très souvent, il s’agira de compromettre un partenaire ou de s’attaquer à une bibliothèque tierce plutôt que de s’attaquer à la cible finale. L’avantage d’un tel type d’attaque est qu’il n’est pas nécessaire de leurrer la victime ou de s’attaquer de front à une entité : Il suffit d’utiliser la confiance établie entre les deux parties, que ce soit entre une entreprise et un fournisseur, ou encore entre une entreprise et ses clients. Ces attaques peuvent également être utilisée afin d’obtenir un “retour sur investissement” plus important en touchant un grand nombre de victimes et en ne compromettant qu’une seule cible.
Parmi les exemples d’attaque de type Supply Chain, on se rappellera de celles qui ont pu toucher Solarwinds, Kaseya ou encore plus récemment 3CX qui ont permis, en compromettant un seul produit, d’obtenir un accès dans un grand nombre de sociétés.
Sur les attaques portant sur la chaîne de production logicielle, les cibles privilégiées sont souvent les gestionnaires de version, les chaînes d’intégration/déploiement continue, ou encore les certificats.
Il est cependant important de rappeler que ces attaques peuvent intervenir à différents niveaux. Il peut s’agir d’une compromission logicielle comme dans les exemples précédents, mais également matérielle, lors de la fabrication de matériel ou lors de la livraison ou de la préparation.
Mettre un titre
Secteurs d’activité visés
Catégories de menacesTOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.
Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.