Barometer
Février 2022
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Nous avons choisi de consacrer ce premier éclairage à la vulnérabilité CVE-2021-44228, mieux connue sous l’appellation log4shell.
Bien que ne figurant qu’a une place modeste (1, 48% dans notre Top CVE), elle est la première d’une série de failles critiques affectant la bibliothèque log4j.
Le danger posé par CVE-2021-44228 réside dans sa capacité à permettre à un attaquant d’exécuter arbitrairement du code à distance en soumettant des données à une application utilisant la journalisation de la bibliothèque vulnérable. L’exploitation de cette vulnérabilité a d’ores et déjà été réalisée par de nombreux groupes de cybercriminels afin de propager plusieurs malwares et outils offensifs comme Kinsing, Conti, Dridex ou Cobalt Strike, ainsi que des variants de Mirai, …
L’équipe des analystes CTI de LastInfoSec a constaté que la vulnérabilité fait actuellement toujours l’objet d’une exploitation “In the Wild”. Nous conseillons donc aux entreprises et organisations de continuer sans attendre le déploiement des correctifs disponibles et la mise à jour des outils en place permettant la détection de cette vulnérabilité.
En conclusion, l’exploitation rapide par de nombreux acteurs malveillants d’une vulnérabilité avec ce niveau de risque et l’impact potentiellement fort qui peut en résulter sur l’ensemble des utilisateurs est un rappel utile en ce début d’année sur l’intérêt à maintenir une politique de veille active des menaces émergentes et à renforcer les stratégies de patching en place .
TOP
TOP
DÉFINITION DU MOIS
Un indicateur de compromission (ou IOC pour Indicator Of Compromission) est un ensemble de caractéristiques, ou artefacts, représentatifs d’un comportement malveillant connu.
L’utilisation des IoC permet de détecter si une attaque a eu lieu, d’identifier les outils utilisés et les patterns spécifiques utilisés par certains attaquants. Ils permettent ainsi à l’organisation affectée par la compromission de la détecter rapidement afin de mettre en place des actions de réponses à incidents efficaces.
Un condensat de fichier malveillant, l’URL d’un site de phishing ou le domaine d’un serveur de Command & Control sont quelques exemples de sources possibles d’indicateurs de compromission.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.