Selon SentinelOne (récapitulatif « The Good, the Bad and the Ugly » semaine 39), plusieurs opérations récentes illustrent des tactiques avancées d’acteurs menaçants contre des infrastructures et des entreprises occidentales.
• Opération Collins Aerospace: les forces de l’ordre britanniques ont procédé à une arrestation rapide après l’attaque ayant perturbé plusieurs aéroports européens. L’incident souligne la capacité de nuisance sur la chaîne aéroportuaire et la réactivité judiciaire au Royaume‑Uni.
• Opérations liées à la DPRK: des groupes nord‑coréens coordonnent le vol d’identités de développeurs pour des arnaques au recrutement et l’infiltration d’équipes IT via des travailleurs proxy. Des équipes organisées opèrent en quarts de 10–16 heures avec des scripts préparés pour conduire ces campagnes de recrutement frauduleux.
• Campagne UNC5221 (liée à la Chine): déploiement du malware BRICKSTORM — un backdoor en Go pour Linux/BSD — sur des appliances réseau et appareils périmétriques dépourvus d’EDR, avec des temps de présence supérieurs à un an 🕒. Les cibles incluent des entreprises technologiques et cabinets juridiques américains. Objectifs: accès aux emails 📨 et, potentiellement, développement de zero‑day. Pour l’accès initial, UNC5221 exploite des vulnérabilités Ivanti Connect Secure, pivote vers l’infrastructure VMware avec des identifiants capturés, et abuse de Microsoft Entra ID Enterprise Applications avec les portées mail.read et full_access_as_app pour un accès mail étendu.
TTPs clés:
- Accès initial: exploitation de vulnérabilités Ivanti Connect Secure.
- Mouvement/pivot: accès à VMware via identifiants compromis.
- Accès cloud/messagerie: abus d’Entra ID Enterprise Applications avec mail.read et full_access_as_app.
- Persistance/backdoor: BRICKSTORM en Go sur Linux/BSD déployé sur edge devices sans EDR; dwell time > 1 an.
- Ingénierie sociale DPRK: usurpation d’identités, faux recrutements, travailleurs IT proxy, scripts de travail, quarts prolongés (10–16 h).
- Impact: perturbation d’aéroports européens; ciblage de sociétés tech et cabinets juridiques US.
Type: analyse de menace (récapitulatif hebdomadaire) visant à informer sur les acteurs, malwares et TTPs observés.
🔗 Source originale : https://www.sentinelone.com/blog/the-good-the-bad-and-the-ugly-in-cybersecurity-week-39-7/