Juin 2023

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

2306 Ioc Fr

ECLAIRAGE DU MOIS


Ces dernières semaines, le groupe Volt Typhoon (aussi connu sous le nom Bronze Silhouette) a défrayé la chronique dépassant la sphère de la presse spécialisée pour s’inviter dans les médias grand public. En cause la capacité de ce Threat Actor, qui bénéficie du soutien présumé de la chine, à cibler les infrastructure critiques américaines sous fond des tension géopolitiques actuelles entre les deux nations.

La particularité du mode opératoire de Volt Typhoon est l’absence d’utilisation de malware. Le groupe utilise une technique bien connue nommée “Living-Off the land”, littéralement, “vivre de la terre ”ou l’attaquant n’utilise que des outils légitimes et très souvent déjà présents sur les différents systèmes afin de se fondre plus facilement dans le trafic légitime.

L’augmentation de la complexité des systèmes actuels se reflète dans les outils utilisés pour les gérer. Il est donc courant que des outils natifs intègrent des fonctionnalités supplémentaires qui ne sont pas nécessaires au regard du cas d’usage initialement défini. C’est précisément ceci qui est le cœur de cette technique. On pourra par exemple citer la commande `netsh` initialement utilisée pour configurer le réseau, et utilisée par l’acteur que nous évoquions, qui permet par la commande `portproxy` de pivoter via une machine.

Ce type d’abus est tellement courant que différents sites liés à la sécurité informatique référencent ces utilitaires avec les utilisations détournées qui peuvent en être faite, comme le projet LOLBAS (Living Off The Land Binaries And Scripts).
A l’heure où les campagnes d’envergures ont recours à différents malwares ou framework de post-exploitation, Volt Typhoon se démarque donc par l’utilisation intensive des outils natifs nous rappelant au passage la nécessité de durcir les systèmes mais également de rester vigilant sur la supervision des flux d’administration.

2306 Cve Fr

TOP

vulnérabilités critiques [CVE]
2306 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


L’ escalade de privilèges , également connue sous le nom d’élévation de privilèges, est une technique utilisée par les attaquants pour obtenir des permissions de niveau supérieur sur une application, un système ou un réseau, dans le but de réaliser des opérations avancées ou spécifiques.

Lors d’une première compromission, l’attaquant peut souvent accéder partiellement au système avec des privilèges limités, mais il a besoin de permissions élevées pour atteindre ses objectifs. Selon la cible et les tactiques souhaitées, les approches peuvent varier. Cependant, les principales méthodes consistent à exploiter des faiblesses de configuration, des vulnérabilités dans les programmes ou une mauvaise gestion des droits d’accès.

2306 Tgt Fr

TOP

secteurs d’activité visés
2306 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.