Le 9 décembre le groupe de recherche et d'analyse mondiales (GReAT) de la société de cybersécurité Kaspersky a révélé les dernières activités du groupe de pirates informatiques APT BlueNoroff à travers deux campagnes d'attaques sophistiquées à but non lucratif 'GhostCall' et 'GhostHire'.
Ces campagnes ciblent les organisations Web3 et les crypto-monnaies en Inde en Turquie en Australie et dans de nombreux pays d'Europe et d'Asie et ont eu lieu au moins depuis avril 2025.
Les deux campagnes GhostCall et GhostHire devraient utiliser de nouvelles techniques d'intrusion ainsi que des logiciels malveillants conçus spécifiquement dans le but d'intruire dans les systèmes des développeurs et d'attaquer les hauts dirigeants d'organisations et d'entreprises de blockchain. Ces attaques ciblent principalement les systèmes d'exploitation macOS et Windows et sont coordonnées par une infrastructure de commandement et de contrôle unifiée.
L'utilisation de l'IA créative a aidé BlueNoroff à accélérer le processus de développement de logiciels malveillants et à perfectionner les techniques d'attaque. L'attaquant a ajouté de nouveaux langages de programmation et ajouté de nombreuses fonctionnalités pour faciliter le processus de détection et d'analyse. L'IA a également aidé le groupe d'attaque à gérer et à étendre ses activités plus efficacement ce qui a accru le niveau de sophistication et la portée des attaques.
M. Omar Amin expert en sécurité senior chez Kaspersky GReAT a déclaré : 'À partir des campagnes précédentes la tactique ciblée du groupe d'attaque s'est développée au-delà du champ de vol de crypto-monnaies ou d'informations de connexion de navigateur. L'utilisation de l'IA créative a accru ce processus les aidant à développer plus facilement des logiciels malveillants et à réduire les coûts d'exploitation et à étendre le champ d'attaque'.
Pour se protéger contre des attaques telles que GhostCall et GhostHire les organisations sont invitées à prendre les mesures suivantes :
- Soyez prudent avec les invitations attrayantes ou les propositions d'investissement. Vérifiez toujours l'identité de tout nouveau contact en particulier s'il aborde via Telegram LinkedIn ou d'autres plateformes de réseaux sociaux. Utilisez des canaux de communication internes authentiques et sécurisés pour les échanges contenant des informations sensibles.
- Tenez toujours compte de la possibilité que le compte d'une connaissance ait été piraté. Vérifiez via un autre canal de communication avant d'ouvrir n'importe quel fichier ou lien et assurez-vous que le nom de domaine que vous accédez est le bon nom officiel. Évitez de lancer des codes ou des commandes non vérifiés uniquement pour 'réparer les erreurs'.
- Utiliser des solutions de cybersécurité offrant la capacité de protéger en temps réel de surveiller les menaces d'enquêter et de réagir rapidement pour les entreprises de toutes tailles et domaines.
- Utiliser des services de sécurité gérés (Managed Security Services) fournissant des solutions pour résoudre les incidents de manière globale : de la détection des menaces à la protection continue et à la réparation des conséquences aidant les entreprises à contrer les attaques sophistiquées à l'enquête sur les incidents et à compléter leur expertise même lorsque les entreprises manquent de personnel spécialisé dans la cybersécurité.
- Fournir à l'équipe de sécurité de l'information (InfoSec) une capacité d'observation approfondie des menaces ciblées contre l'organisation.
