Articles de presse

Avast identifie le groupe APT ciblant plusieurs agences gouvernementales d’Asie orientale

Selon l’enquête menée par Avast, le groupe LuckyMouse pourrait être l’auteur de cette campagne d’attaques qui utilise de nouvelles tactiques sophistiquées pour accéder à des données gouvernementales confidentielles

Selon l’enquête menée par Avast, le groupe LuckyMouse pourrait être l’auteur de cette campagne d’attaques qui utilise de nouvelles tactiques sophistiquées pour accéder à des données gouvernementales confidentielles


Prague, République tchèque / Redwood City, États-Unis, le 9 décembre 2020 — Avast (LSE : AVST), un leader mondial des produits de sécurité et de confidentialité en ligne, a identifié une nouvelle campagne de menaces persistantes avancées (APT — Advanced Persistent Threats) menée contre des administrations et un datacenter exploité par le gouvernement de Mongolie. 

Les chercheurs de l’équipe Avast Threat Intelligence ont découvert que le groupe APT avait installé des portes dérobées et des enregistreurs de frappe pour obtenir un accès à long terme aux réseaux du gouvernement de Mongolie. Pour les chercheurs d’Avast, le groupe LuckyMouse, également connu sous les désignations EmissaryPanda et APT27, serait à l’origine de cette campagne APT. Auteur d’attaques ciblées dans la région, le groupe est réputé pour s’en prendre à des ressources nationales et s’emparer d’informations politiques concernant des voisins proches. 

Au cours de leur enquête et de leurs analyses, les chercheurs d’Avast ont remarqué que le groupe a modifié sa tactique. Pour cette attaque, il a en effet associé des enregistreurs de frappe à des portes dérobées pour téléverser différents outils capables d’analyser le réseau de la cible, afin de récupérer des données d’identification. Ces outils ont également permis aux hackers d’accéder à des données gouvernementales sensibles.

Pour accéder à l’infrastructure de l’administration mongole, le groupe APT a notamment infiltré une entreprise vulnérable qui fournit des services au gouvernement, et envoyé un email malveillant avec pièce jointe infectée qui utilisait des documents militarisés exploitant une faille CVE-2017-11882 non patchée. 

« Le groupe APT Lucky Mouse est actif depuis l’automne 2017, explique Luigino Camastra, chercheur en logiciels malveillants chez Avast. Il a réussi à échapper à Avast pendant deux ans grâce à l’utilisation de techniques en constante évolution et à un changement d’approche significatif. Nous sommes parvenus à détecter ses nouvelles tactiques et à découvrir une campagne qui avait le gouvernement mongol en ligne de mire. Nous nous sommes ainsi rendu compte à quel point le groupe a élargi ses activités, et s’est sophistiqué, pour obtenir un accès à plus long terme à des données sensibles ». 

Une synthèse technique détaillée est disponible en anglais sur Decoded, le blog de l’équipe Avast Threat Intelligence.