Mai 2023

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

2305 Ioc Fr

ECLAIRAGE DU MOIS


Le 29 Mars 2023, une alerte a été émise indiquant que 3CX Desktop, une application téléphonique professionnelle de type IPBX largement répandu avait été observée en train d’effectuer des requêtes anormales incluant du Beaconing vers un C2 et le chargement de malwares. Cette attaque, qui illustre bien les conséquences d’une attaque par chaine d’approvisionnement permettant une intrusion “en cascade” avec un retour sur investissement important pour un attaquant, s’est déroulée en plusieurs étapes : Le point d’entrée identifié étant un installeur ou une mise à jour compromise embarquant des DLL malicieuses chargées via une méthode appelée DLL-Sideloading. Dans les heures qui ont suivies, des règles de détections ont été mises à disposition, et du côté de l’éditeur, l’application compromise a été rendue inaccessible au téléchargement et la désinstallation du logiciel a été conseillée aux utilisateurs au profit de l’interface web. Depuis l’annonce initiale, les investigations se sont poursuivies et ont pu amener un certain nombre de réponses :

• Bien que déjà évoquée lors des premières constatations, l’attribution a été confirmée comme étant l’œuvre d’un groupe nord-coréen identifié par la société de sécurité Mandiant sous la référence UNC4736.

• Le déroulement de l’attaque à, quant à lui, été revu. La thèse d’une brèche initiale au sein de 3CX avait été avancée, cependant l’origine semble être plus éloignée. Celle-ci ayant été retracée jusqu’au logiciel X Trader édité par la société Trading Technologie dans un rapport daté du 21 avril. Ainsi, et bien que cette attaque ait déjà officiellement touchée 2 infrastructures critiques dans le secteur de l’énergie en Europe et aux États-Unis, la liste complète des victimes est encore loin d’être connue.

2305 Cve Fr

TOP

vulnérabilités critiques [CVE]
2305 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Le “Fuzzy hashing ” est une technique utilisée, entre autres usages, pour la détection de malwares. Il s’agit d’une famille d’algorithmes utilisés pour le hachage de différentes parties d’un fichier : les parties semblables de deux fichiers différents possèdent des sommes de contrôles partielles communes ce qui permet d’obtenir des sommes finales respectives avec des similarités. Le postulat du Fuzzy hashing est qu’une petite modification du fichier entraîne une petite modification de la somme de contrôle. Cela est particulièrement intéressant pour faciliter la détection de fichiers similaires et donc de menaces potentielles comme des documents, certificats, pages de phishing, ou encore emails et logiciels malveillants.

Les utilisations du Fuzzy hashing pour la détection de menaces sont multiples :

• Présence d’une donnée dans une autre
• Suivi et détection de copies modifiées ou versions d’un fichier
• Similarités d’utilisation de ressources mémoire/réseau

Il existe plusieurs types d’algorithmes différents pour ce procédé, dont :

• ssDEEP qui utilise des “trigger points” pour déterminer les blocs à calculer. Le nombre de points de déclenchement reste le même peu importe la taille du fichier ce qui assure une somme de contrôle finale de taille constante.

• TLSH qui décompose le fichier en plusieurs segments de taille fixe et mesure la différence entre chaque paire de segments. Les distances sont ensuite utilisées pour calculer la valeur finale.

• ImpHash qui diffère du Fuzzy hashing stricto sensu par son utilisation des noms des modules et fonctions importés, et de leur ordre pour calculer la somme de contrôle d’un fichier binaire.

2305 Tgt Fr

TOP

secteurs d’activité visés
2305 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.