Qu’est-ce qui rend l’art, qu’il s’agisse de littérature, de peinture, de cinéma ou de photographie, si stimulant et si précieux qu’il semble hors de notre portée ? Dans tout art de ce type, il y a plus qu’il n’y paraît. Nous ne pouvons pas savoir si ces artistes ont caché dans leur art des messages pour les générations futures.
Lorsque le monde est passé à l’ère digitale, nous avons commencé à utiliser cette technique pour communiquer beaucoup d’informations en une seule image. Prenez par exemple le code QR, un petit carré qui contient une foule de données. Combien de fois avez-vous scanné le code QR qui accompagne votre collation ou votre bouteille d’eau préférée ?
À l’ère du numérique, l’image reste l’une des méthodes les plus utilisées pour dissimuler des données. Il est moins suspect de dissimuler des données à l’intérieur d’images numériques couramment échangées entre internautes. Comme les deux côtés d’une pièce de monnaie, il existe également une autre facette de cette stratégie que les pirates informatiques ont maîtrisée. Les pirates ont récemment fait surface avec cette technique ancestrale mais l’ont remixée pour l’adapter à la génération actuelle en cachant le code dans une image.
Qui sont ces pirates ?
Witchetty, un gang de cyber-espionnage et un sous-groupe du groupe TA410 lié à la Chine (alias APT10), a été découvert en train d’utiliser de nouveaux outils dans des attaques visant des entreprises du Moyen-Orient. Witchetty (alias Lookingfrog) a été documenté pour la première fois par ESET en avril 2022.
Une porte dérobée connue sous le nom de X4 était précédemment utilisée par Witchetty, ainsi qu’un logiciel malveillant de deuxième phase appelé LookBack.
Les nouveaux outils du groupe comprennent un cheval de Troie de porte dérobée (Backdoor.Stegmap) qui utilise la stéganographie, une technique peu connue dans laquelle un code malveillant est enfoui dans une image.
L’accès initial des acteurs de la menace a été obtenu en exploitant les vulnérabilités Microsoft Exchange ProxyShell et ProxyLogon (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 et CVE-2021-27065). Il s’agissait d’installer les shells web sur des serveurs faisant face au public, puis d’aller chercher le fichier malveillant.
Comment éviter de telles attaques avec une solution de gestion et de sécurité des terminaux ?
1) Formez vos employés. Bien qu’il y ait de nombreux segments de formation chaque année, il y a toujours un employé qui clique sur des courriels de phishing, ce qui met en danger toute l’organisation.
2) Assurez-vous que votre solution de gestion des points d’extrémité bloque le téléchargement des pièces jointes des courriels à l’aide d’une fonction qui bloque les exécutables.
3) La solution de gestion des points d’accès doit intégrer une fonction de détection et de réponse aux points d’accès pour empêcher l’écriture de fichiers sur le disque.
4) Assurez-vous d’être à jour dans vos correctifs. Les pirates s’appuient le plus souvent sur les vulnérabilités de l’année dernière pour pénétrer dans le réseau cible, en profitant de la mauvaise administration des serveurs non corrigés exposés au public.
Avec de nombreux agents, applications et solutions et processus de sécurité, nous pensons être en sécurité. Mais nous ne parvenons pas à comprendre si tous ces différents élements vont fonctionner ensemble. Des intégrations transparentes entre les agents de différentes solutions sont indispensables pour disposer d’un environnement de travail sans encombrement. Alors pourquoi s’appuyer sur “trop” de solutions quand une seule peut faire tout le travail pour vous ?
Endpoint Central est une solution exhaustive avec sa propre équipe de R&D qui travaille pour fournir une solution de gestion sûre et sécurisée pour les entreprises et les commerces. Inscrivez-vous pour un essai gratuit, et essayez Endpoint Central maintenant !
Source : Look twice before you “LookBack”
