Juillet 2022

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher

Indicateurs de compromission (IOCs) identifiés

0

Rapports de compromission identifiés (regroupement d'IoCs)

0

Eclairage du mois

L’éclairage de ce mois-ci fait suite à une communication de mise en garde récemment envoyée à nos utilisateurs sur la vulnérabilité Follina.

Fin mai dernier, une nouvelle vulnérabilité ciblant l’outil Microsoft Support Diagnostic Tool (MSDT) a été découverte. La CVE-2022-30190, plus connu sous le nom de Follina, permet de faire de l’exécution de commande Powershell à distance depuis un document Word ou un fichier au format RTF (Rich Text Format) avec très peu d’interaction utilisateur. Elle semble similaire à la CVE-2021-40444, où un document Word malveillant charge un template HTML en ligne qui va permettre à l’attaquant de lancer un exécutable.

L’outil MSDT est utilisé pour collecter automatiquement des informations de diagnostic et les envoyer à Microsoft. Il peut être appelé à partir d’autres applications par le biais du protocole spécial MSDT URL. Le code arbitraire exécuté par l’attaquant disposera des privilèges de l’application qui a appelé MSDT, à savoir dans le cas présent des droits de l’utilisateur qui a ouvert le fichier malveillant.

À ce jour, nous constatons toujours une exploitation active de cette vulnérabilité : par des groupes de hacker comme APT28 ou TA570, qui l’utilisent pour installer Qakbot, ou le malware DCRat ayant récemment ciblé l’Ukraine, ou encore AsyncRat en Australie.

Le 14 juin Microsoft a publié plusieurs patchs corrigeant cette vulnérabilité dont vous pouvez retrouver la liste ici dans la section « Security Updates ». Nous conseillons très fortement d’appliquer les dernières mises à jour et correctifs disponible.

TOP

vulnérabilités critiques [CVE]

TOP

familles de malwares

Définition du mois

Un packer est un logiciel visant à modifier un binaire sans changer son code exécuté, à des fins diverses.

Les packers légitimes sont souvent utilisés pour réduire la taille d’un exécutable : les données binaires originales sont zippées à l’intérieur d’une section, puis décompressées en mémoire au moment de l’exécution. Le packer peut également être légitimement utilisé pour protéger la propriété intellectuelle en complexifiant l’ingénierie inverse. Les logiciels malveillants utilisent le packer principalement pour éviter la détection. Avec un payload bien identifié (détectée par tous les antivirus), un packer malveillant produira un autre binaire, contenant et exécutant ladite charge malveillante, qui ne sera détecté par aucune solution antimalware.

Avant d’extraire son payload, un packer malveillant prend généralement des mesures pour complexifier son analyse : des techniques anti-debug, anti-VM, anti-sandbox, de cryptage et d’injection de processus sont souvent utilisées par les packers pour vérifier leur environnement et protéger leur payload. Une charge utile malveillante typique ne contient aucune technique pour se cacher, cette tâche est souvent entièrement laissée au packer, qui peut facilement être modifié. Il existe de nombreux packers utilisés par les cybercriminels, dont certains sont basés sur des outils légitimes open source, comme UPX.

Le processus de récupération du payload stocké à l’intérieur d’un fichier traité par le packer est appelé unpacking. Il peut s’agir d’un processus long et complexe, et son automatisation fait encore aujourd’hui l’objet d’efforts actifs de recherche et de développement.

TOP

secteurs visés

TOP

catégories de menaces

A propos du Cyber Threat Barometer

Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise.

Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par LastInfoSec, la plateforme Cyber Threat Intelligence (CTI) de Gatewatcher.

Les moteurs automatisés de collecte, d’analyse et de corrélation de LastInfoSec sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, darknet et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.