{"id":1126362,"date":"2024-01-31T10:00:37","date_gmt":"2024-01-31T12:00:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-entreprises-italiennes-touchees-par-des-cles-usb-militarisees-propageant-des-logiciels-malveillants-de-cryptojacking\/"},"modified":"2024-01-31T10:00:41","modified_gmt":"2024-01-31T12:00:41","slug":"des-entreprises-italiennes-touchees-par-des-cles-usb-militarisees-propageant-des-logiciels-malveillants-de-cryptojacking","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-entreprises-italiennes-touchees-par-des-cles-usb-militarisees-propageant-des-logiciels-malveillants-de-cryptojacking\/","title":{"rendered":"Des entreprises italiennes touch\u00e9es par des cl\u00e9s USB militaris\u00e9es propageant des logiciels malveillants de cryptojacking"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">31 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Crypto-monnaie \/ Cybers\u00e9curit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Des-entreprises-italiennes-touchees-par-des-cles-USB-militarisees-propageant.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un acteur mena\u00e7ant motiv\u00e9 par des raisons financi\u00e8res, connu sous le nom de <strong>UNC4990<\/strong> exploite les p\u00e9riph\u00e9riques USB arm\u00e9s comme vecteur d&#8217;infection initial pour cibler les organisations en Italie.<\/p>\n<p>Mandiant, propri\u00e9t\u00e9 de Google, a d\u00e9clar\u00e9 que les attaques ciblent plusieurs secteurs, notamment la sant\u00e9, les transports, la construction et la logistique.<\/p>\n<p>&#8220;Les op\u00e9rations UNC4990 impliquent g\u00e9n\u00e9ralement une infection USB g\u00e9n\u00e9ralis\u00e9e suivie du d\u00e9ploiement du t\u00e9l\u00e9chargeur EMPTYSPACE&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/unc4990-evolution-usb-malware\" target=\"_blank\">dit<\/a> dans un rapport de mardi.<\/p>\n<p>&#8220;Au cours de ces op\u00e9rations, le cluster s&#8217;appuie sur des sites Web tiers tels que GitHub, Vimeo et Ars Technica pour h\u00e9berger des \u00e9tapes suppl\u00e9mentaires cod\u00e9es, qu&#8217;il t\u00e9l\u00e9charge et d\u00e9code via PowerShell au d\u00e9but de la cha\u00eene d&#8217;ex\u00e9cution.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-attaques-DDoS-contre-le-secteur-des-services-environnementaux-augmentent.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L\u2019UNC4990, actif depuis fin 2020, fonctionnerait depuis l\u2019Italie sur la base de l\u2019utilisation intensive de l\u2019infrastructure italienne \u00e0 des fins de commandement et de contr\u00f4le (C2).<\/p>\n<p>On ne sait pas actuellement si l&#8217;UNC4990 fonctionne uniquement comme un facilitateur d&#8217;acc\u00e8s initial pour d&#8217;autres acteurs.  L\u2019objectif final de l\u2019auteur de la menace n\u2019est pas clair, m\u00eame si dans un cas, un mineur de cryptomonnaie open source aurait \u00e9t\u00e9 d\u00e9ploy\u00e9 apr\u00e8s des mois d\u2019activit\u00e9 de balisage.<\/p>\n<p>Les d\u00e9tails de la campagne ont \u00e9t\u00e9 pr\u00e9c\u00e9demment document\u00e9s par <a rel=\"nofollow noopener\" href=\"https:\/\/fortgale.com\/blog\/featured\/nebula-broker-offensive-operations-italy\/\" target=\"_blank\">Fortgale<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/yoroi.company\/en\/research\/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-through-infected-usb-drives\/\" target=\"_blank\">Yoroi<\/a> d\u00e9but d\u00e9cembre 2023, le premier traquant l\u2019adversaire sous le nom de Nebula Broker.<\/p>\n<p>L&#8217;infection commence lorsqu&#8217;une victime double-clique sur un fichier de raccourci LNK malveillant sur un p\u00e9riph\u00e9rique USB amovible, conduisant \u00e0 l&#8217;ex\u00e9cution d&#8217;un script PowerShell charg\u00e9 de t\u00e9l\u00e9charger EMPTYSPACE (alias BrokerLoader ou Vetta Loader) depuis un serveur distant via un autre script PowerShell interm\u00e9diaire. h\u00e9berg\u00e9 sur Vimeo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1706702436_990_Des-entreprises-italiennes-touchees-par-des-cles-USB-militarisees-propageant.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1706702436_990_Des-entreprises-italiennes-touchees-par-des-cles-USB-militarisees-propageant.jpg\" alt=\"Logiciel malveillant de cryptojacking\" border=\"0\" data-original-height=\"714\" data-original-width=\"728\" title=\"Logiciel malveillant de cryptojacking\"\/><\/a><\/div>\n<p>Yoroi a d\u00e9clar\u00e9 avoir identifi\u00e9 quatre variantes diff\u00e9rentes d&#8217;EMPTYSPACE \u00e9crites en Golang, .NET, Node.js et Python, qui servent ensuite de canal pour r\u00e9cup\u00e9rer les charges utiles de l&#8217;\u00e9tape suivante via HTTP \u00e0 partir du serveur C2, y compris une porte d\u00e9rob\u00e9e baptis\u00e9e QUIETBOARD.<\/p>\n<p>Un aspect notable de cette phase est l\u2019utilisation de sites populaires comme Ars Technica, GitHub, GitLab et Vimeo pour h\u00e9berger la charge utile malveillante.<\/p>\n<p>&#8220;Le contenu h\u00e9berg\u00e9 sur ces services ne pr\u00e9sentait aucun risque direct pour les utilisateurs quotidiens de ces services, car le contenu h\u00e9berg\u00e9 de mani\u00e8re isol\u00e9e \u00e9tait totalement inoffensif&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Mandiant.  &#8220;Quiconque aurait cliqu\u00e9 ou consult\u00e9 ce contenu par inadvertance dans le pass\u00e9 ne risquait pas d&#8217;\u00eatre compromis.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>QUIETBOARD, d&#8217;autre part, est une porte d\u00e9rob\u00e9e bas\u00e9e sur Python avec un large \u00e9ventail de fonctionnalit\u00e9s qui lui permettent d&#8217;ex\u00e9cuter des commandes arbitraires, de modifier les adresses de portefeuilles cryptographiques copi\u00e9es dans le presse-papiers pour rediriger les transferts de fonds vers les portefeuilles sous leur contr\u00f4le, de propager le malware sur des lecteurs amovibles. , prenez des captures d&#8217;\u00e9cran et collectez des informations sur le syst\u00e8me.<\/p>\n<p>De plus, la porte d\u00e9rob\u00e9e est capable d&#8217;une extension modulaire et d&#8217;ex\u00e9cuter des modules Python ind\u00e9pendants tels que des mineurs de pi\u00e8ces, ainsi que de r\u00e9cup\u00e9rer et d&#8217;ex\u00e9cuter dynamiquement du code Python \u00e0 partir du serveur C2.<\/p>\n<p>&#8220;L&#8217;analyse d&#8217;EMPTYSPACE et de QUIETBOARD sugg\u00e8re comment les acteurs de la menace ont adopt\u00e9 une approche modulaire dans le d\u00e9veloppement de leur ensemble d&#8217;outils&#8221;, a d\u00e9clar\u00e9 Mandiant.<\/p>\n<p>&#8220;L&#8217;utilisation de plusieurs langages de programmation pour cr\u00e9er diff\u00e9rentes versions du t\u00e9l\u00e9chargeur EMPTYSPACE et le changement d&#8217;URL lorsque la vid\u00e9o Vimeo a \u00e9t\u00e9 supprim\u00e9e montrent une pr\u00e9disposition \u00e0 l&#8217;exp\u00e9rimentation et \u00e0 l&#8217;adaptabilit\u00e9 de la part des acteurs de la menace.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/italian-businesses-hit-by-weaponized.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80231 janvier 2024\ue804R\u00e9dactionCrypto-monnaie \/ Cybers\u00e9curit\u00e9 Un acteur mena\u00e7ant motiv\u00e9 par des raisons financi\u00e8res, connu sous le nom de UNC4990 exploite les p\u00e9riph\u00e9riques USB arm\u00e9s comme vecteur d&#8217;infection initial pour cibler les organisations en Italie. Mandiant, propri\u00e9t\u00e9 de Google, a d\u00e9clar\u00e9 que les attaques ciblent plusieurs secteurs, notamment la sant\u00e9, les transports, la construction et la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1126363,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,6208,4168,119982,4165,4161,200267,133,3244,11554,4159,4171,200271,4589,4590,153285,200268,200269,200270,164,131799,128318,4172,4169,4257,78790,4166,4164],"class_list":["post-1126362","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-cles","tag-comment-pirater","tag-cryptojacking","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-entreprises","tag-italiennes","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-malveillants","tag-militarisees","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-par","tag-propageant","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-touchees","tag-usb","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1126362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1126362"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1126362\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1126363"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1126362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1126362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1126362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}