Février 2023

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

2302 Ioc Fr

ECLAIRAGE DU MOIS


Après le blocage par défaut des macros sur la suite Office et la correction de vulnérabilités sur les archives et les images disques qui entrainaient un désamorçage des Mark-of-the-Web, les acteurs de la menace se trouvent aujourd’hui contraint de s’orienter vers de nouvelles techniques d’infection. C’est dans ce cadre que l’on observe, ces deux derniers mois, un nombre croissant d’acteurs s’orienter vers les fichiers Microsoft OneNote.

OneNote est un logiciel de prise de notes développé par Microsoft. Gratuit et inclus à la fois dans la suite office 2019 et Microsoft 365, il se retrouve donc chez la majorité des usagers Windows, qu’ils soient ou non utilisateur du logiciel.

En plus de sa prégnance, c’est la capacité, étendue des fichiers OneNote lors de leurs mise à jour à se voir attacher tout autre type de fichier (PE, LNK, HTML, script VBS…) qui a fini par attirer l’attention des acteurs de la menace.

La procédure s’amorce par un mail de d’hameçonnage contenant un OneNote en tant que pièce jointe. Une fois celle-ci téléchargée et le fichier ouvert, le contenu de ce dernier incite la victime à cliquer sur un emplacement désigné du document. Une fenêtre d’avertissement s’ouvre pour informer l’utilisateur qu’il est sur le point d’ouvrir un fichier attaché au document. Enfin, une fois l’avertissement ignoré, la charge malveillante (payload) est exécutée.

En ce qui concerne le payload, on retrouve, dans les campagnes actuelles impliquant les fichiers OneNote, les malwares suivants : Qbot, AsyncRat et RemcosRat.

En considérant les caractéristiques évoquées, tenant à la fois aux capacités de l’outil, de sa disponibilité auprès des utilisateurs Windows et de son apparente innocuité aux yeux de ses derniers, il est permis de penser que les fichiers OneNote constitueront, en matière de pré-infection, une tendance sur le long terme.

2302 Cve Fr

TOP

vulnérabilités critiques [CVE]
2302 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Le Hunting est une technique utilisée en cybersécurité pour anticiper, détecter et répondre aux menaces informatiques. Cela recouvre la recherche proactive d’indicateurs de compromission (IoC) et d’autres éléments qui peuvent indiquer une activité malveillante. La Cyber Threat Intelligence à notamment recours aux techniques de hunting pour collecter et utiliser des informations sur les menaces actuelles et potentielles. L’objectif principal est de découvrir les attaques en cours de développement avant qu’elles n’endommagent les systèmes et permettre ainsi une réponse rapide pour limiter les conséquences. Le hunting est un processus continu qui s’adapte en fonction des nouvelles menaces et des nouvelles techniques d’attaque pour maintenir un niveau élevé de protection des systèmes. Les chasseurs de menaces (ou hunters) utilisent une combinaison de techniques d’analyse, telles que l’analyse de journaux, l’analyse réseau, l’analyse de la menace ou encore l’OSINT pour détecter des signes d’intrusion ou des infrastructures liés à des activités malveillantes. Le hunting constitue donc une partie importante de la stratégie globale en matière de cybersécurité pour les entreprises et les gouvernements, car il permet de détecter plus rapidement les menaces et de les neutraliser plus efficacement.

2302 Tgt Fr

TOP

secteurs d’activité visés
2302 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.