Décembre 2022

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

2212 Ioc Fr

ECLAIRAGE DU MOIS


Ce n’est pas la première fois que nous voyons les développeurs d’Emotet « prendre des vacances ». Après environ cinq mois sans activité notable, Emotet revient avec de nouvelles fonctionnalités.

Il charge désormais le trojan bancaire IcedID mais aussi l’outil de minage XMRig, il utilise de nouvelles techniques d’anti-détection et a porté son code en 64-bit. L’utilisation des fichiers .xls est également conservée mais avec de nouvelles techniques de socio-ingénierie pour faire activer les macros par l’utilisateur, ce qui permet alors à la librairie d’Emotet de se télécharger puis de se charger en mémoire.

Pour rappel, Emotet est l’un des chevaux de Troie (trojan) les plus dangereux jamais créés. Ce programme malveillant est devenu de plus en plus destructeur au fur et à mesure qu’il gagnait en sophistication. Emotet modifie constamment ses TTP (Tactics, Techniques & Procédures) afin de s’assurer que les règles de détection existantes ne puissent être appliquées.

2212 Cve Fr

TOP

vulnérabilités critiques [CVE]
2212 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Le Trojan désigne un type de malware qui se déguise en programme légitime, de la simple pièce-jointe d’un mail à la copie d’un logiciel piraté disponible sur Internet, afin d’être téléchargé discrètement sur le poste de la victime, d’où son nom qui renvoi au cheval de Troie de l’antiquité. Il ne s’agit pas à proprement parler d’un virus car il ne peut pas s’auto-exécuter ni directement se propager.

Dans sa forme la plus basique, le Trojan exécute simplement une fonctionnalité malveillante sur la machine victime en local. Il existe une sous-catégorie, la plus répandue actuellement, appelée Remote Access Trojan (RAT) qui permet une prise de contrôle à distance de la machine infectée. Dans ce cas, on parle aussi de Backdoor car le Trojan ouvre une porte dérobée pour que l’attaquant puisse espionner sa cible, voler ses données, ou encore télécharger d’autres malwares ou outils comme un C&C (cf définition dans le baromètre d’aout 2022) dans le but de se propager. Il utilise des techniques de persistance comme la T1543 ou T1053 : création de nouveaux services (Create or Modify System process) ou la planification de tâches (Scheduled Task/Job), tout en exécutant les commandes que l’attaquant lui transmet.

Le cheval de Troie le plus connu de ces dernières années est Emotet dont nous avions déjà parlé en mars, et dont le retour fait l’objet d’un second éclairage ce mois-ci.

2212 Tgt Fr

TOP

secteurs d’activité visés
2212 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.