Version anglaise : 🇬🇧
Ce document d’analyse technique vise à alerter d’une menace informatique ciblant les prestataires de service et les bureaux d’études, ainsi que leurs clients. Des attaquants semblent vouloir prendre position sur les réseaux de prestataires afin de récupérer les données, voire d’accéder aux réseaux, de leurs clients.
Les informations contenues dans ce rapport sont issues des analyses de l’ANSSI suite au traitement d’incidents suivant ce schéma d’attaque.
Les premières analyses menées pourraient laisser penser à des attaques en deux phases : elles sont temporellement éloignées et aucun lien technique n’a pour le moment été établi entre les deux. La première phase utilise principalement le code malveillant PlugX. La seconde s’appuie essentiellement sur des outils légitimes et le vol d’identifiants de connexion.
Ce document se concentre sur la seconde intrusion et le mode opératoire d’attaque associé : compromission initiale, élévation des privilèges, outils et codes malveillants, latéralisation et objectifs opérationnels.
Il présente également les recommandations techniques et organisationnelles à suivre pour permettre aux acteurs ciblés de se protéger.
