Démasquer les APTs les Plus Dangereux Ciblant le Secteur Financier
Renforcer votre défense avec la plateforme SOC Prime
Les organisations financières ont toujours été une cible de choix pour les adversaires soutenus par des États, car elles cherchent constamment des sources de profit supplémentaires. Les menaces persistantes avancées (APT) ciblant le secteur financier peuvent avoir des conséquences dévastatrices, car elles visent à compromettre les institutions financières, à voler des données sensibles et à perturber les systèmes financiers. Les APT mènent des campagnes soutenues et méthodiques qui peuvent s’étendre sur des mois, voire des années. Elles emploient des tactiques avancées pour éviter la détection, utilisant des techniques telles que les exploits zero-day, et le chiffrement pour masquer leurs activités.
Il est important de noter que le paysage des menaces évolue constamment, et de nouveaux groupes APT peuvent émerger tandis que les existants adaptent leurs tactiques. Les institutions financières doivent maintenir des mesures de cybersécurité robustes, incluant la détection des menaces, la formation des employés et les plans de réponse aux incidents, pour se défendre efficacement contre ces APT. De plus, partager les renseignements sur les menaces au sein du secteur financier et avec les agences de la loi peut aider à la détection précoce et à l’atténuation des attaques APT.
Soutenue par une expertise collective en cybersécurité, la plateforme SOC Prime propose des outils avancés de détection et de chasse aux menaces pour aider à se défendre de manière proactive contre les attaques APT ciblant les institutions financières.
Commencez avec SOC PrimeParlez avec des experts
Les APT dans ce secteur sont généralement sophistiquées et bien financées, les rendant particulièrement dangereuses. Ces groupes de cyberespionnage incluent des États-nations, des groupes soutenus par des États et des organisations cybercriminelles avancées. Plongeons plus en profondeur dans certains des APT les plus dangereux ciblant l’industrie financière et explorons la liste du contenu de détection pertinent qui aborde les techniques des adversaires utilisées par les acteurs menaçants correspondants.
FIN7 (Carbanak Group)
FIN7, également connu sous le nom de Carbanak, entre autres noms, est décrit comme l’un des groupes de hacking criminels les plus réussis au monde. Le groupe de hackers aurait volé plus de 900 millions de dollars aux banques ainsi qu’à plus d’un millier de clients privés.
FIN7 initiait généralement ses cyberattaques en envoyant un email de « phishing » à un employé d’une entreprise. Chaque email incluait un fichier joint, souvent un document Microsoft Word à l’apparence anodine, avec un logiciel malveillant intégré. Le texte de l’email simulait un message légitime lié aux affaires pour amener l’employé à ouvrir le fichier joint et à activer le logiciel malveillant qui infecterait l’ordinateur.
Les criminels ont pu manipuler leur accès aux réseaux bancaires respectifs pour voler de l’argent de différentes manières. Dans certains cas, les distributeurs automatiques étaient instruits de distribuer de l’argent sans avoir à interagir localement avec le terminal. Des mules collectaient l’argent et le transféraient via le réseau SWIFT vers les comptes des criminels.
Détecter les TTP de FIN7 alias Carbanak Group
APT19 alias Deep Panda
APT19, également connu sous le nom de Deep Panda, est un groupe de menaces parrainé par l’État, supposément basé en Chine. Ce groupe de hackers est actif depuis au moins 2011 et est connu pour ses attaques ciblées sur divers secteurs, avec un fort accent sur l’industrie financière. En 2017, une campagne de phishing visait sept cabinets juridiques et d’investissement. Cette campagne était associée à APT19, qui utilisait trois techniques différentes pour tenter de compromettre les cibles :
- Début mai, les appâts de phishing utilisaient des pièces jointes RTF qui exploitaient la vulnérabilité Microsoft Windows décrite comme CVE-2017-0199.
- Vers la fin mai, ce groupe de hackers a commencé à utiliser des documents Microsoft Excel (XLSM) avec macros activées.
- Dans les versions les plus récentes, APT19 a ajouté un contournement de la liste blanche des applications aux documents XLSM. Au moins un appât de phishing observé livrait une charge utile Cobalt Strike.
Les principaux objectifs de Deep Panda incluent le vol de données et l’obtention d’un avantage concurrentiel grâce à l’espionnage économique.
Détecter les TTP d’APT19 alias Deep Panda
Lazarus Group
Le Lazarus Group est une équipe de hackers supposément liée à la Corée du Nord qui a été attribuée au Bureau Général de Reconnaissance. Voici comment ils ont opéré contre les banques. Le malware utilisé par le Lazarus Group corrèle à d’autres campagnes signalées, y compris Operation Flame, Operation 1Mission, Operation Troy, DarkSeoul, et Ten Days of Rain.
Le Lazarus Group est considéré comme dangereux pour l’industrie bancaire pour plusieurs raisons :
- Ils emploient des méthodes et des outils sophistiqués pour infiltrer les systèmes bancaires, restant souvent non détectés pendant de longues périodes.
- Contrairement à d’autres groupes de cyberespionnage qui pourraient être plus axés sur la collecte de renseignements, le Lazarus Group a une forte motivation financière. Ils ont été liés à plusieurs vols de banques retentissants, tentant de transférer de grosses sommes d’argent, montrant leur portée mondiale et leur compréhension des différents systèmes bancaires.
- Une fois qu’ils infiltrent un système, ils y restent souvent longtemps, analysant l’environnement, comprenant les flux de travail et planifiant minutieusement leur coup.
- Leurs opérations ont entraîné le vol de centaines de millions de dollars dans les banques. De telles pertes peuvent être dévastatrices, surtout pour les petites institutions financières.
Détecter les TTP du Lazarus Group
Cobalt Group
Parmi les nombreuses menaces auxquelles doivent faire face les organisations financières, un groupe se distingue par sa sophistication et sa persistance : la menace persistante avancée (APT) Cobalt. Ce groupe bien organisé et persistant est actif depuis plus d’une décennie, évoluant constamment ses tactiques, techniques et procédures (TTP).
Cobalt APT cible principalement les institutions financières, posant un risque significatif aux banques, compagnies d’assurance et sociétés d’investissement dans le monde entier. Le groupe a mené des intrusions pour voler de l’argent en ciblant les systèmes ATM, les systèmes de traitement de cartes, les systèmes de paiement et les systèmes SWIFT.
Cobalt Group a principalement ciblé les banques en Europe de l’Est, Asie centrale et Asie du Sud-Est. Un des chefs présumés a été arrêté en Espagne début 2018, mais le groupe semble toujours actif. Cobalt est connue pour cibler des organisations afin d’utiliser leur accès pour compromettre ensuite d’autres victimes.
Ce qui rend Cobalt APT si dangereux est sa capacité à exécuter des attaques hautement coordonnées et multi-étapes. Ils emploient une variété de vecteurs d’attaque, y compris des campagnes de spear-phishing, des exploits zero-day, et des documents chargés de logiciels malveillants. Une fois à l’intérieur d’une organisation ciblée, ils effectuent une reconnaissance approfondie, se déplacent latéralement, et escaladent les privilèges pour accéder aux données et systèmes financiers précieux.
Détecter les TTP du Cobalt Group
Cozy Bear
Cozy Bear, également connu sous le nom de APT29, est un groupe de cyber-espionnage supposé être associé à une ou plusieurs agences de renseignement de la Russie. Cozy Bear est connu pour ses opérations furtives, focalisées sur l’infiltration des systèmes et le vol d’informations sensibles plutôt que de causer des dommages immédiats.
Cozy Bear est dangereux pour l’industrie bancaire car ils ont des ressources et des motivations significatives qui peuvent différer d’autres groupes cybercriminels. Bien que leur objectif principal puisse être l’espionnage, les outils et l’accès qu’ils gagnent peuvent être utilisés pour le vol financier ou pour perturber les opérations bancaires. Puisqu’ils ne limitent pas leurs opérations à des régions ou secteurs spécifiques, leur capacité à cibler des entités du monde entier signifie que les banques partout doivent rester vigilantes. Les opérations d’APT29 sont souvent complexes, rendant difficile d’attribuer définitivement les attaques à eux.
Compte tenu de ces facteurs, Cozy Bear représente une menace significative pour l’industrie bancaire. Leur combinaison de soutien par l’État et d’adaptabilité en fait un adversaire redoutable dans le domaine cyber. Les banques et institutions financières doivent être conscientes des risques potentiels posés par des groupes comme Cozy Bear et prendre les mesures de cybersécurité appropriées.
Détecter les TTP d’APT29 alias Cozy Bear
Fancy Bear
APT28 (également connu sous le nom de Fancy Bear) est un groupe de hackers parrainé par la Russie avec une longue histoire de lancement d’attaques sophistiquées et très efficaces contre les organisations financières. Fancy Bear ne se limite pas à une région ou un secteur, ils ont ciblé des organisations basées en Europe, des institutions gouvernementales américaines, et un nombre alarmant d’entités ukrainiennes.
Ce groupe de cyber-espionnage a été lié à plusieurs cyberattaques de haute envergure, y compris le présumé piratage de l’élection présidentielle américaine de 2016 et l’ attaque NotPetya de 2017 et le piratage du Comité national démocrate (DNC) aux États-Unis en 2016.
APT28 élabore des emails de phishing très convaincants pour tromper les employés afin qu’ils cliquent sur des liens malveillants ou téléchargent des pièces jointes chargées de logiciels malveillants. Une fois à l’intérieur du réseau, ils peuvent se déplacer latéralement et escalader les privilèges.
Le groupe est également connu pour exploiter des vulnérabilités logicielles qui ne sont pas encore connues du public ou du vendeur du logiciel. Cela permet à APT28 d’obtenir un accès non autorisé aux systèmes ciblés. Leur but est de voler des données financières sensibles, y compris des informations client, des enregistrements de transactions, et de la propriété intellectuelle. Persistants et patients, ils peuvent rester cachés dans un réseau compromis pendant de longues périodes, exfiltrant continuellement des données et étendant leur accès.
Détecter les TTP d’APT28 alias Fancy Bear
Pour obtenir l’ensemble complet des règles Sigma afin de détecter l’activité malveillante associée aux principaux acteurs APT ciblant l’industrie financière, cliquez sur le Explorer les détections bouton ci-dessous. Le pack de contenu de détection inclut plus de 1600+ règles Sigma compatibles avec 28 technologies SIEM, EDR, XDR et Data Lake.
Étant donné que de nouvelles techniques malveillantes apparaissent quotidiennement nécessitant d’être traitées avec des éléments de contenu de détection personnalisés, le nombre étendu de règles peut être difficile à traiter manuellement. Pour rationaliser les procédures de chasse aux menaces, suivre les attaques possibles en temps réel, et identifier les lacunes de défense cybernétique des organisations adaptées à leur industrie et leur profil de menace, les professionnels de la sécurité peuvent opter pour l’utilisation de l’Attack Detective de SOC Prime. Essayez Attack Detective maintenant pour sécuriser dynamiquement la surface d’attaque en constante expansion, identifier en temps opportun les angles morts dans la couverture de votre source de journal, et les aborder intelligemment pour assurer une protection globale de vos actifs de données critiques et gagner en confiance dans votre posture de cybersécurité.
De plus, les solutions de cybersécurité proposées par la plateforme SOC Prime peuvent jouer un rôle central dans la protection du secteur financier en 2023. Commencez avec Threat Detection Marketplace pour accéder au plus grand flux de règles de détection au monde sur les dernières TTP utilisées par les adversaires, y compris les APT qui posent le plus grand défi pour le secteur financier, afin d’éliminer le coût financier des violations de données. Comptez sur Uncoder AI pour élever vos capacités de défense cybernétique à grande échelle tout en évitant le verrouillage des fournisseurs avec un codage des règles Sigma rationalisé et une traduction bidirectionnelle des requêtes vers 64 formats de langage de requête SIEM, EDR, XDR et Data Lake.
_linkedin_partner_id = “6023705″; window._linkedin_data_partner_ids = window._linkedin_data_partner_ids || []; window._linkedin_data_partner_ids.push(_linkedin_partner_id); (function(l) { if (!l){window.lintrk = function(a,b){window.lintrk.q.push([a,b])}; window.lintrk.q=[]} var s = document.getElementsByTagName(“script”)[0]; var b = document.createElement(“script”); b.type = “text/javascript”;b.async = true; b.src = “https://snap.licdn.com/li.lms-analytics/insight.min.js”; s.parentNode.insertBefore(b, s);})(window.lintrk);