Forte augmentation des campagnes d'attaques ciblées

Les attaques ciblées (APT) visant des systèmes d'information importants, riches en données et d'une grande influence, ont été et restent l'une des tendances d'attaque privilégiées par de nombreux groupes de pirates informatiques. Cette tendance s'accentue dans le contexte de la migration de nombreuses organisations et entreprises vers un environnement numérique, avec des actifs de données de plus en plus importants.

En fait, la situation de la cybersécurité dans le monde et au Vietnam au cours des premiers mois de cette année a clairement démontré la tendance croissante des attaques ciblées sur les systèmes d'unités opérant dans des secteurs clés tels que l'énergie, les télécommunications, etc. Plus précisément, au Vietnam, au premier semestre 2024, des attaques ciblées utilisant des ransomwares sur les systèmes de VNDIRECT, PVOIL, etc. ont provoqué des perturbations dans les opérations et des dommages matériels et d'image à ces entreprises ainsi qu'aux activités visant à assurer la cybersécurité nationale.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
L'attaque intentionnelle utilisant un logiciel malveillant pour chiffrer les données sur le système de VNDIRECT plus tôt cette année est une leçon importante pour les unités au Vietnam sur la sécurité des informations. Photo : DV

Dans des informations récemment partagées, le Centre national de surveillance de la cybersécurité - NCSC, relevant du Département de la sécurité de l'information, a déclaré que récemment, l'unité a enregistré des informations liées à des campagnes de cyberattaques qui utilisent intentionnellement des logiciels malveillants complexes et des techniques d'attaque sophistiquées pour pénétrer les systèmes d'information importants des organisations et des entreprises, avec pour objectif principal des cyberattaques, le vol d'informations et le sabotage du système.

Dans l'avertissement du 11 septembre envoyé aux unités de sécurité informatique et de l'information des ministères, des branches et des localités, aux sociétés d'État, aux entreprises générales, aux fournisseurs de services de télécommunications, d'Internet et de plateformes numériques et aux organisations financières et bancaires, le Département de la sécurité de l'information a fourni des informations détaillées sur les campagnes d'attaque APT menées par trois groupes d'attaque : Mallox Ransomware, Lazarus et Stately Taurus (également connu sous le nom de Mustang Panda).

Plus précisément, en plus de synthétiser et d'analyser les comportements d'attaque des groupes d'attaque dans 3 campagnes d'attaque ciblées ciblant des systèmes d'information importants, notamment : la campagne d'attaque liée au ransomware Mallox, la campagne du groupe Lazarus utilisant des applications Windows se faisant passer pour des plateformes de vidéoconférence pour diffuser de nombreux types de logiciels malveillants et la campagne du groupe Stately Taurus exploitant VSCode pour attaquer des organisations en Asie, le Département de la sécurité de l'information a également fourni des indicateurs de cyberattaque - IoC afin que les agences, les organisations et les entreprises de tout le pays puissent examiner et détecter les premiers risques de cyberattaques.

Juste avant cela, en août 2024, le Département de la sécurité de l'information a également émis en continu des avertissements concernant d'autres campagnes d'attaques ciblées dangereuses telles que : La campagne utilisant la technique « AppDomainManager Injection » pour propager des logiciels malveillants, identifiée comme liée au groupe APT 41 et affectant des organisations de la région Asie- Pacifique , y compris le Vietnam ; la campagne de cyberattaque menée par le groupe APT StormBamboo, ciblant les fournisseurs de services Internet, dans le but de déployer des logiciels malveillants sur les systèmes macOS et Windows des utilisateurs pour ainsi prendre le contrôle et voler des informations importantes ; la campagne de cyberattaque menée par le groupe d'attaque APT MirrorFace, dont la « cible » est les institutions financières, les instituts de recherche et les fabricants...

modèle d'étape d'attaque 1.jpg
Schéma des étapes de l'attaque du groupe APT StormBamboo ciblant les fournisseurs d'accès Internet, alertés par le Département de la sécurité de l'information le 6 août 2024. Photo : NCSC

Les informations sur les groupes d'attaque ciblés ciblant les grandes organisations et entreprises au Vietnam sont également un contenu sur lequel Viettel Cyber ​​​​Security se concentre sur l'analyse et le partage dans le rapport sur la situation de la sécurité de l'information au Vietnam au premier semestre de cette année.

Plus précisément, l'analyse des experts en cybersécurité de Viettel montre qu'au cours du premier semestre 2024, les groupes d'attaque APT ont modernisé leurs outils et logiciels malveillants. Par conséquent, leur principale méthode d'attaque consiste à utiliser de faux documents et logiciels pour inciter les utilisateurs à exécuter des logiciels malveillants. La technique la plus répandue est le chargement latéral de DLL, qui exploite des fichiers exécutables sains pour charger des DLL malveillantes ou exploiter des vulnérabilités de sécurité CVE.

Les groupes APT évalués par le système technique de Viettel Cyber ​​​​Security comme ayant un impact majeur sur les entreprises et les organisations au Vietnam au cours des premiers mois de 2024 comprennent : Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28, APT27.

Mesures visant à prévenir les risques précoces d'attaque du système par APT

Dans ses avertissements concernant les attaques APT, le Département de la sécurité de l'information recommande aux agences, organisations et entreprises d'inspecter et d'analyser les systèmes d'information qu'elles utilisent et qui pourraient être affectés par la campagne d'attaque. Parallèlement, elles doivent surveiller de manière proactive les informations relatives aux campagnes de cyberattaques afin de prendre des mesures précoces pour prévenir le risque d'attaque.

W-information-system-security-1-1.jpg
Il est conseillé aux agences, organisations et entreprises nationales de renforcer la surveillance et d'élaborer des plans d'intervention lorsqu'elles détectent des signes de cyberexploitation et d'attaques. Photo : LA

Dans le même temps, il est également recommandé aux unités de renforcer la surveillance et de préparer des plans de réponse lors de la détection de signes d'exploitation et de cyberattaques ; de surveiller régulièrement les canaux d'alerte des autorités et des grandes organisations de sécurité de l'information pour détecter rapidement les risques de cyberattaque.

Dans le contexte des cyberattaques, y compris les attaques ciblées, en constante augmentation à l'échelle mondiale et au Vietnam, les experts en sécurité de l'information ont également recommandé aux organisations et entreprises nationales un certain nombre de mesures sur lesquelles se concentrer pour minimiser les risques et maintenir la production continue et les activités commerciales.

Il s'agit de : revoir les processus et les systèmes de gestion des données clients et des données internes ; examiner de manière proactive les signes d'intrusion sur le système, détecter et répondre rapidement aux groupes d'attaque ciblés ; examiner et mettre à niveau les versions de logiciels et d'applications contenant des vulnérabilités de sécurité ayant de graves impacts...

Des techniciens des pays d'Asie-Pacifique s'entraînent à réagir aux attaques APT . L'exercice international APCERT 2024, sur le thème « Réagir aux attaques APT : trouver des solutions aux problèmes complexes », s'est tenu le 29 août, avec la participation de techniciens du Vietnam et d'autres pays d'Asie-Pacifique.