Infos

Secteur industriel et bureaux d’ingénieurs du Moyen-Orient victimes de l’opération Ghoul

Des chercheurs ont identifié aujourd’hui une série d’attaques ciblées continues dont l’objectif principal est le vol d’information sensibles dans des entreprises et des bureaux d’ingénieurs au Moyen-Orient.

Le groupe à l’origine de cette campagne baptisée Operation Ghoul par les chercheurs de l’Equipe internationale de recherche et d’analyse de Kaspersky Lab aurait à ce jour lancé des attaques contre 130 organisations dans 30 pays d’après un rapport publié ce mercredi.

Alors que les attaques visent principalement des pays du Moyen-Orient (70 % des attaques ont touché des entreprises établies aux Emirats arabes unis), les chercheurs ont également observé des attaques menées en Inde, au Royaume-Unis et en Allemagne. En dehors du Moyen-Orient, c’est en Espagne que la campagne Ghoul a été la plus active : 25 organisations de ce pays ont été victimes d’attaques.

Les chercheurs affirment que le côté rudimentaire de cette attaque qui n’utilise qu’un seul centre de commande ne doit pas faire oublier le danger qu’elle représente.

« A la différence des attaques parrainées par un gouvernement et qui choisissent soigneusement leurs cibles, ce groupe et les groupes similaires pourraient attaquer n’importe quelle entreprise. L’utilisation d’outils malveillants assez rudimentaires ne rend pas ces attaques moins efficaces pour la cause » explique Mohammad Amin Hasbini, expert en sécurité chez Kaspersky Lab. Il ajoute que les entreprises qui ne sont pas prêtes pour identifier les attaques vont malheureusement souffrir.

Les attaques reposent sur des messages de harponnage avec des pièces jointes compressées .7z. Quand celles-ci sont ouvertes, un malware de vol de données est lancé. Le fichier exécutable du malware commence à récupérer les mots de passe, les frappes au clavier et des captures d’écran qu’il transmet ensuite aux attaquants. Dans certains cas, les victimes sont amenées à cliquer sur des liens de phishing.

Le malware, qui repose sur l’outil d’espionnage commercialisé HawkEye, s’empare également des informations d’identification des serveurs FTP, des données de compte dans les navigateurs, les clients de messagerie instantanée et électroniques et les données du presse-papiers. Ensuite, les attaquants utilisent une combinaison de publications HTTP GET et de messages électroniques dans les organisations déjà compromises pour extraire les données.

Les messages électroniques envoyés aux cadres et membres de la direction des entreprises ciblées, semblent provenir d’une banque aux Emirats arabes unis, la Emirates NBD, et possèdent un objet étrange comme « Your payment copy advice from Emirates NBD Bank/subsidiary. »

La vague la plus récente d’attaques a débuté le 8 et le 27 juin, mais les chercheurs affirment que des éléments associés aux fichiers malveillants et aux sites d’attaques laissent penser que Ghoul pourrait remonter à mars 2015.

Cette campagne est la dernière en date dans une longue liste d’attaques ciblant le secteur industriel au Moyen-Orient.

Des entreprises du secteur énergétique au Moyen-Orient avaient été ciblées il y a quelques années par des attaquants qui utilisaient le malware d’espionnage njRAT. A l’instar de ce qui se passe dans l’opération Ghoul, les attaquants plaçaient un trojan à accès à distance dans l’infrastructure des sociétés afin de récolter des données telles que les informations d’identification enregistrées dans les navigateurs, voler des fichiers, voir le Bureau de l’utilisateur et accéder à leur ordinateur.

En 2013, des attaquants avaient utilisé le trojan bancaire Citadel contre des entreprises pétrochimiques au Moyen-Orient. Dans le cadre de ces attaques, les auteurs ciblaient la messagerie en ligne de ces entreprises. Les attaquants pouvaient accéder aux emails d’un employé ou d’un sous-traitant et envoyer des messages pour organiser des campagnes de phishing.

Fonte: Threatpost

Secteur industriel et bureaux d’ingénieurs du Moyen-Orient victimes de l’opération Ghoul

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception