Les agences ‘Five Eyes’ publient un rapport sur les outils de piratage

Les agences de cybersécurité aux États-Unis, au Royaume-Uni, au Canada, en Australie et en Nouvelle-Zélande ont publié un rapport conjoint décrivant 5 des outils de piratage les plus couramment utilisés.

Le rapport a été rédigé par des experts du Centre australien de cybersécurité (ACSC), du Centre canadien pour la cybersécurité (CCCS), du Centre national de cybersécurité de Nouvelle-Zélande (NZ NCSC), du CERT New Zealand, du Centre britannique de cybersécurité du Royaume-Uni (NCSC) et le Centre national américain d’intégration de la cybersécurité et des communications (NCCIC).

Selon ses auteurs, l’objectif du rapport est de fournir aux défenseurs du réseau et aux administrateurs système des conseils sur la manière de détecter les outils et de limiter leur efficacité. Cinq types d’outils sont décrits: les chevaux de Troie d’accès à distance (RAT), les Shells Web, les Lateral Movement Frameworks, les obfuscateurs de commande et contrôle (C & C) et les usurpateurs d’identité, tous pouvant être utilisés une fois que le système ciblé a été compromis.

Le RAT inclus dans le rapport est JBiFrost, une variante d’Adwind. Les agences ont averti que si JBiFrost était principalement utilisé par des acteurs de la menace peu qualifiés et des cybercriminels, il peut également être utile aux groupes parrainés par l’État. JBiFrost fonctionne sous Windows, Linux, macOS et Android. Ses capacités incluent le lateral movement, l’installation de logiciels malveillants supplémentaires, le lancement d’attaques par déni de service (DDoS) et le vol d’informations.

Les agences ont averti que JBiFrost était de plus en plus utilisé dans des attaques ciblées visant des opérateurs d’infrastructures critiques et leur chaîne d’approvisionnement. Le shell Web mentionné dans le rapport s’appelle China Chopper et permet aux pirates d’accéder à distance aux serveurs compromis. Largement utilisé depuis 2012, le shell ne fait que 4 Ko et sa charge utile est facile à modifier, ce qui le rend plus difficile à détecter.

China Chopper a été utilisé à l’été 2018 lors d’une attaque qui exploitait une vulnérabilité d’Adobe ColdFusion sous le nom CVE-2017-3066Un autre outil décrit dans le rapport est , une application open source populaire qui existe depuis plus de dix ans. Mimikatz a été utilisé par de nombreux groupes de menaces pour voler des mots de passe, notamment lors des récentes attaques de NotPetya et de Bad Rabbit.

Les agences de cybersécurité ont également mis en garde contre , un Lateral Movement Framework publié en 2015 en tant qu’outil légitime de test d’intrusion. PowerShell Empire permet aux attaquants d’élever les privilèges, de collecter les informations d’identification, d’enregistrer les frappes au clavier, de rechercher les hôtes proches et de se déplacer latéralement sur le réseau.

Cet outil a été utilisé ces dernières années dans des attaques visant le secteur énergétique britannique, des organisations sud-coréennes dans le cadre d’une campagne sur le thème des Jeux olympiques d’hiver, un cabinet d’avocats multinational et des universités. Le dernier outil de piratage décrit dans le rapport est HUC Packet Transmitter (), qui permet aux acteurs malveillants d’obfuscifier les communications. Les pirates s’en servent pour échapper à la détection, contourner les contrôles de sécurité, dissimuler le trafic de C&C et améliorer leur infrastructure de C & C.

Ces outils ont été utilisés pour compromettre les informations dans un large éventail de secteurs critiques, notamment la santé, les finances, le gouvernement et la défense. Leur disponibilité généralisée constitue un défi pour la défense de réseau et l’attribution d’acteurs indique le rapport. L’expérience de tous nos pays montre clairement que, même si les cyber-acteurs continuent de développer leurs capacités, ils utilisent toujours les outils et techniques établis. Même les groupes les plus sophistiqués utilisent des outils communs et accessibles au public pour atteindre leurs objectifs.

Source

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *