RevengeRAT et AysncRAT ciblent les secteurs de l’aérospatiale et du voyage

  • FrançaisFrançais



  • Le vol 718 d’American Airlines, un Boeing 737 Max, est stationné à sa porte à l’aéroport international de Miami alors que les passagers embarquent pour un vol à destination de New York le 29 décembre 2020 à Miami, en Floride. Une campagne de chevaux de Troie d’accès à distance cible les industries de l’aérospatiale et du voyage. (Photo par Joe Raedle / Getty Images)

    Microsoft Security Intelligence plus tôt cette semaine tweeté qu’il a suivi une campagne de chevaux de Troie d’accès à distance (RAT) ciblant les industries de l’aérospatiale et du voyage avec des e-mails de spear-phishing qui distribuent un chargeur activement développé, qui délivre ensuite RevengeRAT ou AysncRAT.

    Dans le cadre de l’échange de tweet, il a été souligné que les attaquants utilisent les RAT pour le vol de données, les activités de suivi et les charges utiles supplémentaires, y compris l’agent Tesla, qu’ils utilisent pour l’exfiltration de données. Le chargeur est en cours de développement actif et est surnommé Snip3 par Morphisec.

    Ces campagnes ne sont pas surprenantes, d’autant plus que nous sortons du verrouillage et que les gens voyagent à nouveau, faisant de l’industrie du voyage une cible très lucrative, a déclaré Chris Morales, responsable de la sécurité de l’information chez Netenrich.

    «Le niveau de ciblage est également une des raisons pour lesquelles il est si difficile de détecter les attaques», a déclaré Morales. «Ils changent et sont adaptés. SecOps doit s’aligner sur les menaces ciblant spécifiquement leurs organisations et ne pas rechercher des menaces génériques. »

    Dirk Schrader, vice-président mondial de la recherche sur la sécurité chez New Net Technologies, a déclaré qu’il s’attend à voir des campagnes de spear-phishing orientées vers le secteur à la sortie de la pandémie.

    «L’utilisation d’un langage et d’une terminologie familiers peut contribuer à l’efficacité d’une campagne ciblée», a déclaré Schrader. «Il n’est pas choquant que les attaquants visent le secteur des transports alors que le secteur est sur le point de reprendre vie. Par conséquent, une campagne bien conçue pour remédier à cette situation est encore meilleure. »

    Roger Grimes, évangéliste de la défense basée sur les données chez KnowBe4, a ajouté que lorsque les attaquants pénètrent dans une entreprise industrielle, ils peuvent lire leurs e-mails et utiliser l’endroit nouvellement compromis comme un «cyberhaven» pour attaquer leurs partenaires.

    «Les e-mails proviennent de personnes et d’adresses e-mail auxquelles les nouvelles victimes ont confiance, en utilisant les fils de discussion auxquels ils ont participé», a déclaré Grimes. «Ainsi, lorsque la demande de cliquer sur un lien ou d’ouvrir un document arrive de manière inattendue, il y a beaucoup plus de chances que la nouvelle victime tombe dans l’arnaque. C’est pourquoi tous les employés doivent apprendre que les e-mails d’hameçonnage peuvent provenir de personnes qu’ils connaissent et en qui ils ont confiance, et qu’il ne suffit pas de se fier à une adresse e-mail, qu’ils la reconnaissent ou non. »

    Grimes a déclaré que la formation de sensibilisation à la sécurité devrait apprendre aux utilisateurs à se méfier des e-mails présentant les caractéristiques suivantes:

    • Les e-mails qui arrivent de manière inattendue.
    • Un e-mail qui demande aux utilisateurs de faire quelque chose de nouveau que l’expéditeur ne leur a jamais demandé de faire auparavant.
    • L’action pourrait nuire à leur propre intérêt ou à celui de leur organisation.

    “Si deux de ces traits sont présents, le destinataire doit ralentir, s’arrêter, réfléchir et vérifier la demande d’une autre manière, comme appeler la personne sur un numéro de téléphone prédéfini”, a déclaré Grimes.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *