Kaspersky détecte une cyberattaque ciblant des organisations industrielles

Les attaquants exploitent des services de cloud computing légitimes pour gérer les logiciels malveillants et déployer des pipelines d’attaque complexes à plusieurs étapes pour contourner les systèmes de détection d’intrusion. Grâce à cela, les méchants peuvent propager des logiciels malveillants sur le système réseau de la victime, installer des outils de contrôle à distance, prendre le contrôle de l'appareil, voler et supprimer des informations confidentielles.

Báo Sài Gòn Giải phóng•20/03/2025

Kaspersky a baptisé la campagne SalmonSlalom pour décrire la manière dont les cybercriminels ont habilement échappé aux défenses du réseau.

Les experts de Kaspersky ICS CERT ont découvert une campagne de cyberattaque ciblant des organisations industrielles de la région Asie-Pacifique (APAC). La campagne ciblait les agences gouvernementales et les organisations industrielles lourdes dans plusieurs pays de la région Asie-Pacifique (APAC), notamment Taïwan (Chine), la Malaisie, la Chine, le Japon, la Thaïlande, la Corée du Sud, Singapour, les Philippines et le Vietnam.

Les pirates informatiques utilisent des fichiers compressés contenant du code malveillant, déguisés en documents fiscaux, pour se propager via des campagnes de phishing sur les e-mails et les applications de messagerie telles que WeChat et Telegram. Une fois le processus complexe d'installation de logiciels malveillants multicouches installé sur le système, les cybercriminels procéderont à l'installation d'une porte dérobée appelée FatalRAT.

Bien que la campagne partage certaines similitudes avec les attaques précédentes utilisant des logiciels malveillants d'accès à distance open source (RAT) tels que Gh0st RAT, SimayRAT, Zegost et FatalRAT, les experts ont remarqué des changements importants dans les tactiques, les techniques et les méthodes de fonctionnement, qui ont tous été adaptés pour cibler les organisations et agences sinophones.

Image Kaspersky 1 - Kaspersky a découvert une nouvelle attaque contre des organisations industrielles en Asie-Pacifique.jpg

Kaspersky a baptisé la campagne SalmonSlalom pour décrire la manière dont les cybercriminels ont habilement échappé aux défenses du réseau grâce à des tactiques sophistiquées et des méthodes en constante évolution, à l'instar du saumon nageant dans un voyage rapide et ardu qui nécessite endurance et ingéniosité pour surmonter les obstacles.

Pour protéger de manière proactive les organisations industrielles lourdes contre cette campagne d’attaque, Kaspersky recommande les mesures suivantes :

- Activez et exigez toujours l'authentification à deux facteurs (2FA) lors de la connexion aux comptes administratifs et aux interfaces Web des solutions de sécurité.

- Installez les dernières versions des solutions de sécurité centralisées sur l'ensemble du système et mettez régulièrement à jour les bases de données antivirus et les modules de programme.

- Mettre à jour les informations sur les dernières menaces (par exemple, provenant de Kaspersky Security Network) pour les groupes de systèmes qui ne sont pas limités par la loi dans l'utilisation des services de sécurité cloud.

- Déployer des systèmes de surveillance de sécurité (SIEM) tels que Kaspersky Unified Monitoring and Analysis Platform…

« Les cybercriminels utilisent des techniques relativement simples pour atteindre leurs objectifs, même dans les environnements de technologies opérationnelles (OT). Cette campagne vise à alerter les entreprises du secteur industriel de la région Asie-Pacifique sur la capacité des acteurs malveillants à pénétrer à distance les systèmes OT. Les organisations doivent sensibiliser à ces menaces, renforcer leurs défenses et réagir proactivement pour protéger leurs actifs et leurs données contre les cyberattaques », a déclaré Evgeny Goncharov, responsable du Kaspersky ICS CERT.

KIM THANH