{"id":1086506,"date":"2024-01-04T07:32:14","date_gmt":"2024-01-04T09:32:14","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-uac-0050-utilise-de-nouvelles-tactiques-de-phishing-pour-distribuer-remcos-rat\/"},"modified":"2024-01-04T07:32:18","modified_gmt":"2024-01-04T09:32:18","slug":"le-groupe-uac-0050-utilise-de-nouvelles-tactiques-de-phishing-pour-distribuer-remcos-rat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-uac-0050-utilise-de-nouvelles-tactiques-de-phishing-pour-distribuer-remcos-rat\/","title":{"rendered":"Le groupe UAC-0050 utilise de nouvelles tactiques de phishing pour distribuer Remcos RAT"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des logiciels\/logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Le-groupe-UAC-0050-utilise-de-nouvelles-tactiques-de-phishing-pour.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur malveillant connu sous le nom d&#8217;UAC-0050 exploite les attaques de phishing pour distribuer Remcos RAT en utilisant de nouvelles strat\u00e9gies pour \u00e9chapper \u00e0 la d\u00e9tection des logiciels de s\u00e9curit\u00e9.<\/p>\n<p>&#8220;L&#8217;arme de pr\u00e9dilection du groupe est Remcos RAT, un malware notoire pour la surveillance et le contr\u00f4le \u00e0 distance, qui est \u00e0 la pointe de son arsenal d&#8217;espionnage&#8221;, ont d\u00e9clar\u00e9 Karthick Kumar et Shilpesh Trivedi, chercheurs en s\u00e9curit\u00e9 chez Uptycs. <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.uptycs.com\/blog\/remcos-rat-uac-0500-pipe-method\" target=\"_blank\">dit<\/a> dans un rapport de mercredi.<\/p>\n<p>&#8220;Cependant, dans sa derni\u00e8re \u00e9volution op\u00e9rationnelle, le groupe UAC-0050 a int\u00e9gr\u00e9 une m\u00e9thode de canalisation pour <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/en.wikipedia.org\/wiki\/Inter-process_communication\" target=\"_blank\">communication interprocessus<\/a>d\u00e9montrant leur adaptabilit\u00e9 avanc\u00e9e.<\/p>\n<p>UAC-0050, actif depuis 2020, cible depuis longtemps des entit\u00e9s ukrainiennes et polonaises via des campagnes d&#8217;ing\u00e9nierie sociale qui usurpent l&#8217;identit\u00e9 d&#8217;organisations l\u00e9gitimes pour inciter les destinataires \u00e0 ouvrir des pi\u00e8ces jointes malveillantes.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704092918_732_Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En f\u00e9vrier 2023, l\u2019\u00e9quipe ukrainienne d\u2019intervention en cas d\u2019urgence informatique (CERT-UA) a attribu\u00e9 l\u2019adversaire \u00e0 une campagne de phishing con\u00e7ue pour d\u00e9livrer Remcos RAT.<\/p>\n<p>Au cours des derniers mois, le m\u00eame cheval de Troie a \u00e9t\u00e9 distribu\u00e9 dans le cadre d&#8217;au moins trois vagues de phishing diff\u00e9rentes, l&#8217;une de ces attaques ayant \u00e9galement conduit au d\u00e9ploiement d&#8217;un voleur d&#8217;informations appel\u00e9 Meduza Stealer.<\/p>\n<p>L&#8217;analyse d&#8217;Uptycs est bas\u00e9e sur un fichier LNK d\u00e9couvert le 21 d\u00e9cembre 2023. Bien que le vecteur d&#8217;acc\u00e8s initial exact soit actuellement inconnu, il est soup\u00e7onn\u00e9 d&#8217;avoir impliqu\u00e9 des e-mails de phishing ciblant le personnel militaire ukrainien pr\u00e9tendant annoncer des postes de consultant aupr\u00e8s de l&#8217;arm\u00e9e isra\u00e9lienne. (FDI).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704360733_876_Le-groupe-UAC-0050-utilise-de-nouvelles-tactiques-de-phishing-pour.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704360733_876_Le-groupe-UAC-0050-utilise-de-nouvelles-tactiques-de-phishing-pour.jpg\" alt=\"Remcos RAT\" border=\"0\" data-original-height=\"337\" data-original-width=\"728\" title=\"Remcos RAT\"\/><\/a><\/div>\n<p>Le fichier LNK en question collecte des informations sur les produits antivirus install\u00e9s sur l&#8217;ordinateur cible, puis proc\u00e8de \u00e0 la r\u00e9cup\u00e9ration et \u00e0 l&#8217;ex\u00e9cution d&#8217;une application HTML nomm\u00e9e \u00ab 6.hta \u00bb \u00e0 partir d&#8217;un serveur distant \u00e0 l&#8217;aide de <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/redcanary.com\/threat-detection-report\/techniques\/mshta\/\" target=\"_blank\">mshta.exe<\/a>un binaire natif Windows pour ex\u00e9cuter des fichiers HTA.<\/p>\n<p>Cette \u00e9tape ouvre la voie \u00e0 un script PowerShell qui d\u00e9compresse un autre script PowerShell pour t\u00e9l\u00e9charger deux fichiers appel\u00e9s \u00ab word_update.exe \u00bb et \u00ab ofer.docx \u00bb \u00e0 partir du domaine new-tech-savvy.[.]com.<\/p>\n<p>L&#8217;ex\u00e9cution de word_update.exe l&#8217;am\u00e8ne \u00e0 cr\u00e9er une copie de lui-m\u00eame avec le nom fmTask_dbg.exe et \u00e0 \u00e9tablir la persistance en cr\u00e9ant un raccourci vers le nouvel ex\u00e9cutable dans le dossier de d\u00e9marrage de Windows.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le binaire utilise \u00e9galement des canaux sans nom pour faciliter l&#8217;\u00e9change de donn\u00e9es entre lui-m\u00eame et un processus enfant nouvellement g\u00e9n\u00e9r\u00e9 pour cmd.exe afin de finalement d\u00e9crypter et lancer le Remcos RAT (version 4.9.2 Pro), capable de collecter des donn\u00e9es syst\u00e8me et les cookies et les informations de connexion des navigateurs Web comme Internet Explorer, Mozilla Firefox et Google Chrome.<\/p>\n<p>&#8220;L&#8217;exploitation des canaux au sein du syst\u00e8me d&#8217;exploitation Windows fournit un canal secret pour le transfert de donn\u00e9es, \u00e9chappant habilement \u00e0 la d\u00e9tection par les syst\u00e8mes Endpoint Detection and Response (EDR) et antivirus&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <\/p>\n<p>&#8220;Bien qu&#8217;elle ne soit pas enti\u00e8rement nouvelle, cette technique marque un bond significatif dans la sophistication des strat\u00e9gies du groupe.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/uac-0050-group-using-new-phishing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 janvier 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 des logiciels\/logiciels malveillants L&#8217;acteur malveillant connu sous le nom d&#8217;UAC-0050 exploite les attaques de phishing pour distribuer Remcos RAT en utilisant de nouvelles strat\u00e9gies pour \u00e9chapper \u00e0 la d\u00e9tection des logiciels de s\u00e9curit\u00e9. &#8220;L&#8217;arme de pr\u00e9dilection du groupe est Remcos RAT, un malware notoire pour la surveillance et le contr\u00f4le \u00e0 distance, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1086507,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,28,681,4159,4171,200271,200268,120,200269,200270,8153,185,46743,144389,128318,4172,4169,11977,222941,1282,4166,4164],"class_list":["post-1086506","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-distribuer","tag-groupe","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-phishing","tag-pour","tag-rat","tag-remcos","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-tactiques","tag-uac0050","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1086506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1086506"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1086506\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1086507"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1086506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1086506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1086506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}