{"id":1107042,"date":"2024-01-18T14:46:30","date_gmt":"2024-01-18T16:46:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-russes-coldriver-vont-au-dela-du-phishing-avec-des-logiciels-malveillants-personnalises\/"},"modified":"2024-01-18T14:46:34","modified_gmt":"2024-01-18T16:46:34","slug":"les-pirates-russes-coldriver-vont-au-dela-du-phishing-avec-des-logiciels-malveillants-personnalises","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-russes-coldriver-vont-au-dela-du-phishing-avec-des-logiciels-malveillants-personnalises\/","title":{"rendered":"Les pirates russes COLDRIVER vont au-del\u00e0 du phishing avec des logiciels malveillants personnalis\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-pirates-russes-COLDRIVER-vont-au-dela-du-phishing-avec-des.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur mena\u00e7ant li\u00e9 \u00e0 la Russie, connu sous le nom de <strong>COLDRIVER<\/strong> a \u00e9t\u00e9 observ\u00e9 en train d&#8217;\u00e9voluer pour aller au-del\u00e0 de la collecte d&#8217;informations d&#8217;identification et proposer son tout premier malware personnalis\u00e9 \u00e9crit dans le langage de programmation Rust.<\/p>\n<p>Le Threat Analysis Group (TAG) de Google, qui <a rel=\"nofollow noopener\" href=\"https:\/\/blog.google\/threat-analysis-group\/google-tag-coldriver-russian-phishing-malware\/\" target=\"_blank\">d\u00e9tails partag\u00e9s<\/a> de la derni\u00e8re activit\u00e9, a d\u00e9clar\u00e9 que les cha\u00eenes d&#8217;attaque exploitent les PDF comme documents leurres pour d\u00e9clencher la s\u00e9quence d&#8217;infection.  Les leurres sont envoy\u00e9s \u00e0 partir de comptes d\u2019usurpation d\u2019identit\u00e9.<\/p>\n<p>COLDRIVER, \u00e9galement connu sous les noms de Blue Callisto, BlueCharlie (ou TAG-53), Calisto (alternativement orthographi\u00e9 Callisto), Gossamer Bear, Star Blizzard (anciennement SEABORGIUM), TA446 et UNC4057, est connu pour \u00eatre actif depuis 2019, ciblant un large gamme de secteurs.<\/p>\n<p>Cela inclut le monde universitaire, la d\u00e9fense, les organisations gouvernementales, les ONG, les groupes de r\u00e9flexion, les groupes politiques et, r\u00e9cemment, les cibles industrielles de d\u00e9fense et les installations \u00e9nerg\u00e9tiques.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705402644_392_Le-logiciel-malveillant-Inferno-deguise-en-Coinbase-a-draine-87.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Les cibles au Royaume-Uni et aux \u00c9tats-Unis semblent avoir \u00e9t\u00e9 les plus touch\u00e9es par l&#8217;activit\u00e9 de Star Blizzard, mais des activit\u00e9s ont \u00e9galement \u00e9t\u00e9 observ\u00e9es contre des cibles dans d&#8217;autres pays de l&#8217;OTAN et dans des pays voisins de la Russie&#8221;, a r\u00e9v\u00e9l\u00e9 le gouvernement am\u00e9ricain le mois dernier.<\/p>\n<p>Les campagnes de spear phishing organis\u00e9es par le groupe sont con\u00e7ues pour engager et renforcer la confiance avec les victimes potentielles dans le but ultime de partager de fausses pages de connexion afin de r\u00e9colter leurs informations d&#8217;identification et d&#8217;acc\u00e9der aux comptes.<\/p>\n<p>Microsoft, dans une analyse des tactiques de COLDRIVER, a soulign\u00e9 son utilisation de scripts c\u00f4t\u00e9 serveur pour emp\u00eacher l&#8217;analyse automatis\u00e9e de l&#8217;infrastructure contr\u00f4l\u00e9e par les acteurs et d\u00e9terminer les cibles d&#8217;int\u00e9r\u00eat, avant de les rediriger vers les pages de destination de phishing.<\/p>\n<p>Les derni\u00e8res d\u00e9couvertes de Google TAG montrent que l\u2019acteur malveillant a utilis\u00e9 des documents PDF inoffensifs comme point de d\u00e9part d\u00e8s novembre 2022 pour inciter les cibles \u00e0 ouvrir les fichiers.<\/p>\n<p>&#8220;COLDRIVER pr\u00e9sente ces documents comme un nouvel article d&#8217;opinion ou un autre type d&#8217;article que le compte d&#8217;usurpation d&#8217;identit\u00e9 cherche \u00e0 publier, sollicitant les commentaires de la cible&#8221;, a d\u00e9clar\u00e9 le g\u00e9ant de la technologie.  &#8220;Lorsque l&#8217;utilisateur ouvre le PDF inoffensif, le texte appara\u00eet crypt\u00e9.&#8221;<\/p>\n<p>Dans le cas o\u00f9 le destinataire r\u00e9pond au message indiquant qu&#8217;il ne peut pas lire le document, l&#8217;acteur malveillant r\u00e9pond avec un lien vers un pr\u00e9tendu outil de d\u00e9cryptage (\u00ab Proton-decrypter.exe \u00bb) h\u00e9berg\u00e9 sur un service de stockage cloud.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705596389_893_Les-pirates-russes-COLDRIVER-vont-au-dela-du-phishing-avec-des.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705596389_893_Les-pirates-russes-COLDRIVER-vont-au-dela-du-phishing-avec-des.jpg\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Le choix du nom \u00ab Proton-decrypter.exe \u00bb est remarquable car Microsoft avait pr\u00e9c\u00e9demment r\u00e9v\u00e9l\u00e9 que l&#8217;adversaire utilisait principalement Proton Drive pour envoyer les leurres PDF via les messages de phishing.<\/p>\n<p>En r\u00e9alit\u00e9, le d\u00e9crypteur est une porte d\u00e9rob\u00e9e nomm\u00e9e SPICA qui accorde \u00e0 COLDRIVER un acc\u00e8s secret \u00e0 la machine, tout en affichant simultan\u00e9ment un document leurre pour maintenir la ruse.<\/p>\n<p>Des d\u00e9couvertes ant\u00e9rieures de WithSecure (anciennement F-Secure) ont r\u00e9v\u00e9l\u00e9 l&#8217;utilisation par l&#8217;acteur malveillant d&#8217;une porte d\u00e9rob\u00e9e l\u00e9g\u00e8re appel\u00e9e Scout, un outil malveillant de la plateforme de piratage Galileo HackingTeam Remote Control System (RCS), dans le cadre de campagnes de phishing observ\u00e9es d\u00e9but 2016.<\/p>\n<p>Scout est &#8220;destin\u00e9 \u00e0 \u00eatre utilis\u00e9 comme un outil de reconnaissance initial pour recueillir des informations de base sur le syst\u00e8me et des captures d&#8217;\u00e9cran d&#8217;un ordinateur compromis, ainsi que pour permettre l&#8217;installation de logiciels malveillants suppl\u00e9mentaires&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 finlandaise de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/labs.withsecure.com\/publications\/callisto-group\" target=\"_blank\">not\u00e9<\/a> \u00e0 l&#8217;\u00e9poque.<\/p>\n<p>SPICA, qui est le premier malware personnalis\u00e9 d\u00e9velopp\u00e9 et utilis\u00e9 par COLDRIVER, utilise JSON sur WebSockets pour le commandement et le contr\u00f4le (C2), facilitant l&#8217;ex\u00e9cution de commandes shell arbitraires, le vol de cookies \u00e0 partir de navigateurs Web, le t\u00e9l\u00e9chargement et le t\u00e9l\u00e9chargement de fichiers et l&#8217;\u00e9num\u00e9ration. et exfiltration de fichiers.  La persistance est obtenue au moyen d&#8217;une t\u00e2che planifi\u00e9e.<\/p>\n<p>&#8220;Une fois ex\u00e9cut\u00e9, SPICA d\u00e9code un PDF int\u00e9gr\u00e9, l&#8217;\u00e9crit sur le disque et l&#8217;ouvre comme un leurre pour l&#8217;utilisateur&#8221;, a d\u00e9clar\u00e9 Google TAG.  &#8220;En arri\u00e8re-plan, il \u00e9tablit la persistance et d\u00e9marre la boucle principale C2, en attendant l&#8217;ex\u00e9cution des commandes.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il existe des preuves sugg\u00e9rant que l&#8217;utilisation de l&#8217;implant par l&#8217;acteur \u00e9tatique remonte \u00e0 novembre 2022, avec le service de cybers\u00e9curit\u00e9 plusieurs variantes du leurre PDF \u00ab crypt\u00e9 \u00bb, indiquant qu&#8217;il pourrait y avoir diff\u00e9rentes versions de SPICA pour correspondre au document de leurre. envoy\u00e9s aux cibles.<\/p>\n<p>Dans le cadre de ses efforts pour perturber la campagne et emp\u00eacher toute exploitation ult\u00e9rieure, Google TAG a d\u00e9clar\u00e9 avoir ajout\u00e9 tous les sites Web, domaines et fichiers connus associ\u00e9s \u00e0 l&#8217;\u00e9quipe de piratage informatique. <a rel=\"nofollow noopener\" href=\"https:\/\/safebrowsing.google.com\/\" target=\"_blank\">Listes de blocage de la navigation s\u00e9curis\u00e9e<\/a>.<\/p>\n<p>Cette \u00e9volution intervient plus d&#8217;un mois apr\u00e8s que les gouvernements britannique et am\u00e9ricain ont sanctionn\u00e9 deux membres russes de COLDRIVER, Ruslan Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets, pour leur implication dans la conduite des op\u00e9rations de spear phishing.<\/p>\n<p>La soci\u00e9t\u00e9 fran\u00e7aise de cybers\u00e9curit\u00e9 Sekoia a depuis rendu public les liens entre Korinets et l&#8217;infrastructure connue utilis\u00e9e par le groupe, qui comprend des dizaines de domaines de phishing et plusieurs serveurs.<\/p>\n<p>&#8220;Calisto contribue aux efforts des services de renseignement russes pour soutenir les int\u00e9r\u00eats strat\u00e9giques de Moscou&#8221;, affirme la soci\u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/calisto-doxxing-sekoia-io-findings-concurs-to-reuters-investigation-on-fsb-related-andrey-korinets\/\" target=\"_blank\">dit<\/a>.  &#8220;Il semble que l&#8217;enregistrement de domaine ait \u00e9t\u00e9 l&#8217;un des [Korinets&#8217;] principales comp\u00e9tences, vraisemblablement utilis\u00e9es par les renseignements russes, soit directement, soit par le biais d&#8217;une relation contractuelle.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/russian-coldriver-hackers-expand-beyond.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur mena\u00e7ant li\u00e9 \u00e0 la Russie, connu sous le nom de COLDRIVER a \u00e9t\u00e9 observ\u00e9 en train d&#8217;\u00e9voluer pour aller au-del\u00e0 de la collecte d&#8217;informations d&#8217;identification et proposer son tout premier malware personnalis\u00e9 \u00e9crit dans le langage de programmation Rust. Le Threat Analysis Group (TAG) de Google, qui d\u00e9tails partag\u00e9s de la derni\u00e8re activit\u00e9, a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1107043,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,11564,84,218928,4168,4165,4161,200267,133,4159,4171,65,200271,4589,4590,200268,200269,200270,27178,8153,4394,248,128318,4172,4169,4166,5134,4164],"class_list":["post-1107042","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-audela","tag-avec","tag-coldriver","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-malveillants","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-personnalises","tag-phishing","tag-pirates","tag-russes","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vont","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1107042","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1107042"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1107042\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1107043"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1107042"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1107042"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1107042"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}