Elastic Security Labs a découvert une campagne sophistiquée de cyberespionnage, désignée sous le nom de REF7707, ciblant le ministère des Affaires étrangères d’un pays d’Amérique du Sud et liée à d’autres compromissions en Asie du Sud-Est. Cette campagne utilise de nouvelles familles de malwares, notamment FINALDRAFT, GUIDLOADER et PATHLOADER. Malgré l’ingénierie avancée de ces outils, les attaquants ont fait preuve d’une mauvaise sécurité opérationnelle et de tactiques d’évasion incohérentes, conduisant à l’exposition d’une infrastructure supplémentaire leur appartenant.
Points Clés :
-
Déploiement de malwares inédits : REF7707 a utilisé des malwares uniques contre plusieurs cibles, FINALDRAFT présentant des variantes pour Windows et Linux.
-
Abus de binaires légitimes : Les attaquants ont employé des binaires légitimes détournés, tels que
certutilde Microsoft, pour télécharger des fichiers malveillants sur les systèmes ciblés. -
Commandement et contrôle via des services cloud : La campagne s’appuie fortement sur des services cloud et tiers pour les communications de commandement et de contrôle (C2).
-
Lacunes en matière de sécurité opérationnelle : Des pratiques de sécurité inadéquates ont conduit à l’exposition involontaire d’échantillons de malwares en pré-production et d’infrastructures non utilisées, fournissant aux défenseurs des informations précieuses sur les méthodes des attaquants.
Analyse de nos experts :
La campagne REF7707 illustre un paradoxe dans les opérations modernes de cyberespionnage : la fusion d’un développement de malwares sophistiqués avec des lacunes flagrantes en matière de sécurité opérationnelle. Bien que les attaquants aient démontré une grande compétence technique en concevant des malwares multiplateformes et en exploitant des outils légitimes à des fins malveillantes, leurs stratégies d’évasion incohérentes et leurs erreurs de sécurité ont compromis leurs efforts. Cette dichotomie souligne l’importance pour les organisations d’adopter une posture de sécurité holistique qui non seulement se concentre sur la détection des menaces avancées, mais aussi tire parti des erreurs opérationnelles des adversaires pour améliorer les capacités de renseignement et de réponse aux menaces.
Lire l’article complet ici.
