{"id":1130148,"date":"2024-02-02T15:41:25","date_gmt":"2024-02-02T17:41:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-russes-apt28-ciblent-les-organisations-de-grande-valeur-avec-des-attaques-de-relais-ntlm\/"},"modified":"2024-02-02T15:41:29","modified_gmt":"2024-02-02T17:41:29","slug":"les-pirates-informatiques-russes-apt28-ciblent-les-organisations-de-grande-valeur-avec-des-attaques-de-relais-ntlm","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-russes-apt28-ciblent-les-organisations-de-grande-valeur-avec-des-attaques-de-relais-ntlm\/","title":{"rendered":"Les pirates informatiques russes APT28 ciblent les organisations de grande valeur avec des attaques de relais NTLM"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Les-pirates-informatiques-russes-APT28-ciblent-les-organisations-de-grande.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des acteurs parrain\u00e9s par l\u2019\u00c9tat russe ont organis\u00e9 des attaques par relais de hachage NT LAN Manager (NTLM) v2 par diverses m\u00e9thodes entre avril 2022 et novembre 2023, ciblant des cibles de grande valeur dans le monde entier.<\/p>\n<p>Les attaques, attribu\u00e9es \u00e0 une \u00e9quipe de hackers &#8220;agressive&#8221; appel\u00e9e <strong>APT28<\/strong>ont jet\u00e9 leur d\u00e9volu sur les organisations s&#8217;occupant des affaires \u00e9trang\u00e8res, de l&#8217;\u00e9nergie, de la d\u00e9fense et des transports, ainsi que sur celles impliqu\u00e9es dans le travail, la protection sociale, les finances, la parentalit\u00e9 et les conseils municipaux locaux.<\/p>\n<p>Entreprise de cybers\u00e9curit\u00e9 Trend Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/a\/pawn-storm-uses-brute-force-and-stealth.html\" target=\"_blank\">\u00e9valu\u00e9<\/a> ces intrusions comme une \u00ab m\u00e9thode rentable d&#8217;automatisation des tentatives de p\u00e9n\u00e9tration brutale dans les r\u00e9seaux \u00bb de ses cibles, notant que l&#8217;adversaire a pu compromettre des milliers de comptes de messagerie au fil du temps.<\/p>\n<p>APT28 est \u00e9galement suivi par la communaut\u00e9 de cybers\u00e9curit\u00e9 au sens large sous les noms Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anciennement Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422.<\/p>\n<p>Le groupe, soup\u00e7onn\u00e9 d&#8217;\u00eatre actif depuis au moins 2009, est g\u00e9r\u00e9 par le service de renseignement militaire russe GRU et a d\u00e9j\u00e0 orchestr\u00e9 du spear phishing contenant des pi\u00e8ces jointes malveillantes ou des compromissions strat\u00e9giques sur le Web pour activer les cha\u00eenes d&#8217;infection.<\/p>\n<p>En avril 2023, APT28 a \u00e9t\u00e9 impliqu\u00e9 dans des attaques exploitant des failles d\u00e9sormais corrig\u00e9es dans les \u00e9quipements r\u00e9seau de Cisco pour effectuer des reconnaissances et d\u00e9ployer des logiciels malveillants contre des cibles s\u00e9lectionn\u00e9es.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705402644_392_Le-logiciel-malveillant-Inferno-deguise-en-Coinbase-a-draine-87.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;acteur \u00e9tatique a \u00e9t\u00e9 mis sous le feu des projecteurs en d\u00e9cembre pour avoir exploit\u00e9 une faille d&#8217;\u00e9l\u00e9vation de privil\u00e8ges dans Microsoft Outlook (CVE-2023-23397, score CVSS : 9,8) et WinRAR (CVE-2023-38831, score CVSS : 7,8) pour acc\u00e9der \u00e0 Microsoft Outlook. le hachage Net-NTLMv2 d&#8217;un utilisateur et utilisez-le pour organiser une attaque NTLM Relay contre un autre service afin de vous authentifier en tant qu&#8217;utilisateur.<\/p>\n<p>Un exploit pour CVE-2023-23397 aurait \u00e9t\u00e9 utilis\u00e9 pour cibler des entit\u00e9s ukrainiennes d\u00e8s avril 2022, selon un <a rel=\"nofollow noopener\" href=\"https:\/\/cert.europa.eu\/publications\/security-advisories\/2023-018\/\" target=\"_blank\">Avis de mars 2023<\/a> du CERT-UE.<\/p>\n<p>Il a \u00e9galement \u00e9t\u00e9 observ\u00e9 qu&#8217;il exploitait des leurres li\u00e9s \u00e0 la guerre en cours entre Isra\u00ebl et le Hamas pour faciliter la livraison d&#8217;une porte d\u00e9rob\u00e9e personnalis\u00e9e appel\u00e9e HeadLace, aux c\u00f4t\u00e9s d&#8217;entit\u00e9s gouvernementales ukrainiennes et d&#8217;organisations polonaises en gr\u00e8ve avec des messages de phishing con\u00e7us pour d\u00e9ployer des portes d\u00e9rob\u00e9es et des voleurs d&#8217;informations comme OCEANMAP, MASEPIE et CROCHET EN ACIER.<\/p>\n<p>L&#8217;un des aspects importants des attaques des acteurs mena\u00e7ants est la tentative continue d&#8217;am\u00e9liorer leur manuel op\u00e9rationnel, en affinant et en bricolant leurs approches pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1706895684_446_Les-pirates-informatiques-russes-APT28-ciblent-les-organisations-de-grande.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1706895684_446_Les-pirates-informatiques-russes-APT28-ciblent-les-organisations-de-grande.jpg\" alt=\"Attaques de relais NTLM\" border=\"0\" data-original-height=\"332\" data-original-width=\"728\" title=\"Attaques de relais NTLM\"\/><\/a><\/div>\n<p>Cela inclut l&#8217;ajout de couches d&#8217;anonymisation telles que les services VPN, Tor, les adresses IP des centres de donn\u00e9es et les routeurs EdgeOS compromis pour effectuer des activit\u00e9s d&#8217;analyse et de sondage.  Une autre tactique consiste \u00e0 envoyer des messages de spear phishing \u00e0 partir de comptes de messagerie compromis via Tor ou VPN.<\/p>\n<p>&#8220;Pawn Storm utilise \u00e9galement des routeurs EdgeOS pour envoyer des e-mails de spear phishing, effectuer des rappels d&#8217;exploits CVE-2023-23397 dans Outlook et voler des informations d&#8217;identification par proxy sur des sites Web de phishing&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Feike Hacquebord et Fernando Merces.<\/p>\n<p>&#8220;Une partie des activit\u00e9s post-exploitation du groupe implique la modification des autorisations des dossiers dans la bo\u00eete aux lettres de la victime, conduisant \u00e0 une persistance am\u00e9lior\u00e9e&#8221;, ont indiqu\u00e9 les chercheurs.  &#8220;En utilisant les comptes de messagerie de la victime, un mouvement lat\u00e9ral est possible en envoyant des messages \u00e9lectroniques malveillants suppl\u00e9mentaires depuis l&#8217;organisation de la victime.&#8221;<\/p>\n<p>On ne sait actuellement pas si l&#8217;auteur de la menace a lui-m\u00eame viol\u00e9 ces routeurs ou s&#8217;il utilise des routeurs d\u00e9j\u00e0 compromis par un acteur tiers.  Cela dit, on estime que pas moins de 100 routeurs EdgeOS ont \u00e9t\u00e9 infect\u00e9s.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En outre, les r\u00e9centes campagnes de collecte d&#8217;informations d&#8217;identification contre les gouvernements europ\u00e9ens ont utilis\u00e9 de fausses pages de connexion imitant Microsoft Outlook, h\u00e9berg\u00e9es sur un webhook.[.]URL du site, un mod\u00e8le pr\u00e9c\u00e9demment attribu\u00e9 au groupe.<\/p>\n<p>Cependant, une campagne de phishing d&#8217;octobre 2022 a cibl\u00e9 les ambassades et d&#8217;autres entit\u00e9s de premier plan pour livrer un \u00ab simple \u00bb voleur d&#8217;informations via des e-mails qui capturaient des fichiers correspondant \u00e0 des extensions sp\u00e9cifiques et les exfiltraient vers un service de partage de fichiers gratuit nomm\u00e9 Keep.sh.<\/p>\n<p>&#8220;Le volume des campagnes r\u00e9p\u00e9titives, souvent grossi\u00e8res et agressives, noie le silence, la subtilit\u00e9 et la complexit\u00e9 de l&#8217;intrusion initiale, ainsi que les actions post-exploitation qui pourraient survenir une fois que Pawn Storm aura pris pied dans les organisations victimes.&#8221; \u00bb ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Le d\u00e9veloppement intervient comme Recorded Future News <a rel=\"nofollow noopener\" href=\"https:\/\/therecord.media\/russian-campaign-impersonating-western-researchers-academics\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> une campagne de piratage en cours entreprise par l&#8217;acteur russe COLDRIVER (alias Calisto, Iron Frontier ou Star Blizzard) qui se fait passer pour des chercheurs et des universitaires pour rediriger les victimes potentielles vers des pages de collecte d&#8217;informations d&#8217;identification.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/russian-apt28-hackers-targeting-high.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des acteurs parrain\u00e9s par l\u2019\u00c9tat russe ont organis\u00e9 des attaques par relais de hachage NT LAN Manager (NTLM) v2 par diverses m\u00e9thodes entre avril 2022 et novembre 2023, ciblant des cibles de grande valeur dans le monde entier. Les attaques, attribu\u00e9es \u00e0 une \u00e9quipe de hackers &#8220;agressive&#8221; appel\u00e9e APT28ont jet\u00e9 leur d\u00e9volu sur les organisations [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1130149,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,159784,8074,84,5863,4168,4165,4161,200267,133,1740,8154,4159,4171,65,200271,200268,200269,200270,80875,12070,4394,2876,248,128318,4172,4169,1092,4166,4164],"class_list":["post-1130148","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-apt28","tag-attaques","tag-avec","tag-ciblent","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-grande","tag-informatiques","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-ntlm","tag-organisations","tag-pirates","tag-relais","tag-russes","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-valeur","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1130148","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1130148"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1130148\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1130149"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1130148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1130148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1130148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}