Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Ce n’est pas la première fois que nous voyons les développeurs d’Emotet « prendre des vacances ». Après environ cinq mois sans activité notable, Emotet revient avec de nouvelles fonctionnalités.
Il charge désormais le trojan bancaire IcedID mais aussi l’outil de minage XMRig, il utilise de nouvelles techniques d’anti-détection et a porté son code en 64-bit. L’utilisation des fichiers .xls est également conservée mais avec de nouvelles techniques de socio-ingénierie pour faire activer les macros par l’utilisateur, ce qui permet alors à la librairie d’Emotet de se télécharger puis de se charger en mémoire.
Pour rappel, Emotet est l’un des chevaux de Troie (trojan) les plus dangereux jamais créés. Ce programme malveillant est devenu de plus en plus destructeur au fur et à mesure qu’il gagnait en sophistication. Emotet modifie constamment ses TTP (Tactics, Techniques & Procédures) afin de s’assurer que les règles de détection existantes ne puissent être appliquées.
TOP
TOP
DÉFINITION DU MOIS
Le Trojan désigne un type de malware qui se déguise en programme légitime, de la simple pièce-jointe d’un mail à la copie d’un logiciel piraté disponible sur Internet, afin d’être téléchargé discrètement sur le poste de la victime, d’où son nom qui renvoi au cheval de Troie de l’antiquité. Il ne s’agit pas à proprement parler d’un virus car il ne peut pas s’auto-exécuter ni directement se propager.
Dans sa forme la plus basique, le Trojan exécute simplement une fonctionnalité malveillante sur la machine victime en local. Il existe une sous-catégorie, la plus répandue actuellement, appelée Remote Access Trojan (RAT) qui permet une prise de contrôle à distance de la machine infectée. Dans ce cas, on parle aussi de Backdoor car le Trojan ouvre une porte dérobée pour que l’attaquant puisse espionner sa cible, voler ses données, ou encore télécharger d’autres malwares ou outils comme un C&C (cf définition dans le baromètre d’aout 2022) dans le but de se propager. Il utilise des techniques de persistance comme la T1543 ou T1053 : création de nouveaux services (Create or Modify System process) ou la planification de tâches (Scheduled Task/Job), tout en exécutant les commandes que l’attaquant lui transmet.
Le cheval de Troie le plus connu de ces dernières années est Emotet dont nous avions déjà parlé en mars, et dont le retour fait l’objet d’un second éclairage ce mois-ci.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.