Alors que les entreprises se concentrent sur la compromission des e-mails professionnels (BEC), les ransomwares et les logiciels malveillants de base, une cybermenace majeure passe sous leur radar : les acteurs de la menace persistante avancée (APT).
Un nouveau rapport de chercheurs en cybersécurité, Proofpoint, affirme que plusieurs acteurs APT ciblent spécifiquement les PME, avec des objectifs allant du cyber-espionnage au vol de propriété intellectuelle (IP), des campagnes de désinformation au comportement purement destructeur.
Dans certains cas, les APT recherchent également de l’argent, en particulier lorsqu’ils ciblent des entreprises de blockchain et des solutions de financement décentralisé (DeFi).
Intérêts alignés
Il n’est pas rare non plus que ces APT aient des «intérêts alignés» avec des pays comme la Russie, l’Iran ou la Corée du Nord, ont ajouté les chercheurs. Ces groupes sont aussi des adversaires assez redoutables, affirme le rapport.
Les chercheurs les décrivent comme des « acteurs de la menace qualifiés », qui sont bien financés et avec un objectif clair en tête. Leur modus operandi inclut généralement le phishing. Premièrement, ils usurpent l’identité ou prennent le contrôle d’un domaine ou d’une adresse e-mail SMB, puis l’utilisent pour envoyer un e-mail malveillant aux cibles suivantes.
Si un APT a compromis un serveur Web hébergeant un domaine, il l’utilisera ensuite pour héberger ou livrer des logiciels malveillants à des cibles tierces.
L’un de ces groupes est TA473, également connu sous le nom de Winter Vivern. Cet APT a été observé ciblant des entités gouvernementales américaines et européennes avec des e-mails de phishing entre novembre 2022 et février 2023. Le groupe avait utilisé des e-mails provenant de domaines hébergés WordPress non corrigés ou non sécurisés, pour cibler ses victimes. Il a également utilisé des serveurs de messagerie Web Zimbra non corrigés pour compromettre les comptes de messagerie des entités gouvernementales.
En fin de compte, le paysage du phishing APT devient « de plus en plus complexe », disent les chercheurs, ajoutant que les acteurs de la menace « cherchent avidement » à cibler les PME vulnérables et les MSP régionaux.