Forte augmentation des campagnes d’attaques ciblées

Les attaques ciblées - APT sur des systèmes d'information importants avec beaucoup de données et une grande influence, ont été et sont l'une des tendances d'attaque choisies par de nombreux groupes de hackers. Cette tendance se renforce dans le contexte où de nombreuses organisations et entreprises déplacent leurs opérations vers l’environnement numérique, avec des actifs de données de plus en plus volumineux.

En fait, la situation de la cybersécurité dans le monde et au Vietnam au cours des premiers mois de cette année a clairement démontré la tendance croissante des attaques ciblées sur les systèmes d'unités opérant dans des secteurs clés tels que l'énergie, les télécommunications, etc. Plus précisément, au Vietnam, au premier semestre 2024, les attaques ciblées utilisant des ransomwares sur les systèmes de VNDIRECT, PVOIL, etc. ont provoqué des perturbations dans les opérations et des dommages matériels et d'image à ces entreprises ainsi qu'aux activités visant à assurer la cybersécurité nationale.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
L'attaque intentionnelle utilisant des logiciels malveillants pour crypter les données dans le système de VNDIRECT plus tôt cette année est une grande leçon pour les unités au Vietnam sur la manière de garantir la sécurité des informations. Photo : DV

Dans des informations récemment partagées, le Centre national de surveillance de la cybersécurité - NCSC, relevant du Département de la sécurité de l'information, a déclaré que récemment, l'unité a enregistré des informations liées à des campagnes de cyberattaques qui utilisent intentionnellement des logiciels malveillants complexes et des techniques d'attaque sophistiquées pour pénétrer les systèmes d'information importants des organisations et des entreprises, avec pour objectif principal des cyberattaques, le vol d'informations et le sabotage du système.

Dans l'avertissement du 11 septembre envoyé aux unités spécialisées en informatique et en sécurité de l'information des ministères, des branches et des localités ; sociétés, entreprises publiques, entreprises fournissant des services de télécommunications, d'Internet et de plateformes numériques, et organisations financières et bancaires, le Département de la sécurité de l'information a fourni des informations détaillées sur les campagnes d'attaques APT menées par trois groupes d'attaque : Mallox Ransomware, Lazarus et Stately Taurus (également connu sous le nom de Mustang Panda).

Plus précisément, en plus de synthétiser et d'analyser les comportements d'attaque des groupes d'attaque dans 3 campagnes d'attaque ciblées ciblant des systèmes d'information importants, notamment : la campagne d'attaque liée au ransomware Mallox, la campagne du groupe Lazarus utilisant des applications Windows se faisant passer pour des plateformes de visioconférence pour diffuser de nombreux types de logiciels malveillants et la campagne du groupe Stately Taurus exploitant VSCode pour attaquer des organisations en Asie, le Département de la sécurité de l'information a également fourni des indicateurs de cyberattaque - IoC afin que les agences, les organisations et les entreprises de tout le pays puissent examiner et détecter les premiers risques de cyberattaques.

Juste avant cela, en août 2024, le Département de la sécurité de l'information a également émis en permanence des avertissements concernant d'autres campagnes d'attaques ciblées dangereuses telles que : La campagne utilisant la technique « AppDomainManager Injection » pour propager des logiciels malveillants, identifiée comme liée au groupe APT 41 et affectant des organisations de la région Asie-Pacifique, y compris le Vietnam ; Une campagne de cyberattaque menée par le groupe APT StormBamboo, ciblant les fournisseurs d'accès Internet, dans le but de déployer des logiciels malveillants sur les systèmes macOS et Windows des utilisateurs pour prendre le contrôle et voler des informations importantes ; La campagne de cyberattaque a été menée par le groupe d'attaque APT MirrorFace, les « cibles » étant des institutions financières, des instituts de recherche et des fabricants...

modèle d'étape d'attaque 1.jpg
Schéma des étapes de l'attaque du groupe APT StormBamboo visant les fournisseurs d'accès Internet, prévenus par la Direction de la sécurité de l'information le 6 août 2024. Photo : NCSC

Les informations sur les groupes d'attaques ciblées ciblant les grandes organisations et entreprises au Vietnam sont également un contenu sur lequel Viettel Cyber ​​​​Security se concentre sur l'analyse et le partage dans le rapport sur la situation de la sécurité de l'information au Vietnam au premier semestre de cette année.

Plus précisément, l'analyse des experts en cybersécurité de Viettel montre qu'au cours du premier semestre 2024, les groupes d'attaque APT ont mis à niveau les outils et les logiciels malveillants utilisés dans les campagnes d'attaque. En conséquence, la principale méthode d’attaque des groupes APT consiste à utiliser de faux documents et logiciels pour inciter les utilisateurs à exécuter du code malveillant ; et la technique populaire utilisée par de nombreux groupes est le DLL-Sideloading, qui consiste à tirer parti de fichiers exécutables propres pour charger des DLL malveillantes ou via des vulnérabilités de sécurité CVE.

Les groupes APT évalués par le système technique de Viettel Cyber ​​​​Security comme ayant un impact majeur sur les entreprises et les organisations au Vietnam au cours des premiers mois de 2024 comprennent : Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28, APT27.

Mesures visant à prévenir les risques précoces d'attaque du système par APT

Dans les avertissements concernant les campagnes d'attaques ciblées APT, le Département de la sécurité de l'information recommande aux agences, organisations et entreprises de procéder à des inspections et des examens des systèmes d'information utilisés qui pourraient être affectés par la campagne d'attaque. Parallèlement, surveillez de manière proactive les informations liées aux campagnes de cyberattaques pour agir rapidement et éviter le risque d’être attaqué.

W-information-system-security-1-1.jpg
Il est conseillé aux agences, organisations et entreprises nationales de renforcer la surveillance et d’élaborer des plans d’intervention lorsqu’elles détectent des signes d’exploitation et d’attaques informatiques. Photo : LA

Dans le même temps, il est également recommandé aux unités de renforcer la surveillance et d’élaborer des plans d’intervention en cas de détection de signes d’exploitation et de cyberattaques ; Surveillez régulièrement les canaux d’alerte des autorités et des grandes organisations de sécurité informatique pour détecter rapidement les risques de cyberattaque.

Dans le contexte des cyberattaques, y compris les attaques ciblées, en constante augmentation à l'échelle mondiale et au Vietnam, les experts en sécurité de l'information ont également recommandé aux organisations et entreprises nationales un certain nombre de mesures sur lesquelles se concentrer pour minimiser les risques et maintenir la continuité des activités de production et commerciales.

C'est-à-dire : Révision des processus, des systèmes de gestion des données clients, des données internes ; Analyser de manière proactive le système à la recherche de signes d’intrusion, détecter et réagir rapidement aux groupes d’attaque ciblés ; Examiner et mettre à niveau les versions de logiciels et d’applications contenant des vulnérabilités de sécurité ayant de graves répercussions...

Le personnel technique des pays d'Asie-Pacifique s'entraîne à répondre aux attaques APT . L'exercice international APCERT 2024 sur le thème « Répondre aux attaques APT : trouver des solutions aux problèmes difficiles » s'est tenu le 29 août, avec la participation du personnel technique du Vietnam et d'autres pays d'Asie-Pacifique.