Accueil Cyber Sécurité Analyse l’arsenal des méthodes de cyberattaque de XeGroup

Analyse l’arsenal des méthodes de cyberattaque de XeGroup

88
0

À une époque où la cybercriminalité devient de plus en plus imprévisible, il est difficile de dire véritablement ce qui nous attend au tournant. À la fin de l’année dernière, nous avons toutefois fait plusieurs prédictions clés pour 2023.

Après avoir continué à observer une hausse des techniques de menaces adaptatives hautement évasives (HEAT), une nouvelle classe de cybermenaces qui ont émergé – celles-ci ont été conçues pour échapper aux outils de protection tels que les pare-feu, les passerelles Web sécurisées et les technologies d’analyse des logiciels malveillants, et nous nous attendons à en voir davantage à l’avenir.

Dans le même temps, nous avons anticipé que les défaillances de sécurité de base continueraient d’affliger les entreprises, avec des méthodes simples et éprouvées telles que les techniques d’ingénierie sociale qui offrent souvent des portes ouvertes aux attaquants. Nous avons également identifié les attaques basées sur les navigateurs comme un domaine clé de préoccupation, les attaquants exploitant à la fois les nouvelles et les anciennes vulnérabilités.

En fin de compte, la vérité est que les acteurs de la menace continuent… à s’adapter et à faire évoluer leurs techniques.. Et par conséquent, nous observons une combinaison de nouvelles menaces et de méthodes d’attaque éprouvées qui, ensemble, créent un paysage de menaces de plus en plus volatile.

Bien sûr, certains groupes d’attaquants ont développé des antécédents en concentrant principalement leurs efforts sur l’exploitation d’une vulnérabilité ou l’utilisation d’une technique. Cependant, d’autres ont démontré leur appétit pour le déploiement d’une gamme de méthodes de menace pour cibler leurs victimes.

En ce qui concerne cette dernière catégorie, XeGroup en est un excellent exemple.

On pense qu’il a été créé et qu’il est actif depuis au moins 2013, ce groupe de menace qui est probablement basé au Vietnam a été responsable d’un certain nombre d’activités néfastes, notamment :

  • Des attaques de la chaîne d’approvisionnement qui injectent des skimmers de cartes de crédit dans des pages web.
  • Création de faux sites web pour tromper les utilisateurs et les amener à révéler leurs informations personnelles.
  • Vendre des données volées sur le dark web.
Lire aussi :  Les pirates s'attaquent aux satellites

Les antécédents de XeGroup

Groupe de recherche sur la sécurité, Volexité a détaillé les tactiques, techniques et procédures (TTP) spécifiques utilisées par XeGroup dans un rapport récent, ce qui suggère que le groupe peut être associé à d’autres organisations cybercriminelles et à des groupes de piratage parrainés par l’État.

Le groupe a été identifié pour la première fois en 2013 lorsqu’il a réussi à exploiter des systèmes de points de vente au détail (PoS) à l’échelle mondiale grâce à son logiciel malveillant appelé “Snipr”, qui a été créé spécifiquement à cette fin.

En effet, on estime que cet ensemble de menaces a volé plus de 30 millions de dollars à des entreprises basées aux États-Unis, et qu’il a compromis plusieurs sites Web et applications mobiles avec un code malveillant conçu pour voler les données des cartes de paiement de clients peu méfiants.

On peut dire que la technique la plus répandue utilisée par XeGroup est l’injection de JavaScript malveillant dans les pages Web, précédemment utilisée pour exploiter avec succès les vulnérabilités des plateformes de commerce électronique Magento et du logiciel serveur Adobe ColdFusion.

En outre, en plus de voler directement des informations financières, XeGroup a également fait ses preuves en tentant d’accéder aux réseaux d’entreprise par le biais de courriels d’hameçonnage envoyés à l’aide de faux domaines usurpant l’identité de sociétés légitimes, telles que PayPal et eBay.

De telles activités se sont poursuivies pendant sept ans jusqu’en août 2020, date à laquelle XeGroup aurait été mis hors d’état de nuire après que les chercheurs de Volexity ont fait part de leurs découvertes aux forces de l’ordre, ce qui a donné lieu à plusieurs arrestations clés à travers plusieurs pays.

Méthodes d’attaque adaptées

Mais malheureusement, il semble que XeGroup soit à nouveau réapparu, et tente désormais activement d’exploiter la vulnérabilité CVE-2019-18935.

Si cela est fait avec succès, cela peut permettre aux acteurs de la menace d’exécuter du code arbitraire à distance sur un serveur vulnérable en exploitant une vulnérabilité de désérialisation dans l’assemblage Telerik.Web.UI.

Ces efforts ont été signalés par les États-Unis. Agence pour la cybersécurité et la sécurité des infrastructures (CISA) dans un consultatif publié le 15 mars 2023. D’autres recherches menées par l’équipe threat intel de Menlo Labs affirment que les acteurs de XeGroup ciblent des agences gouvernementales, des entreprises de construction et des organisations de santé dans notre base de clients.

Lire aussi :  Risques liés au modèle linguistique ChatGPT

De plus, XeGroup est désormais associé à l’utilisation de shells web ASPXSPY – des scripts intentionnellement conçus pour être malveillants, permettant aux acteurs de la menace d’obtenir un accès non autorisé aux serveurs web et de mener d’autres attaques.

Se protéger contre des menaces variées

La diversité des techniques de menace de XeGroup souligne à quel point il est impératif pour les organisations d’améliorer leurs défenses pour lutter contre les attaques HEAT d’aujourd’hui et les autres menaces à la sécurité.

Les entreprises ne peuvent plus se contenter de solutions obsolètes de détection et de remédiation. Aujourd’hui, elles doivent également adopter des mesures de sécurité préventives pour s’assurer que toutes les tentatives des acteurs de la menace peuvent être déjouées en premier lieu.

La technologie d’isolation est un moyen simple d’y parvenir. Conçue pour aider les organisations à atteindre la confiance zéro au sens propre, c’est une solution qui crée un “trou d’air numérique” qui garantit que tout le code actif – qu’il soit malveillant ou non – est exécuté dans des conteneurs cloud isolés, ce qui élimine tout risque lié aux vecteurs d’attaque courants du web et du courrier électronique.

Brett Raybould est architecte de solutions EMEA chez Menlo Security

Tu pourrais aussi lire :

Menaces adaptatives hautement évasives &amp ; Menaces persistantes avancées:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

  • Individuel 5€ par mois ou 50€ par an. S’inscrire
  • Multi-utilisateurs, entreprises &amp ; comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible


” Bilan de l’année : Les plus grosses brèches de sécurité applicative de 2022

Article précédentLa mise à jour Windows 11 KB5027231 bloque Google Chrome pour les utilisateurs de Malwarebytes
Article suivantLes plus grosses failles de sécurité des applications de 2022