NetTravelerest de retour et applique de nouvelles ruses pour se propager

Les chercheurs de Kaspersky Lab ont annoncé aujourd’hui un nouveau vecteur d’attaque de NetTraveler (également connu sous le nom de « Travnet » ou « Netfile »), une menace avancée persistante qui a déjà infecté des centaines de victimes très connues dans plus de 40 pays. Parmi les cibles connues de NetTraveler figurent des activistes tibétains/ouïghours, des compagnies pétrolières, des centres et des instituts de recherche scientifique, des universités, des entreprises privées, des gouvernements et des institutions gouvernementales, des ambassades et autres fournisseurs de matériel militaire.

2013-09-03Comment 156790973

Immédiatement après la publication de l’information des opérations NetTraveler en juin 2013, les cybercriminels ont arrêté tous les systèmes de commande et de contrôle connus, avant de les déplacer sur de nouveaux serveurs en Chine, à Hong Kong et à Taiwan. Ils ont également continué à mener leurs attaques sans entraves, comme l’indique le cas présent.

Ces derniers jours, de nombreux courriels de spear-phishing (harponnage) ont été envoyés à plusieurs activistes ouïghours. L'exploit Java utilisé dans ce cadre (qui diffuse une nouvelle variante de l'APT Red Star) a de bien plus grandes chances de réussir que les exploits Office précédemment utilisés (CVE-2012-0158) pour lesquels Microsoft a déjà publié un correctif en avril 2013. L'exploit Java actuellement utilisé a bénéficié d'un correctif en juin 2013.

Outre les courriels de spear-phishing, des auteurs de menaces APT (Advanced Persistant Threats) ont utilisé la technique dite du "wateringhole" (point d'eau) pour infecter des victimes qui étaient en train de surfer sur le Web. Dans ce cadre, ils ont employé des détournements de sites web et des téléchargements intempestifs.

Le mois dernier, Kaspersky Lab a intercepté et bloqué diverses tentatives d'infection du domaine "wetstock[dot]org". Il est connu que ce site web a été impliqué dans de précédentes attaques NetTraveler. Ces détournements semblent provenir d'autres sites associés aux Ouïghours qui ont été contaminés par des attaques NetTraveler.

Les experts GReAT (Global Research and Analysis Team) de Kaspersky Lab prédisent que d’autres exploits récents pourraient être intégrés et utilisés contre les cibles du groupe, et ils proposent des recommandations sur la manière de se protéger contre ce genre d’attaques:

● Mettre à jour Java vers la version la plus récente ou, si vous n’utilisez pas Java, le désinstaller.

● Mettre à jour Microsoft Windows et Office vers les versions les plus récentes.

● Mettre à jour tous les autres logiciels tiers, comme Adobe Reader.

● Utiliser un navigateur sûr comme Google Chrome, qui a un cycle de développement et de correctifs plus rapide que l’Internet Explorer par défaut de Windows.

● Eviter de cliquer sur des liens et d’ouvrir des pièces jointes provenant de personnes inconnues.

“A ce stade, nous n’avons pas observé l’utilisation de vulnérabilités « zero-day » avec le groupe NetTraveler. Pour se protéger contre celles-ci, bien que les correctifs ne servent à rien, des technologies telles que Automatic Exploit Prevention et DefaultDeny peuvent se révéler assez efficaces dans la lutte contre les menaces persistantes avancées”, précise CostinRaiu, Directeur de la Global Research & Analysis Team au sein de Kaspersky Lab.

Pour obtenir de plus amples informations sur de nouvelles attaques NetTraveler, veuillez vous reporter à securelist.com.