Tout d’abord, les criminels pénètrent dans le réseau de la victime grâce au spear phishing puis envoient un fichier LNK malveillant qui se fait passer pour le document d’un employé de l’entreprise. Le fichier s’avère être un raccourci qui lance l’interpréteur de commandes du système, cmd.exe, et s’en sert pour exécuter un script malveillant. La victime voit un document sans aucune signification (au format PDF, DOC ou DOCX) ce qui lui laisse croire qu’elle a ouvert un fichier normal.

…/…

La description des méthodes et des outils utilisés par le groupe permet de savoir quels dangers menacent une entreprise, même assez petite, dans le monde moderne. Évidemment, il est peu probable que ce groupe soit un acteur d’APT d’autant que les astuces utilisées ne sont pas vraiment complexes. Pourtant, ses outils sont conçus pour déjouer de nombreuses solutions de sécurité. Nos experts conseillent de prendre ces quelques mesures de protection :

• Soyez particulièrement attentif aux processus lancés par des interpréteurs de langage de scripts, notamment powershell.exe et cscript.exe. S’ils ne sont objectivement pas nécessaires pour vos tâches professionnelles, désactivez-les.
• Faites attention aux attaques commises par les fichiers LNK reçus par e-mails.
• Utilisez des technologies de protection avancées, y compris des solutions de type EDR.

Nous avons notamment une solution intégrée dans notre arsenal capable d’assumer les fonctions des plateformes de protection des postes de travail (EPP) et des technologies de protection, de détection et de réponse (EDR).

Lire l’intégralité de l’article :

• Le groupe DeathStalker s’en prend aux entreprises relativement petites et à leurs secrets industriels.
  • https://www.kaspersky.fr/blog/deathstalker-powersing/15529/

Views: 1