Les groupes APT les plus souvent identifiés dans les événements signalés aux 2e et 3e trimestres étaient Mustang Panda (Chine), Lazarus (Corée du Nord) et Gamaredon (Russie). Cela ne signifie pas forcément que ces groupes ont été les plus actifs, comme l'indiquent les données télémétriques mondiales, mais qu'ils ont été impliqués dans des attaques et des compromissions à fort impact.

À l'instar de nombreux groupes APT soutenus par la Chine, Mustang Panda est motivé par la collecte d'informations stratégiques dans d'autres régions. Pour parvenir à ses fins, le groupe utilise une approche plus méthodique, priorise l'utilisation d'outils et de malwares personnalisés, et se concentre de manière disciplinée sur des secteurs et des cibles spécifiques. Par comparaison avec d'autres groupes, Mustang Panda est donc davantage susceptible d'être identifié et de faire l'objet de signalements.

Comme de nombreux groupes APT associés à la Corée du Nord, Lazarus est fortement représenté. En effet, le groupe (qui est probablement l'auteur de la campagne de cyberespionnage Operation Dream Job) est davantage motivé par l'appât du gain, exploite un plus large éventail d'outils et cible un panel plus large d'entreprises en plus de ses priorités stratégiques – telles que les attaques visant l'infrastructure militaire, les entreprises liées à la défense nationale ou les ingénieurs nucléaires de premier plan, aux États-Unis, en Israël, en Australie et en Russie.

Pays et régions ciblés

La comparaison des données télémétriques mondiales et des rapports publiés par le secteur de la cybersécurité permet de mettre en lumière des tendances qui, pour certaines, reflètent les conflits militaires et les tensions socioéconomiques dans le monde en 2023. Les groupes APT soutenus par la Russie continuent de lancer des cyberattaques coordonnées contre des entreprises privées et des organisations publiques ukrainiennes. De même, alors que la Chine se livre à des tentatives d'intimidation dans le détroit de Taïwan, des cybercriminels affiliés à la Chine agressent Taïwan à coup de cyberattaques. De la même manière, les groupes APT nord-coréens ciblent la Corée du Sud.

Les données sur les menaces recueillies pour d'autres pays reflètent également les événements mondiaux. Bien que le lien avec des conflits ou des développements géopolitiques plus importants n'ait pas encore pu être démontré, il semble que les principaux acteurs établis recentrent ou étendent leurs activités pour cibler des régions spécifiques.

• La guerre entre Israël et le Hamas – Bien que les hostilités n'aient éclaté qu'en octobre et ne soient dès lors pas reflétées dans les données utilisées pour rédiger ce rapport, les rapports publiés par le secteur et les détections dans cette région ont considérablement augmenté au cours des mois précédents. On ignore si cette activité était un signe avant-coureur des incidents à venir, mais nous pouvons affirmer que les activités des groupes APT d'origine pakistanaise, iranienne et saoudienne ont contribué à déstabiliser encore un peu plus la région.
• L'axe Inde-Pakistan – Par exemple, APT36, un groupe cybercriminel affilié au Pakistan, est connu de longue date pour cibler le secteur de la défense et les entités gouvernementales de l'Inde. Cependant, ces deux derniers trimestres, l'activité du groupe traduit un intérêt accru pour le secteur de l'éducation. Il pourrait s'agir là d'une tentative stratégique pour surveiller et éventuellement compromettre les progrès de l'Inde dans le domaine de la recherche et de la technologie. Plusieurs autres groupes APT ciblent l'Inde, peut-être parce que l'Inde préside le G20 depuis décembre 2022 et a accueilli le sommet du G20 en septembre 2023.
• Turquie et Moyen-Orient – Les attaques des groupes APT à l'encontre de la Turquie, autre membre du G20, ont également enregistré une hausse. Le ciblage effectué par GoldenJackal semble être lié à l'intérêt croissant du groupe pour des attaques visant des pays du Moyen-Orient. De même, SideWinder, qui s'attaquait principalement au Pakistan et au Sri Lanka, porte désormais son attention sur la Turquie, pour des raisons encore non déterminées.

Nous ne manquerons pas de suivre de près ces nouvelles tendances au cours des mois à venir.

Évolution du paysage des ransomwares

Les ransomwares restent le type de cyberattaque le plus courant à travers le monde. Les détections mondiales et les incidents signalés par le secteur, en particulier au 2e trimestre, mettent en évidence des variations inhabituelles au niveau des familles de ransomwares, ainsi que des pays et des secteurs ciblés. Les données du 1er trimestre sont fournies à titre indicatif.

Groupes étatiques et APT actifs

L'analyse de l'activité des 2e et 3e trimestres montre que les « suspects habituels » figurent en haut de la liste. LockBit a été détecté beaucoup plus souvent (54 %) que les autres variantes, devant BlackCat (22 %) et Cuba (20 %). Les signalements du secteur de la cybersécurité les plus courants étaient toutefois imputables à BlackCat et Trigona (tous deux à 6 %).

Pays et régions ciblés

D'un point de vue géographique, les  2e et 3e trimestres nous ont réservé quelques surprises en termes d'activité. L'Inde représente la grande majorité (77 %) des détections de ransomwares et figure en haut du classement pour ce qui est des signalements du secteur de la cybersécurité (7 %). Elle est suivie par

les États-Unis et la Turquie tant pour les détections que pour les événements. Israël, l'Ukraine et la Russie figurent également en bonne place du classement de l'activité des ransomwares au cours de cette période.

Au début, les cybercriminels utilisaient Golang principalement pour créer des échantillons d'infostealer qui les aidaient à obtenir des données confidentielles de leurs victimes, une pratique qui ne représente plus que 3,66 % des détections. Cette année, les cybercriminels qui utilisent des ransomwares en Golang représentent près d'un tiers des détections (32 %). Le fait que les auteurs de malwares aient utilisé Golang pour créer des ransomwares à cette échelle constitue une évolution inquiétante en termes de complexité et de maturité. Les portes dérobées (backdoors) et les chevaux de Troie sont également très répandus parmi les échantillons en Golang, et représentent environ 25 % et 20 %, respectivement. Ces types de malwares sont généralement distribués au moyen de faux logiciels afin d'infecter les équipements des utilisateurs qui les téléchargent.

Il convient toutefois de mettre en avant les incidents où des groupes APT ont développé des malwares en Golang entre autres méthodes et tactiques. Ainsi, un peu plus tôt dans l'année, des chercheurs en sécurité ont mis au jour une nouvelle attaque perpétrée par Sandworm en Ukraine. L'effaceur SwiftSlicer de ce groupe APT a été écrit en Golang. Plusieurs autres incidents ont également été observés, par exemple la distribution par le groupe APT28 affilié à la Russie d'une version en Go de son malware Zebrocy, ou encore le déploiement par le groupe APT Mustang Panda affilié à la Chine d'un nouveau chargeur en Go dans le cadre de plusieurs attaques récentes. Ces observations illustrent la manière dont les cybercriminels s'adaptent au paysage des menaces en recourant aux nouvelles technologies.

Équipements en périphérie

Le paysage des menaces connaît actuellement une évolution majeure, même si elle passe quelque peu inaperçue, qui touche le domaine souvent négligé des équipements en périphérie. Face à l'élargissement incontestable de la surface d'attaque sous l'impulsion de la multiplication et de la diversité des appareils connectés au sein des entreprises, les équipements en périphérie tels que les routeurs et les points d'accès – quel que soit le secteur dans lequel ils sont utilisés – deviennent la nouvelle frontière pour les cybercriminels, notamment les groupes APT.

Les détections d'attaques de malwares à l'encontre de ces types d'équipements en périphérie ne cessent d'augmenter, et aucun fournisseur de points d'accès n'est épargné. Les cybercriminels exploitent les vulnérabilités de ces équipements à de nombreuses fins : par exemple, pour s'implanter dans un réseau en vue de l'explorer ; pour établir des webshells ou des portes dérobées sur le réseau ; pour élever des privilèges ; pour utiliser des équipements dans des réseaux de robots DDoS ; et même pour mener des opérations de cyberespionnage pour le compte d'États-nations.

Les menaces qui ciblent les équipements en périphérie se distinguent par leur subtilité. Au lieu des vulnérabilités facilement prévisibles de l'IoT, nous nous retrouvons face aux défis moins évidents posés par les équipements eux-mêmes. Les équipements en périphérie présentent une complexité unique. Ils sont toutefois incapables de détecter les intrusions. Et contrairement aux composants traditionnels du réseau, ils ne peuvent pas être connectés à un autre IDS ou IPS. Les passerelles de notre environnement numérique constituent, par nature, la première et la dernière ligne de défense, ce qui fait d'elles à la fois des cibles et des points aveugles en termes de visibilité. Les tactiques en constante évolution des cybercriminels et la diversité des architectures d'équipements en périphérie posent des défis immenses.

En 2023, nous avons observé plusieurs incidents où des groupes APT et des familles de ransomwares sophistiquées ont exploité des vulnérabilités des équipements en périphérie pour lancer des attaques majeures :

• Ivanti Endpoint Manager Mobile
  Ivanti Endpoint Manager Mobile présentait deux vulnérabilités : CVE-2023-35081 et CVE-2023-35078. La première permettait la traversée de répertoires, tandis que la deuxième autorisait le contournement de l'authentification. Bien que ces vulnérabilités aient depuis lors été corrigées, elles ont été exploitées en environnement réel en juillet 2023 dans une série d'attaques ciblant la Norvège et son administration publique. L'identité du cybercriminel n'est toujours pas connue à ce jour, mais, compte tenu des objectifs visés, de nombreux experts, dont nos équipes, soupçonnent un groupe APT.
• Barracuda Email Security Gateway
  La CVE-2023-2868 est une vulnérabilité zero-day de type injection de commande à distance de la passerelle Barracuda Email Security Gateway. Cette faille a été exploitée par de nombreux malwares, dès octobre 2022, avant d'être finalement corrigée par le patch BNSF-36456 en mai 2023. UNC4841, un groupe de cyberespionnage affilié à la République populaire de Chine, a utilisé cet exploit de manière intensive pour attaquer des organisations des secteurs de l'éducation, de l'administration publique et de la recherche en Chine, à Hong Kong et à Taïwan.
• Progress MOVEit Transfer
  La CVE-2023-34362 est une vulnérabilité de type injection SQL découverte dans l'application web MOVEit Transfer. Elle a été exploitée par la famille de ransomwares Cl0p en mai et juin 2023. Le groupe s'est attaqué aux secteurs des services financiers, de l'éducation, de l'énergie, de la santé, des technologies et de l'administration publique de plusieurs pays, dont l'Allemagne, la Belgique, le Canada, les États-Unis, la France, le Luxembourg, le Royaume-Uni et la Suisse. Les actions menées par le groupe à la suite de l'exfiltration de données laissent penser que leur principal objectif était vraisemblablement l'exécution d'activités APT plutôt que le paiement de rançons.

La menace de l'IA générative

Avantages pour les cybercriminels

Face aux progrès et à l'évolution des technologies d'intelligence artificielle (IA) et des nouveaux grands modèles de langage (LLM, Large Language Model), de nouvelles solutions et applications exploitent aujourd'hui ces innovations en cybersécurité. Cependant, si ces LLM offrent un potentiel technologique remarquable, leur double usage les rend susceptibles à une exploitation malveillante par des cybercriminels. Les principales applications d'IA générative telles que GPT-3.5, GPT-4, Claude et PaLM2 offrent des capacités inégalées en termes de génération de textes cohérents, de réponse à des requêtes complexes, de résolution de problèmes et de codage, entre autres tâches en langage naturel.

Notre équipe nourrit toutefois des inquiétudes importantes et raisonnables en matière de sécurité quant au fait que les cybercriminels puissent les détourner à leur profit pour mener des attaques de grande envergure. Contrairement aux anciens systèmes d'IA moins sophistiqués, les applications d'IA actuelles offrent aux cyberpirates un outil puissant et économique, sans qu'il soit nécessaire d'y consacrer énormément de temps et de ressources et sans exiger de compétences expertes. Ces applications d'IA sont capables de répondre aux défis majeurs auxquels se heurtent les cybercriminels – qu'il s'agisse de groupes plus petits désireux d'étendre leurs activités ou de plus grands groupes cherchant à améliorer leur ciblage ou leur efficacité. Voici quelques exemples applicables aux attaques de phishing :

• Compétences préalables – Des cybercriminels possédant une expertise limitée et des compétences techniques modestes peuvent utiliser des outils d'IA de manière efficace pour créer des malwares pour leurs attaques. Ces applications permettent aux attaquants de se consacrer à l'élaboration de stratégies avancées et à leur exécution, ce qui renforce l'impact global de leurs activités malveillantes.
• Qualité et quantité – Rédiger des e-mails de phishing personnalisés est une tâche fastidieuse, en particulier dans le cas du spear phishing. L'utilisation de l'IA générative permet de produire des e-mails qui imitent le style rédactionnel humain moyennant une intervention minimale de l'attaquant. Elle peut permettre de générer des volumes substantiels d'e-mails de phishing convaincants, avec une excellente orthographe, en un court laps de temps.
• Charge de travail opérationnelle – Ces outils sont à même de gérer d'importants volumes de données non structurées lors de la phase initiale de collecte des données, en plus de fonctionner en continu. Ils peuvent réduire considérablement le coût par utilisateur d'une attaque, permettant ainsi aux cybercriminels de cibler un public plus large de façon économique. Et comme le coût des ressources cognitives ne cesse de diminuer, ce coût par utilisateur devient encore plus insignifiant.
• Automatisation de l'ingénierie sociale – Les cybercriminels recourent de plus en plus souvent à la technologie pour automatiser l'ingénierie sociale. Ils utilisent des robots pour collecter des données et amener leurs victimes à partager des informations sensibles, telles que des mots de passe à usage unique (OTP). Cette approche réduit la nécessité d'une intervention humaine étendue et limite les traces après l'attaque. Cela a conduit à l'émergence de marchés clandestins proposant des outils automatisés d'ingénierie sociale, notamment des robots de génération de SMS/OTP et des robots de balayage web basés sur des LLM.

Exploitation de LLM malveillants en environnement réel

La disponibilité de logiciels gratuits et open source est à l'origine de l'essor des pirates amateurs (script kiddies), autrement dit de personnes disposant d'une expertise technique très limitée, qui utilisent des outils automatisés ou des scripts préexistants pour lancer des attaques à l'encontre de systèmes informatiques ou de réseaux. Bien qu'ils soient parfois relégués au rang d'amateurs non qualifiés ou de pseudo-hackers, la disponibilité croissante d'outils avancés d'IA générative et leur utilisation potentielle dans la création de malwares signifient que presque tous les acteurs malveillants peuvent constituer une menace majeure et croissante pour le marché.

Les cybercriminels peuvent tirer parti des outils LLM pour améliorer les étapes clés d'une campagne de phishing par la collecte d'informations contextuelles, l'extraction de données permettant d'élaborer des contenus sur mesure, et la génération d'e-mails de phishing en masse pour un faible coût marginal. Bien qu'il existe pour l'instant peu de preuves concluantes suggérant qu'une exploitation des LLM de ce type se produirait déjà, certaines tendances laissent entendre qu'il s'agit d'une possibilité bien réelle. Au vu de la multiplication et de l'amplification rapides des attaques de phishing (des centaines de millions de nouvelles attaques sont recensées chaque trimestre), tout indique que les cybercriminels utilisent des outils LLM pour soutenir leurs activités.

L'IA générative utilisée à des fins malveillantes n'est toutefois qu'un début. Des outils plus avancés voient aujourd'hui le jour, qui utilisent l'IA générative pour déjouer les dispositifs de sécurité des terminaux, créent des malwares qui échappent aux signatures et font peser une menace stratégique sur la cybersécurité. Les futures applications d'IA générative malveillante permettront de contourner efficacement les défenses et offriront un anonymat quasi total, en plus de compliquer l'attribution des attaques, de sorte qu'il sera difficile pour les équipes de sécurité de remonter leur trace. La durée d'implantation s'en trouvera ainsi prolongée, ce qui aura pour effet de faciliter les attaques de type APT discrètes et d'exécution lente. Inévitablement, l'IA générative démocratisera ces capacités pour tous les attaquants, de sorte que l'interprétation des comportements, la détection des anomalies et la surveillance intégrale des terminaux seront fondamentales.

Conclusion

Informations sur les menaces et Threat Intelligence de Trellix : tout commence ici

Nous partageons notre Threat Intelligence afin de vous fournir les renseignements objectifs nécessaires aux décisions capitales vous serez amené à prendre au cours de l'année à venir. Notre objectif est de vous aider à renforcer considérablement vos capacités de cyberdéfense et de réponse en 2024 et au-delà, quelle que soit la manière dont vous choisissez d'exploiter les informations contenues dans ce rapport.

Application : comment utiliser ces informations

• Planification stratégique – Utilisez ce rapport pour informer votre PDG et votre conseil d'administration du renforcement de la complexité, de la dangerosité et de l'anonymat des cybermenaces observé cette année. Trellix aide de nombreux RSSI et autres responsables de la sécurité à élaborer des cas d'utilisation adaptés à leur entreprise.
• Validation financière – Partagez ce rapport en tant que justification indépendante et objective des projets de cyberdéfense que vous avez mis sur pied et des dépenses que vous avez consenties en 2023.
• Rationalisation du budget – Utilisez ce rapport pour justifier la mise à niveau de vos capacités existantes de détection des menaces et de réponse aux incidents au moyen de technologies plus performantes.
• Support opérationnel – Invitez votre équipe SecOps à lire ce rapport, qui constitue une ressource critique et lui offrira un éclairage sur le contexte stratégique plus large de son travail.

Tous ces exemples d'application trouvent leur origine dans la Threat Intelligence. Celle-ci vous aide à mieux appréhender le champ de bataille de la cybersécurité. De même, elle vous aide à expliquer la situation de façon claire et imagée à votre PDG et à votre conseil d'administration. Ce que vous faites et pourquoi. Ce que vous devez entreprendre et ce que cela coûtera. Pourquoi il est essentiel qu'ils vous soutiennent.

Comme nous l'avons déjà dit, tout commence par des informations pertinentes et leur analyse.

Méthodologie

Collecte – Trellix et les experts chevronnés de l'équipe de classe mondiale Trellix Advanced Research Center recueillent les statistiques, les tendances et les résultats d'analyses qui composent ce rapport auprès d'un large éventail de sources mondiales.

• Sources captives – Dans certains cas, les données télémétriques sont générées par les solutions de sécurité Trellix sur les réseaux de cybersécurité des clients et les dispositifs de défense déployés dans le monde entier sur les réseaux des secteurs public et privé, y compris ceux distribuant des services technologiques, d'infrastructure ou de données. Ces systèmes, qui se comptent en millions, génèrent des données à partir d'un milliard de capteurs.
• Sources ouvertes – Dans d'autres cas, Trellix s'appuie sur une combinaison d'outils brevetés, propriétaires et open source pour analyser des sites, des journaux et des référentiels de données sur Internet ainsi que sur le Dark Web, par exemple les « sites de divulgation » où les groupes de ransomware publient des informations sur ou appartenant à leurs victimes.

Normalisation – Les données agrégées alimentent nos plates-formes Insights et ATLAS. Grâce à l'apprentissage automatique, à l'automatisation et à l'acuité humaine, l'équipe effectue une série de processus intensifs, intégrés et itératifs afin de normaliser les données, d'enrichir les résultats, de supprimer les informations personnelles et d'identifier les corrélations entre les méthodes d'attaque, les agents, les secteurs, les régions, les stratégies et les résultats.

Analyse – Ensuite, Trellix analyse ce vaste référentiel d'informations, en le comparant à (1) son importante base de données de Threat Intelligence, (2) des rapports du secteur de la cybersécurité provenant de sources accréditées et respectées, et (3) l'expérience et les connaissances de ses analystes en cybersécurité, spécialistes en investigation, en ingénierie inverse et en investigation numérique, et experts en vulnérabilités.

Interprétation – Enfin, l'équipe Trellix extrait, examine et valide les informations pertinentes qui peuvent aider les responsables de la cybersécurité et les équipes SecOps (1) à comprendre les tendances les plus récentes du paysage des cybermenaces et (2) à utiliser cette perspective pour améliorer leur capacité à anticiper, prévenir et bloquer les cyberattaques à l'avenir.

Ressources

Archives des Rapports sur le paysage des menaces

The Mind of the CISO

Trellix Advanced Research Center Discovers a New Privilege Escalation Bug Class on macOS and iOS

A Royal Analysis of Royal Ransom

Feeding Gophers to Ghidra