Le groupe APT Tomiris fait évoluer ses tactiques : Une infrastructure de commande et de contrôle plus furtive ciblant les entités gouvernementales

Synthèse pour la Direction

Le paysage des menaces évolue constamment, et les groupes de menaces persistantes avancées (APT) sont à l'avant-garde du développement de techniques d'attaque sophistiquées. Nous avons observé un changement significatif dans les tactiques du groupe Tomiris, un acteur de menace connu pour cibler les entités gouvernementales. Leur dépendance accrue à l'égard des services publics tels que Telegram et Discord pour l'infrastructure de commande et de contrôle (C2) représente une augmentation substantielle de la furtivité et des capacités d'évasion. Cette évolution a un impact direct sur les organisations gouvernementales et nécessite une réévaluation stratégique immédiate des postures de sécurité.

Les Faits

Tomiris cible activement les ministères des affaires étrangères, les organisations intergouvernementales et les entités gouvernementales en Russie, dans le but d'établir un accès à distance et de déployer d'autres outils malveillants. Selon les informations de The Hacker News, une évolution majeure de leurs tactiques implique l'utilisation d'implants qui exploitent les services publics comme Telegram et Discord pour les communications C2. Cela leur permet de masquer leur trafic malveillant dans l'activité réseau légitime, rendant la détection beaucoup plus difficile.

Les implications sont considérables. Au lieu de s'appuyer sur des serveurs C2 traditionnels et facilement identifiables, Tomiris intègre son infrastructure au sein de plateformes qui sont déjà approuvées et largement utilisées au sein des organisations cibles. Cette méthode réduit considérablement la probabilité de détection par les mesures de sécurité classiques telles que les pare-feu et les systèmes de détection d'intrusion. Ce changement subtil mais critique dans leur méthodologie d'attaque nécessite une approche plus proactive et sophistiquée de la détection des menaces et de la réponse aux incidents.

Pourquoi C'est Grave

L'impact commercial de ce changement dans les tactiques de Tomiris est substantiel. Les intrusions réussies peuvent entraîner l'exfiltration de données, la perturbation de services critiques et des dommages importants à la réputation. Pour les entités gouvernementales, la compromission d'informations sensibles peut avoir des implications géopolitiques, affectant la sécurité nationale et les relations internationales. Cela introduit également de nouvelles considérations réglementaires, augmentant la nécessité de Conformité avec des mandats tels que NIS2 et le respect des normes ISO 27001 afin de protéger les infrastructures et les données critiques. Un cadre de Gouvernance robuste est primordial pour garantir l'efficacité des processus d'Audit de cybersécurité et l'allocation des ressources.

Le Verdict d'Aether

Le passage de Tomiris à l'utilisation de services publics pour le C2 souligne la nécessité d'un changement fondamental dans la manière dont les organisations abordent la cybersécurité. Les défenses traditionnelles basées sur le périmètre s'avèrent de plus en plus inefficaces contre les adversaires sophistiqués. Une approche plus proactive et axée sur les menaces est cruciale. Nous préconisons une stratégie de défense en profondeur, associée à des capacités améliorées de renseignement sur les menaces et à une surveillance continue. L'adoption d'une architecture Zero Trust devient essentielle, vérifiant chaque utilisateur et appareil, quel que soit son emplacement.

Plan d'Action Immédiat

• Améliorer le renseignement sur les menaces : Investissez dans et exploitez les flux de renseignement sur les menaces qui fournissent des détails spécifiques sur les tactiques, techniques et procédures (TTP) de Tomiris, en particulier celles liées à leur utilisation du C2 de service public.
• Renforcer la surveillance du réseau : Mettez en œuvre des outils avancés de surveillance et d'analyse du réseau qui peuvent détecter les schémas de trafic anormaux, même au sein des canaux légitimes. Envisagez d'améliorer vos capacités SIEM pour corréler le trafic réseau avec d'autres événements de sécurité.
• Évaluer la détection et la réponse des points d'extrémité (EDR) : Assurez-vous que vos solutions EDR sont configurées pour détecter et répondre aux menaces les plus récentes, y compris celles qui exploitent les services publics pour le C2. Les capacités de chasse aux menaces proactives au sein du SOC sont impératives.
• Mettre en œuvre les principes du Zero Trust : Accélérer la mise en œuvre des principes du Zero Trust, en se concentrant sur l'accès au moindre privilège, la micro-segmentation et l'authentification continue.
• Mener une formation de sensibilisation à la sécurité : Sensibiliser les employés à l'évolution du paysage des menaces, y compris aux risques associés à l'ingénierie sociale et aux attaques de Phishing qui peuvent être utilisées pour fournir un accès initial.