Les experts de Kaspersky Managed Detection and Response ont observé une cyberattaque d'espionnage visant une organisation d’Afrique australe et l'ont reliée avec un haut degré de certitude au groupe sinophone APT41. Bien que l'acteur malveillant montre généralement une activité limitée en Afrique australe, cet incident révèle que les attaquants ont ciblé les services informatiques gouvernementaux d'un des pays de la région, dans le but de voler des données sensibles, notamment des identifiants, des documents internes, du code source et des communications, déployés à travers divers outils de vol, tels que Pillager, ou encore Checkout ; parmi d’autres.
Qui est APT41 ?
APT41 est un groupe sinophone classé parmi les acteurs de la menace persistante avancée (Advanced Persistent Threat - APT). Il est reconnu pour ses campagnes de cyberespionnage complexes et ciblées, menées contre des organisations stratégiques dans des secteurs tels que les télécommunications, la santé, l’éducation, l’énergie ou encore les technologies de l’information. Son activité malveillante a été documentée dans plus de 42 pays à travers le monde.
Une compromission initiée via un serveur exposé à Internet
Selon l’analyse rétrospective menée par Kaspersky, les cybercriminels ont probablement accédé au réseau via un serveur web vulnérable, exposé à Internet. Grâce à une technique appelée registry dumping (extraction de registres), ils ont obtenu deux comptes à privilèges élevés :
● un compte disposant de droits d’administrateur local sur l’ensemble des postes de travail,
● un autre lié à une solution de sauvegarde, doté de droits d’administrateur du domaine.
Ces accès ont permis aux attaquants de se déplacer latéralement et de compromettre d’autres systèmes.
Des outils de vol de données avancés et personnalisés
L’attaque reposait sur plusieurs outils malveillants, notamment :
● Pillager, modifié pour
fonctionner comme une bibliothèque dynamique (DLL), utilisé pour extraire des
identifiants stockés dans les navigateurs, bases de données, outils
d’administration, ainsi que des captures
d’écran, conversations de messagerie,
emails, code source, logiciels
installés, identifiants système
et mots de passe Wi-Fi.
● Checkout, un second stealer capable de collecter des données de carte bancaire stockées, l’historique de navigation et les fichiers téléchargés.
Les attaquants ont également utilisé :
● RawCopy, pour extraire des fichiers du registre,
● Mimikatz (DLL) pour dérober des
identifiants,
● Cobalt Strike, pour assurer la commande et le contrôle (C2) à distance des machines compromises.
SharePoint détourné pour passer inaperçu
« Fait notable, les attaquants ont également utilisé le serveur SharePoint de l’organisation comme canal de communication C2. Ce choix s’explique probablement par sa présence déjà légitime dans l’infrastructure, ce qui le rendait moins suspect. Ils y ont connecté des agents C2 personnalisés via une web-shell, afin de contrôler les systèmes et exfiltrer les données de façon discrète », explique Denis Kulik, analyste principal SOC chez Kaspersky Managed Detection and Response. « Pour contrer ce type d’attaque avancée, il est essentiel de disposer d’une visibilité complète sur l’infrastructure, d’une détection en continu, et de restreindre les privilèges accordés aux comptes utilisateurs. »
Recommandations de Kaspersky
Une analyse détaillée de l'incident est disponible sur Securelist. Pour atténuer ou prévenir des attaques similaires, il est conseillé aux organisations de suivre ces bonnes pratiques :
● Veiller à ce que des solutions de sécurité soient déployées sur tous les postes de travail de l'organisation, sans exception, afin de permettre une détection rapide des incidents et de minimiser les dommages potentiels.
● Vérifier et contrôler les privilèges des services et des comptes utilisateurs, en évitant d'attribuer des droits excessifs, en particulier pour les comptes utilisés sur plusieurs postes au sein de l'infrastructure.
● Pour protéger l'entreprise contre un large éventail de menaces, il est recommandé d’utiliser les solutions de la gamme Kaspersky Next qui offrent une protection en temps réel, une visibilité sur les menaces, des capacités d'investigation et de réponse EDR et XDR pour les organisations de toutes tailles et de tous secteurs. En fonction des besoins actuels et des ressources disponibles, il est possible de choisir le niveau de produit le plus adapté et de migrer facilement vers un autre si les exigences en matière de cybersécurité évoluent.
● Adopter les services de sécurité gérés de Kaspersky, tels que Compromise Assessment,Managed Detection and Response (MDR) et/ou Incident Response, qui couvrent l'ensemble du cycle de gestion des incidents, de l'identification des menaces à la protection continue et à la remédiation. Ils permettent de se protéger contre les cyberattaques furtives, d'enquêter sur les incidents et d'obtenir une expertise supplémentaire, même si une entreprise ne dispose pas de personnel spécialisé en cybersécurité.
● Offrir aux professionnels de la sécurité informatique une visibilité approfondie sur les cybermenaces qui ciblent une organisation. Les dernières informations sur les menaces de Kaspersky leur fourniront un contexte riche et significatif tout au long du cycle de gestion des incidents et les aideront à identifier les cyberrisques en temps opportun.
