Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Ces dernières semaines, le groupe Volt Typhoon (aussi connu sous le nom Bronze Silhouette) a défrayé la chronique dépassant la sphère de la presse spécialisée pour s’inviter dans les médias grand public. En cause la capacité de ce Threat Actor, qui bénéficie du soutien présumé de la chine, à cibler les infrastructure critiques américaines sous fond des tension géopolitiques actuelles entre les deux nations.
La particularité du mode opératoire de Volt Typhoon est l’absence d’utilisation de malware. Le groupe utilise une technique bien connue nommée “Living-Off the land”, littéralement, “vivre de la terre ”ou l’attaquant n’utilise que des outils légitimes et très souvent déjà présents sur les différents systèmes afin de se fondre plus facilement dans le trafic légitime.
L’augmentation de la complexité des systèmes actuels se reflète dans les outils utilisés pour les gérer. Il est donc courant que des outils natifs intègrent des fonctionnalités supplémentaires qui ne sont pas nécessaires au regard du cas d’usage initialement défini. C’est précisément ceci qui est le cœur de cette technique. On pourra par exemple citer la commande `netsh` initialement utilisée pour configurer le réseau, et utilisée par l’acteur que nous évoquions, qui permet par la commande `portproxy` de pivoter via une machine.
Ce type d’abus est tellement courant que différents sites liés à la sécurité informatique référencent ces utilitaires avec les utilisations détournées qui peuvent en être faite, comme le projet LOLBAS (Living Off The Land Binaries And Scripts).
A l’heure où les campagnes d’envergures ont recours à différents malwares ou framework de post-exploitation, Volt Typhoon se démarque donc par l’utilisation intensive des outils natifs nous rappelant au passage la nécessité de durcir les systèmes mais également de rester vigilant sur la supervision des flux d’administration.
TOP
TOP
DÉFINITION DU MOIS
L’ escalade de privilèges , également connue sous le nom d’élévation de privilèges, est une technique utilisée par les attaquants pour obtenir des permissions de niveau supérieur sur une application, un système ou un réseau, dans le but de réaliser des opérations avancées ou spécifiques.
Lors d’une première compromission, l’attaquant peut souvent accéder partiellement au système avec des privilèges limités, mais il a besoin de permissions élevées pour atteindre ses objectifs. Selon la cible et les tactiques souhaitées, les approches peuvent varier. Cependant, les principales méthodes consistent à exploiter des faiblesses de configuration, des vulnérabilités dans les programmes ou une mauvaise gestion des droits d’accès.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.