Outre l’intensification des attaques, le quatrième trimestre de 2021 a vu le retour aux affaires d’un groupe qu’on croyait dissout, DarkSide, alias BlackMatter dorénavant, et des techniques d’attaque dites « Living off the land ».
Fruits de la fusion de McAfee et de FireEye, Trellix vient de publier son rapport trimestriel sur l’état de la menace, Advanced Threat Research Report : January 2022. Outre les « affaires courantes » de la sphère cyber, les chercheurs de Trellix ont identifié quelques faits qui méritent l’attention.
« Alors que nous avons terminé l’année 2021 en nous concentrant sur la résurgence de la pandémie et les révélations autour de la vulnérabilité Log4j, notre plongée en profondeur dans l’activité des cybermenaces au troisième trimestre a révélé de nouveaux outils et tactiques notables parmi les groupes de ransomware et les acteurs de la menace globale avancée », a déclaré Raj Samani, chief scientist et Fellow chez Trellix.
DarkSide, le retour
En effet, le rapport note le retour d’un groupe APT DarkSide, sous le nom de BlackMatter, alors qu’il avait déclaré avoir cessé ses activités. C’est ce même groupe qui avait publié un communiqué de presse pour annoncer qu’il ne s’attaquerait pas aux hôpitaux et aux établissements scolaires. Reprenant en grande partie le même mode opératoire que celui utilisé par DarkSide dans l’attaque Colonial Pipeline, BlackMatter a continué à utiliser la double extorsion, menaçant de divulguer les données des victimes si celles-ci ne payaient pas de rançon.
Avec l’intensification de la lutte contre les attaques, Trellix a observé une maturation des techniques que des groupes APT « hautement qualifiés » utilisent pour contourner les contrôles de sécurité et réaliser leurs opérations. Au troisième trimestre 2021, des outils d’opérations de sécurité tels que Cobalt Strike ont été utilisés par des acteurs, cautionnés par des états étatiques pour accéder au réseau de leur victime.
Cobalt Strike est un outil de simulation couramment utilisé par les hackers éthiques pour étudier les méthodes d’attaque et améliorer la réponse aux incidents. Repris par les attaquants, cet outil a été détecté dans plus d’un tiers des campagnes APT analysées. Mimikatz, qui est un outil de post-exploitation permettant d’obtenir un meilleur accès au réseau d’une victime, ou bien de renforcer les droits de l’utilisateur pour exécuter des tâches une fois qu’un acteur a accès à l’appareil d’une victime, a également été détecté dans plus d’un quart des campagnes.
« Vivre sur le dos de la bête »
D’autres outils, internes cette fois, ont été utilisés pour s’attaquer aux systèmes informatiques. Trellix note que les tactiques de type « living off the land », qui peut être traduit par « vivre sur le dos de la bête », utilisent des outils natifs des OS. L’avantage est de pouvoir accéder au système cible sans avoir à développer des outils avancés. Par exemple, PowerShell a été utilisé dans 42 % des cas et Windows Command Shell (CMD) dans 40 % des cas pour exécuter des commandes et obtenir un accès. Parmi les autres outils d’exploitation natifs couramment utilisés figurent Rundll32, WMIC et Excel, ainsi que des outils de services distants administratifs comme AnyDesk, ConnectWise Control, RDP et WinSCP.
Parmi les chiffres annoncés, l’étude révèle les zones géographiques de provenance des attaques. Bizarrement, n’y figurent que les groupes parrainés par la Russie et la Chine, qui comptent pour 46 % des attaques cumulées. Une évaluation basée « sur les indicateurs techniques disponibles », affirme Trellix. Cependant, si 46 % des attaques sont dues à la Russie et la Chine, à quel pays doit-on les 54 % restants ?