Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Après le blocage par défaut des macros sur la suite Office et la correction de vulnérabilités sur les archives et les images disques qui entrainaient un désamorçage des Mark-of-the-Web, les acteurs de la menace se trouvent aujourd’hui contraint de s’orienter vers de nouvelles techniques d’infection. C’est dans ce cadre que l’on observe, ces deux derniers mois, un nombre croissant d’acteurs s’orienter vers les fichiers Microsoft OneNote.
OneNote est un logiciel de prise de notes développé par Microsoft. Gratuit et inclus à la fois dans la suite office 2019 et Microsoft 365, il se retrouve donc chez la majorité des usagers Windows, qu’ils soient ou non utilisateur du logiciel.
En plus de sa prégnance, c’est la capacité, étendue des fichiers OneNote lors de leurs mise à jour à se voir attacher tout autre type de fichier (PE, LNK, HTML, script VBS…) qui a fini par attirer l’attention des acteurs de la menace.
La procédure s’amorce par un mail de d’hameçonnage contenant un OneNote en tant que pièce jointe. Une fois celle-ci téléchargée et le fichier ouvert, le contenu de ce dernier incite la victime à cliquer sur un emplacement désigné du document. Une fenêtre d’avertissement s’ouvre pour informer l’utilisateur qu’il est sur le point d’ouvrir un fichier attaché au document. Enfin, une fois l’avertissement ignoré, la charge malveillante (payload) est exécutée.
En ce qui concerne le payload, on retrouve, dans les campagnes actuelles impliquant les fichiers OneNote, les malwares suivants : Qbot, AsyncRat et RemcosRat.
En considérant les caractéristiques évoquées, tenant à la fois aux capacités de l’outil, de sa disponibilité auprès des utilisateurs Windows et de son apparente innocuité aux yeux de ses derniers, il est permis de penser que les fichiers OneNote constitueront, en matière de pré-infection, une tendance sur le long terme.
TOP
TOP
DÉFINITION DU MOIS
Le Hunting est une technique utilisée en cybersécurité pour anticiper, détecter et répondre aux menaces informatiques. Cela recouvre la recherche proactive d’indicateurs de compromission (IoC) et d’autres éléments qui peuvent indiquer une activité malveillante. La Cyber Threat Intelligence à notamment recours aux techniques de hunting pour collecter et utiliser des informations sur les menaces actuelles et potentielles. L’objectif principal est de découvrir les attaques en cours de développement avant qu’elles n’endommagent les systèmes et permettre ainsi une réponse rapide pour limiter les conséquences. Le hunting est un processus continu qui s’adapte en fonction des nouvelles menaces et des nouvelles techniques d’attaque pour maintenir un niveau élevé de protection des systèmes. Les chasseurs de menaces (ou hunters) utilisent une combinaison de techniques d’analyse, telles que l’analyse de journaux, l’analyse réseau, l’analyse de la menace ou encore l’OSINT pour détecter des signes d’intrusion ou des infrastructures liés à des activités malveillantes. Le hunting constitue donc une partie importante de la stratégie globale en matière de cybersécurité pour les entreprises et les gouvernements, car il permet de détecter plus rapidement les menaces et de les neutraliser plus efficacement.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.