Mars 2022

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher

Indicateurs de compromission (IOCs) identifiés

0

Rapports de compromission identifiés (regroupement d'IoCs)

0

Eclairage du mois

Coup de projecteur ce mois- ci sur Emotet.

Avec 131 496 IoCs, Emotet a été le malware le plus analysé sur le mois de février par la plateforme LastInfoSec.Identifié depuis 2014, il s’agit d’un « loader » de code malveillant qui fait principalement l’objet d’une utilisation « Malware as a Service » en amont d’autres malwares (TrickBot, Qakbot,..) ou d’outils offensifs tels que Cobalt Strike. En janvier 2021, une action des forces de l’ordre, coordonnée par Europol, a permis d’interrompre Emotet, son infrastructure et d’arrêter certains de ses membres.

Les dernières attaques d’Emotet suivent le schéma suivant : une archive ZIP contenant un ou plusieurs fichiers XLS (ou directement un fichier XLS en pièce jointe) avec macro qui va procéder au téléchargement d’un fichier DLL directement en VBA ou en passant par Powershell. Emotet communique ensuite en HTTPs avec son serveur Command & Control à l’aide d’un certificat auto-signé et en utilisant la cryptographie sur les courbes elliptiques

Depuis son retour, en novembre dernier, Emotet est très présent via des campagnes de courriers indésirables. Ces dernières utilisent les macros Excel 4.0 (désactivées par défaut pour les utilisateurs de Microsoft 365) en exploitant notamment la fonctionnalité « Very Hidden » qui permet de cacher des onglets afin que ces derniers soient complètement invisibles pour l’utilisateur ainsi que l’option « auto open » des macros qui permet d’exécuter le malware à l’ouverture du fichier.

TOP

vulnérabilités critiques [CVE]

TOP

familles de malwares

Définition du mois

Une CVE (Common Vulnerabilities and Exposures) fait référence à une faille de sécurité (par exemple : CVE-2021-44228) présente dans une liste officielle et publique de vulnérabilité.

Chaque faille de sécurité y figure sous un nom CVE commun et normalisé (intégrant l’année et l’ordre dans lequel ils ont été inclus dans la liste cette année-là). L’objectif de ce système de références est d’aider à partager les données entre les différentes bases de données de vulnérabilités et les outils de sécurité et de simplifier le suivi et la correction des failles de sécurité des produits pour les professionnels de la sécurité des systèmes d’information.

Cette liste de références est subventionnée par le CISA (Cybersecurity and Infrastructure Security Agency) et supervisée par l’organisme MITRE depuis septembre 1999.

TOP

secteurs visés

TOP

catégories de menaces

A propos du Cyber Threat Barometer

Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise.

Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par LastInfoSec, la plateforme Cyber Threat Intelligence (CTI) de Gatewatcher.

Les moteurs automatisés de collecte, d’analyse et de corrélation de LastInfoSec sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, darknet et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.