Se connecter
Inscription
Mot de passe perdu
Publié le 16/10/2017 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 16 octobre 2017 – Le système avancé de prévention des exploits de Kaspersky Lab a identifié un nouvel exploit zero-day d’Adobe Flash, utilisé dans une attaque menée le 10 octobre par un acteur malveillant connu sous le nom de BlackOasis. Cet exploit se propage via un document Microsoft Word et déploie le malware commercial FinSpy. Kaspersky Lab a signalé cette vulnérabilité à Adobe, qui a publié un correctif.
Selon les chercheurs de Kaspersky Lab, le zero-day CVE-2017-11292 a été détecté lors d’une attaque en temps réel. Ils conseillent aux entreprises et organisations gouvernementales d’installer immédiatement la mise à jour d’Adobe.
Les chercheurs pensent que le groupe responsable de cette attaque était également à l’origine du CVE-2017-8759, un autre zero-day, signalé en septembre, et sont convaincus que l’acteur malveillant impliqué est BlackOasis, également connu sous le nom de Neodymium, que l’équipe d’analyse et de recherche mondiale (Global Research & Analysis Team) de Kaspersky Lab a commencé à suivre en 2016.
L’analyse révèle que le malware FinSpy (également appelé FinFisher) est installé sur l’ordinateur cible dès qu’il parvient à exploiter la vulnérabilité. FinSpy est un malware commercial, généralement vendu aux États-nations et aux forces de l’ordre pour mener des activités de surveillance. Par le passé, l’utilisation de ce malware était principalement domestique, les forces de l’ordre le déployant uniquement pour surveiller des cibles locales. BlackOasis est une importante exception à la règle car elle l’utilise contre un grand nombre de cibles à travers le monde. Cela semble indiquer que FinSpy alimente à présent les opérations de renseignement du monde entier, un pays pouvant l’utiliser contre un autre. Les entreprises développant des logiciels de surveillance tels que FinSpy rendent donc possible cette course aux armements.
Le malware utilisé dans cette attaque est la version la plus récente de FinSpy, équipée de multiples techniques anti-analyse pour compliquer l’analyse judiciaire.
Après son installation, le malware s’implante dans l’ordinateur attaqué et se connecte à ses serveurs de commande et de contrôle situés en Suisse, en Bulgarie et au Pays-Bas pour attendre des instructions supplémentaires et exfiltrer des données.
D’après l’évaluation de Kaspersky Lab, les intérêts de BlackOasis couvrent tout un ensemble de personnalités impliquées dans la politique du Moyen-Orient, y compris des figures éminentes des Nations Unies, des blogueurs et activistes d’opposition, ainsi que des correspondants de presse locaux. BlackOasis semble également s’intéresser à des secteurs verticaux revêtant une importance particulière dans la région. Au cours de l’année 2016, les chercheurs de l’entreprise ont ainsi observé un vif intérêt pour l’Angola, illustré par des documents d’appât indiquant des cibles soupçonnées de liens avec l’industrie pétrolière, le blanchiment d’argent et d’autres activités. On note également un intérêt pour des activistes et groupes de réflexion internationaux.
À ce jour, on a observé des victimes de BlackOasis dans les pays suivants : Russie, Irak, Afghanistan, Nigéria, Libye, Jordanie, Tunisie, Arabie saoudite, Iran, Pays-Bas, Bahreïn, Royaume-Uni et Angola.
« L’attaque utilisant l’exploit zero-day récemment découvert constitue le troisième cas cette année où nous observons une distribution de FinSpy via des exploits de vulnérabilités zero-day. Auparavant, les acteurs déployant ce malware abusaient des problèmes critiques dans les produits Microsoft Word et Adobe. Nous croyons que le nombre d’attaques s’appuyant sur le logiciel FinSpy, soutenu par des exploits zero-day tels que celui décrit ici, continuera à croître, » a déclaré Anton Ivanov, Lead Malware Analyst chez Kaspersky Lab.
Les solutions de sécurité de Kaspersky Lab détectent et bloquent avec succès les exploits utilisant cette vulnérabilité récemment découverte.
Les experts de Kaspersky Lab conseillent aux organisations de prendre les mesures suivantes pour protéger leurs systèmes et données contre cette menace :
· S’il n’est pas déjà mis en place, utiliser le killbit pour le logiciel Flash et, dans la mesure du possible, le désactiver complètement.
· Installer une solution de sécurité avancée à plusieurs volets qui couvre tous les réseaux, systèmes et terminaux.
· Éduquer et former le personnel au sujet des tactiques d’ingénierie sociale car cette méthode est souvent utilisée pour contraindre une victime d’ouvrir un document malveillant ou de cliquer sur un lien infecté.
· Mener régulièrement des évaluations de sécurité de l’infrastructure IT de l’organisation.
· Utiliser le service Threat Intelligence de Kaspersky Lab qui suit les cyberattaques, les incidents ou les menaces et fournit aux clients des informations pertinentes et actualisées sur des éléments dont ils n’ont pas connaissance. Pour davantage d’informations, contactez intelreports@kaspersky.com
Pour obtenir les détails techniques, y compris les indicateurs de compromis et les règles YARA, veuillez consulter l’article de blog concerné sur Securelist.com.
Selon les chercheurs de Kaspersky Lab, le zero-day CVE-2017-11292 a été détecté lors d’une attaque en temps réel. Ils conseillent aux entreprises et organisations gouvernementales d’installer immédiatement la mise à jour d’Adobe.
Les chercheurs pensent que le groupe responsable de cette attaque était également à l’origine du CVE-2017-8759, un autre zero-day, signalé en septembre, et sont convaincus que l’acteur malveillant impliqué est BlackOasis, également connu sous le nom de Neodymium, que l’équipe d’analyse et de recherche mondiale (Global Research & Analysis Team) de Kaspersky Lab a commencé à suivre en 2016.
L’analyse révèle que le malware FinSpy (également appelé FinFisher) est installé sur l’ordinateur cible dès qu’il parvient à exploiter la vulnérabilité. FinSpy est un malware commercial, généralement vendu aux États-nations et aux forces de l’ordre pour mener des activités de surveillance. Par le passé, l’utilisation de ce malware était principalement domestique, les forces de l’ordre le déployant uniquement pour surveiller des cibles locales. BlackOasis est une importante exception à la règle car elle l’utilise contre un grand nombre de cibles à travers le monde. Cela semble indiquer que FinSpy alimente à présent les opérations de renseignement du monde entier, un pays pouvant l’utiliser contre un autre. Les entreprises développant des logiciels de surveillance tels que FinSpy rendent donc possible cette course aux armements.
Le malware utilisé dans cette attaque est la version la plus récente de FinSpy, équipée de multiples techniques anti-analyse pour compliquer l’analyse judiciaire.
Après son installation, le malware s’implante dans l’ordinateur attaqué et se connecte à ses serveurs de commande et de contrôle situés en Suisse, en Bulgarie et au Pays-Bas pour attendre des instructions supplémentaires et exfiltrer des données.
D’après l’évaluation de Kaspersky Lab, les intérêts de BlackOasis couvrent tout un ensemble de personnalités impliquées dans la politique du Moyen-Orient, y compris des figures éminentes des Nations Unies, des blogueurs et activistes d’opposition, ainsi que des correspondants de presse locaux. BlackOasis semble également s’intéresser à des secteurs verticaux revêtant une importance particulière dans la région. Au cours de l’année 2016, les chercheurs de l’entreprise ont ainsi observé un vif intérêt pour l’Angola, illustré par des documents d’appât indiquant des cibles soupçonnées de liens avec l’industrie pétrolière, le blanchiment d’argent et d’autres activités. On note également un intérêt pour des activistes et groupes de réflexion internationaux.
À ce jour, on a observé des victimes de BlackOasis dans les pays suivants : Russie, Irak, Afghanistan, Nigéria, Libye, Jordanie, Tunisie, Arabie saoudite, Iran, Pays-Bas, Bahreïn, Royaume-Uni et Angola.
« L’attaque utilisant l’exploit zero-day récemment découvert constitue le troisième cas cette année où nous observons une distribution de FinSpy via des exploits de vulnérabilités zero-day. Auparavant, les acteurs déployant ce malware abusaient des problèmes critiques dans les produits Microsoft Word et Adobe. Nous croyons que le nombre d’attaques s’appuyant sur le logiciel FinSpy, soutenu par des exploits zero-day tels que celui décrit ici, continuera à croître, » a déclaré Anton Ivanov, Lead Malware Analyst chez Kaspersky Lab.
Les solutions de sécurité de Kaspersky Lab détectent et bloquent avec succès les exploits utilisant cette vulnérabilité récemment découverte.
Les experts de Kaspersky Lab conseillent aux organisations de prendre les mesures suivantes pour protéger leurs systèmes et données contre cette menace :
· S’il n’est pas déjà mis en place, utiliser le killbit pour le logiciel Flash et, dans la mesure du possible, le désactiver complètement.
· Installer une solution de sécurité avancée à plusieurs volets qui couvre tous les réseaux, systèmes et terminaux.
· Éduquer et former le personnel au sujet des tactiques d’ingénierie sociale car cette méthode est souvent utilisée pour contraindre une victime d’ouvrir un document malveillant ou de cliquer sur un lien infecté.
· Mener régulièrement des évaluations de sécurité de l’infrastructure IT de l’organisation.
· Utiliser le service Threat Intelligence de Kaspersky Lab qui suit les cyberattaques, les incidents ou les menaces et fournit aux clients des informations pertinentes et actualisées sur des éléments dont ils n’ont pas connaissance. Pour davantage d’informations, contactez intelreports@kaspersky.com
Pour obtenir les détails techniques, y compris les indicateurs de compromis et les règles YARA, veuillez consulter l’article de blog concerné sur Securelist.com.
Plus d'articles dans cette catégorie
24/04/2024 @ 16:21:26
Poster un commentaire
Jeux Vidéos
Tablettes
Google
