Accueil 5 News 5 Seulement trois loaders représentent 80% de toutes les intrusions

Seulement trois loaders représentent 80% de toutes les intrusions

par | 30 Août 2023

Le fournisseur de cybersécurité ReliaQuest a noté que les cybercriminels ont utilisé principalement sept différents loaders pour mener leurs campagnes d’intrusion durant la première moitié de 2023.

Trois d’entre eux, QakBot, SocGholish et Raspberry Robin, étaient les plus utilisés, représentant 80% de toutes les intrusions.

QakBot, l’outil préféré de BlackBasta

Le premier, QakBot (également connu sous les noms QBot, QuackBot, Pinkslipbot), a été utilisé dans 30% des intrusions détectées par ReliaQuest. Actif depuis 2009, QakBot est associé au groupe de ransomware BlackBasta et cible principalement les industriels. Il était à l’origine un trojan bancaire mais s’est transformé en loader de malware capable de déployer d’autres charges utiles, de voler des informations sensibles et de permettre des mouvements latéraux. Il est généralement déployé via un e-mail de phishing contenant des pièces jointes ou des liens trompeurs. QakBot utilise ensuite divers fichiers qui, une fois exécutés, établissent généralement une persistance. Enfin, QakBot exécute des commandes de découverte et commence la communication avec un serveur C2.

SocGholish, le loader d’Evil Corp depuis 2018

Le deuxième, SocGholish, a été impliqué dans 27% des intrusions. Associé à Evil Corp, un groupe présumé basé en Russie, SocGholish a commencé à être utilisé en 2018. Il s’agit d’un loader basé sur JavaScript qui cible les environnements Windows. Le logiciel malveillant est livré via des compromis drive-by. SocGholish est également lié à Exotic Lily, actif depuis au moins septembre 2021. Les opérateurs de SocGholish sont connus pour leurs attaques agressives.

Raspberry Robin, un ver devenu loader utilisé par divers groupes

Le troisième, Raspberry Robin, a été déployé dans 23% des intrusions. Ce loader est associé à divers groupes malveillants. Raspberry Robin est un ver devenu loader qui cible les environnements Windows. Une fois Raspberry Robin en cours d’exécution, des processus supplémentaires sont lancés. En 2023, Raspberry Robin a été utilisé pour cibler diverses organisations. Les opérateurs de SocGholish ont utilisé Raspberry Robin  afin de cibler principalement les services juridiques et financiers.

Cyberlégal

cyberlegal.fr

Accompagnement juridique & veille réglementaire dédiée à la technologie de l’information

Plus de détail

Logo CERT-FR

CERT-FR
Alertes de sécurité

Site web CERT-FR

Services

CSM Cybersécurité Audit SSI, audit informatique en Corse à bastia et Ajaccio
Audit RGPD de votre structure : Charte informatique, politique de sécurité des systèmes d'information (PSSI), registre des activités de traitement, gestion des sous-traitants dans la conformité RGPD, expertise RGPD de notre juriste. cabinet CSM - Cybersécurité Management en Corse à Ajaccio et Bastia.
Soc Managé par CSM Cybersécurité Management en Corse sur Bastia et Ajaccio une analyse constantes de l’activité sur les postes de travail et serveurs.
Auteurs blog

Dernières publications