Le dernier rapport trimestriel 2023 de Kaspersky détaille les développements les plus significatifs de la menace étatique dont les attaques démontrent une évolution constante des techniques. L'une des révélations majeures de ce trimestre concerne l'opération "Triangulation", une campagne d'ampleur impliquant une plateforme de maliciels iOS inconnue jusqu'à présent. « Cette découverte souligne l'audace et l'innovation constante des acteurs de la menace, qui cherchent sans cesse à exploiter de nouvelles failles », souligne le rapport.
Au début du mois de juin, Kaspersky a émis une alerte concernant une campagne de longue date suivie par ses experts et baptisée Opération Triangulation, impliquant une plateforme de logiciels malveillants iOS jusqu'alors inconnue, distribuée via des exploits iMessage en zéro-clic. Les employés de Kaspersky ont également été touchés par cette menace. En plus de contacter des partenaires de l'industrie pour évaluer la diffusion de cette menace, l’éditeur a fourni une méthodologie d’investigation pour aider les lecteurs à déterminer si leur organisation est ciblée par le groupe inconnu à l'origine de ces attaques. Kaspersky a ensuite publié un utilitaire permettant de vérifier les indicateurs de compromission (IoC).
Mysterious Elephant, un nouvel acteur asiatique
Dans une série de rapports qui ont suivi, les experts de Kaspersky ont décrit la charge utile finale et son rôle dans la chaîne d'infection. Il s’agit d’un implant de logiciel espion très sophistiqué qu’ils ont baptisé "TriangleDB". Fonctionnant en mémoire, cet implant communique périodiquement avec l'infrastructure C2 (commande et contrôle) pour recevoir des ordres. Il permet aux attaquants de parcourir et de modifier les fichiers de l'appareil, d'obtenir les mots de passe et les informations d'identification, de récupérer les informations de géolocalisation, et d'exécuter des modules supplémentaires, ce qui leur permet d'étendre leur contrôle sur les appareils compromis.Le rapport de Kaspersky met également en évidence l'émergence d'un nouvel acteur APT en Asie-Pacifique, baptisé "Mysterious Elephant". Ce dernier, qui fait partie de la famille d'acteurs de menace "Elephants", utilise de nouvelles portes dérobées pour exécuter des fichiers et des commandes sur l'ordinateur de la victime. Malgré les similitudes avec Confucius et SideWinder, Mysterious Elephant se distingue par un ensemble unique de tactiques, techniques et procédures (TTP).
Les aléas géopolitiques continuent de jouer un rôle majeur
De plus, les acteurs de la menace améliorent en permanence leurs techniques, comme le démontre le groupe Lazarus qui a mis à jour son framework MATA pour créer une nouvelle variante, MATAv5. De son côté, BlueNoroff, une subdivision de Lazarus spécialisée dans les cyberattaques financières, a adapté ses méthodes de diffusion et ses langages de programmation, tandis que le groupe APT ScarCruft a développé de nouvelles méthodes d'infection échappant au mécanisme de sécurité MOTW.Selon Kaspersky, les tendances géopolitiques continuent de jouer un rôle majeur dans les activités des APT. Les campagnes sont géographiquement dispersées, avec des attaques ciblées sur l'Europe, l'Amérique latine, le Moyen-Orient et certaines régions d'Asie. Le cyberespionnage reste ainsi une préoccupation majeure, largement influencé par le contexte géopolitique.
« Si certains acteurs de la menace s'en tiennent à des tactiques familières telles que l'ingénierie sociale, d'autres font évoluer les TTP, en mettant à jour leurs outils et en élargissant le cadre et la diversité de leurs activités. En outre, de nouveaux acteurs avancés, tels que ceux qui mènent la campagne 'Operation Triangulation', émergent constamment. Cet acteur utilise une plateforme de logiciels malveillants iOS inconnue jusqu'alors, distribuée par le biais d'exploits iMessage en zéro clic », a commenté David Emm, chercheur principal en sécurité GReAT de Kaspersky.