Attention à l’APT CozyDuke !

Encore une autre APT de la famille  » Duke  » attaque des cibles de choix, y compris des bureaux du gouvernement américain. Il s’agit cette fois de CozyDuke également connu sous le nom de CozyBear, CozyCar ou  » Office Monkey » en référence à la vidéo qu’il emploie comme appât.

L’attaque est relativement sophistiquée : cette dernière inclut des composants chiffrés, des options de non-détection et une série de composants malveillants plutôt bien développés et qui disposent de similarités structurelles avec les menaces antérieures telles que Miniduke, CosmicDuke et Onion Duke.
Une menace dangereuse
Ce qu’il est essentiel de souligner ici est que la méthode d’infiltration initiale de l’attaque se base entièrement sur des techniques d’ingénierie sociale. Et, malheureusement, il s’agit d’une approche efficace dans de nombreuses attaques ciblées.
Comme appât, les hackers proposent une hilarante vidéo sur des singes qui travaillent dans un bureau. Le fichier comprend une vidéo exécutable qui est diffusée via des e-mails de  » spear phishing  » contenant une pièce jointe ou un lien vers un site Web, parfois vers un site légitime ou très connu qui a été compromis au préalable.

Alors que la vidéo est lue, le malware est discrètement installé sur le système prêt à recevoir des ordres et à contrôler les composants malveillants depuis les serveurs de commande et contrôle.
Les cybercriminels ne se sont pas trompés en pensant que de nombreux destinataires lanceraient la vidéo. Non seulement ils l’ont visionnée, mais ils l’ont partagée avec leurs collègues, participant sans le savoir au processus de diffusion du malware. Étant donné les cibles très officielles de ce dernier, la quantité d’informations sensibles qui pourraient être volée ne peut-être que devinée.
La question est donc la suivante : comment éviter des menaces aussi dangereuses quand même vos employés à qui vous faites confiance agissent contre la sécurité que vous avez si bien mise en place ? Il est évident qu’il ne faut pas sous-estimer le pouvoir de l’ingénierie sociale : combien d’employés consciencieux n’ouvriraient pas un lien dans un (faux) e-mail envoyé par leur chef par exemple ?
Comment éviter la menace Office Monkey
Vous pouvez prendre plusieurs précautions de sécurité appelées aussi  » stratégies d’atténuation  » qui vous permettront de travailler efficacement contre les APT les plus sophistiquées et les plus préparées. Par exemple, une simple révision des droits d’administrateur, l’installation des derniers patchs afin de réparer certaines vulnérabilités ainsi que restreindre les droits d’un certain nombre d’applications pourra atténuer les risques d’une attaque ciblée jusqu’à 85%.
Le contrôle des applications de Kaspersky Lab grâce à son système de listes blanches dynamiques pourrait être un atout essentiel ici. La vidéo ainsi que les autres composants malveillants de CozyDuke ne pourraient tout simplement pas être lancés sans y avoir été autorisés au préalable par un administrateur systèmes.
Nos chercheurs découvrent une #APT ciblant les USA et notamment #laMaisonBlanche. #CozyDuke http://t.co/4qY7v2zvuR pic.twitter.com/qYDdWa1xeb
— Kaspersky Lab France (@kasperskyfrance) April 23, 2015

Certains employés disposent peut-être d’une série de devoirs et de responsabilités limités lorsqu’ils manipulent des données hautement sensibles. Un tel scénario peut être résolu en adoptant un mode de contrôle des applications basé sur l’interdiction par défaut, autorisant ainsi uniquement l’utilisation des composants du système et des programmes essentiels au travail de l’employé.
D’autres stratégies utiles, surtout pour les agences gouvernementales et autres entreprises extrêmement contrôlées, peuvent inclure :
– Utiliser une technologie de contrôle Web afin de limiter l’accès uniquement aux ressources Web autorisées ou pour le moins à certaines catégories de sites Web.
– Appliquer des filtres de contenu aux e-mails comme l’offre Kaspersky Security for Exchange / Linux Mail afin de supprimer les e-mails suspects ainsi que leurs pièces jointes (comme les archives), peut-être suivant le poste de l’employé et son expérience.
– Utiliser une technologie de contrôle des appareils afin d’éviter les transferts d’informations non sollicités vers le monde extérieur – ou même au sein du périmètre sécurisé de l’entreprise. Cela permettra également d’éviter la diffusion de malwares et cette approche pourra protéger l’entreprise contre le vol intentionnel de certaines données.
– Réaliser une formation spécialisée en sécurité à vos employés, comme celle qu’offre Kaspersky Lab avec son programme Expertise en sécurité : rapports, analyses et formations.
Cela leur permettra de mieux comprendre les dangers auxquels ils font face même s’ils travaillent dans un bureau extrêmement sécurisé. Ils apprendront également à éviter certaines pratiques dangereuses qui peuvent paraitre innocentes mais qui pourraient bien coûter une fortune à l’entreprise ou même représenter une menace pour la sécurité du pays.
Check out Kaspersky Lab’s Targeted #Cyberattacks Logbook https://t.co/X3IemS4Jf9 #SecurityWithoutBorders pic.twitter.com/p441mWhfuG
— Kaspersky Lab (@kaspersky) March 28, 2015

Ne laissez rien au hasard
Avant une attaque, les hackers responsables de l’APT tenteront de mieux connaitre l’organisation qu’ils ciblent – y compris les employés, le fonctionnement de l’entreprise et le fonctionnement des solutions de sécurité utilisées par l’entreprise. Ces informations sont utilisées pour évaluer les vulnérabilités de la cible et contourner les mécanismes de sécurité existants.
Comment éviter la menace #APT #CozyDuke Tweet
Quand vous faites face à des APT, il est absolument nécessaire d’employer un système de sécurité à plusieurs niveaux afin de doter votre antivirus de choix d’un certain nombre de mesures de sécurité proactives et de couvrir différentes parties de votre réseau de TI. Une fois armé et préparé, vous deviendrez une cible bien moins appétissante pour les hackers.
Source: Kaspersky
Attention à l’APT CozyDuke !