Palo Alto Networks alerte sur la montée des attaques APT ciblant les bases de données d’entreprise

Palo Alto Networks alerte sur la montée des attaques APT ciblant les bases de données d'entreprise
Share on Pinterest Share on LinkedIn

Au cours des dernières années, les groupes de Menaces Persistantes Avancées (APT) ont modifié leur modus operandi, en cessant de cibler principalement les serveurs de messagerie pour concentrer leurs attaques sur les bases de données d’entreprises. Selon un rapport de Palo Alto Networks, leader en cybersécurité, un nombre croissant d’acteurs malveillants adoptent désormais cette stratégie. Cette nouvelle tendance a récemment été observée avec un groupe désigné sous le nom de Phantom Taurus, impliqué dans des activités d’espionnage cybernétique.

Ce changement tactique leur permet de collecter de vastes volumes d’informations structurées — telles que des données financières, des listes de clients ou des registres internes — de manière plus rapide et discrète, sans dépendre de campagnes de phishing ou de l’accès aux courriels d’entreprise.

Les raisons de cette évolution sont évidentes. D’un côté, les améliorations dans la protection des courriels, grâce à la validation multifactorielle, aux filtres antiphishing et à la formation des employés, ont rendu les canaux traditionnels plus difficiles à compromettre. De l’autre, les bases de données d’entreprises sont souvent moins protégées ou surveillées, car elles n’occupent pas une place centrale dans de nombreuses stratégies de cybersécurité, ce qui en fait une cible privilégiée pour les attaquants sophistiqués.

Phantom Taurus : du messager au serveur de bases de données

Le cas récent de Phantom Taurus illustre parfaitement cette nouvelle tendance. Identifié par l’équipe de renseignement sur les menaces Unit 42 de Palo Alto Networks, Phantom Taurus est un groupe APT d’espionnage cybernétique lié à la Chine, opérant en toute discrétion depuis au moins deux ans et demi. Il cible des entités gouvernementales, des ambassades, des institutions militaires et des entreprises de télécommunications en Afrique, au Moyen-Orient et en Asie, dans le but d’obtenir des renseignements stratégiques d’intérêt géopolitique et économique.

Entre 2023 et 2024, Phantom Taurus a concentré ses attaques sur des serveurs Exchange, utilisant les malwares TunnelSpecter et SweetSpecter pour exfiltrer des boîtes aux lettres entières à la recherche de mots-clés sensibles. Début 2025, Palo Alto Networks a détecté un changement de tactique : le groupe a commencé à utiliser un script automatisé, mssq.bat, pour se connecter à des bases de données Microsoft SQL Server avec des identifiants d’administrateur volés, exécuter des requêtes spécifiques, puis exporter les données en fichiers CSV. L’ensemble de l’opération se faisait à distance et de manière automatisée via WMI (Windows Management Instrumentation), avec la suppression des traces après chaque session. Cela témoigne d’une évolution significative, passant de campagnes centrées sur le courrier électronique à une recherche ciblée directement dans les bases de données.

De plus, cette transition est accompagnée de signaux supplémentaires de sophistication. Selon Unit 42, le groupe a développé NET-STAR, une suite de malwares en .NET conçue pour infiltrer les serveurs web IIS et fonctionner sans fichiers sur le disque, en exécutant du code et des requêtes directement en mémoire. Cet outil, associé à des modules comme IIServerCore et AssemblyExecuter, lui permet d’échapper aux défenses modernes et de maintenir une présence persistante sur les systèmes compromis.

Renforcer la « couronne » : une nécessité urgente

Si Phantom Taurus constitue un exemple récent et révélateur, il n’est pas isolé. Plusieurs rapports dans le secteur de la cybersécurité ont mis en garde contre des tactiques similaires employées par d’autres groupes APT. Winnti, un autre groupe d’espionnage chinois bien connu, avait auparavant développé une porte dérobée spécifique pour Microsoft SQL Server, nommée “skip-2.0”.

Ce changement de tactiques chez les groupes APT doit servir d’alerte à toutes les organisations. La sécurité ne peut plus se limiter à la protection du périmètre et des courriels ; il est crucial de renforcer la défense des actifs hébergeant les informations sensibles. À cet effet, Palo Alto Networks recommande :

  • Mettre en place des contrôles d’accès stricts aux bases de données, avec des mots de passe robustes et une gestion rigoureuse des comptes à privilèges administratifs.
  • Surveiller activement les requêtes et activités inhabituelles sur les systèmes, pour détecter tout accès ou exécution anormale.
  • Maintenir à jour les bases de données avec les derniers correctifs de sécurité, afin de combler les vulnérabilités exploitables.
  • Segmenter les réseaux internes pour limiter la mobilité de l’attaquant, en empêchant une compromission d’un serveur d’accéder facilement aux bases de données.
  • Prioriser la détection précoce, à l’aide de solutions capables d’identifier les comportements anormaux, comme Advanced Threat Prevention, qui détecte en temps réel les exploits grâce au machine learning, ou les plateformes Cortex XDR et XSIAM, capables d’identifier et de bloquer ces chaînes d’attaque.
Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

VMware vs Proxmox vs Hyper-V (et pourquoi la comparaison « un à un » est souvent inutile)

Azure lance le premier méga-cluster avec NVIDIA GB300 NVL72 pour OpenAI : la nouvelle référence en supercomputing d’IA

Chine interdit les opérations de TechInsights après la révélation de l’utilisation de la technologie de TSMC dans les chips de Huawei

Oracle E-Business Suite sous siège : une campagne d’extorsion exploite une vulnérabilité 0-day et oblige à des correctifs d’urgence

Chine renforce le contrôle des exportations de terres rares : risque pour les composants informatiques et les chaînes mondiales d’aimants

Fujitsu et NVIDIA renforcent leur partenariat pour créer une infrastructure d’IA « de bout en bout » avec des agents autoévolutifs