{"id":1171715,"date":"2024-02-29T08:18:30","date_gmt":"2024-02-29T10:18:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-porte-derobee-ciblant-des-responsables-europeens-lies-a-des-evenements-diplomatiques-indiens\/"},"modified":"2024-02-29T08:18:34","modified_gmt":"2024-02-29T10:18:34","slug":"nouvelle-porte-derobee-ciblant-des-responsables-europeens-lies-a-des-evenements-diplomatiques-indiens","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-porte-derobee-ciblant-des-responsables-europeens-lies-a-des-evenements-diplomatiques-indiens\/","title":{"rendered":"Nouvelle porte d\u00e9rob\u00e9e ciblant des responsables europ\u00e9ens li\u00e9s \u00e0 des \u00e9v\u00e9nements diplomatiques indiens"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 f\u00e9vrier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Cyber-espionnage\/logiciels malveillants<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un acteur mena\u00e7ant jusqu’alors sans papiers surnomm\u00e9 VIN \u00c9PIC\u00c9<\/strong> a \u00e9t\u00e9 observ\u00e9 ciblant des fonctionnaires dans des pays europ\u00e9ens ayant des missions diplomatiques indiennes en utilisant une nouvelle porte d\u00e9rob\u00e9e appel\u00e9e CHARGEUR DE VIN<\/b>.<\/p>\n

L’adversaire, selon un rapport<\/a> de Zscaler ThreatLabz, a utilis\u00e9 un fichier PDF dans des e-mails pr\u00e9tendant provenir de l’ambassadeur de l’Inde, invitant le personnel diplomatique \u00e0 une d\u00e9gustation de vins le 2 f\u00e9vrier 2024.<\/p>\n

\"La<\/a><\/center><\/div>\n

Le Document PDF<\/a> a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal depuis la Lettonie le 30 janvier 2024. Cela dit, il existe des preuves sugg\u00e9rant que cette campagne pourrait avoir \u00e9t\u00e9 active au moins depuis le 6 juillet 2023, d’apr\u00e8s la d\u00e9couverte de un autre fichier PDF similaire<\/a> t\u00e9l\u00e9charg\u00e9 depuis le m\u00eame pays.<\/p>\n

“L’attaque se caract\u00e9rise par son tr\u00e8s faible volume et les tactiques, techniques et proc\u00e9dures (TTP) avanc\u00e9es utilis\u00e9es dans l’infrastructure de malware et de commande et contr\u00f4le (C2),” ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Sudeep Singh et Roy Tay.<\/p>\n

\"Porte<\/a><\/div>\n

Au c\u0153ur de cette nouvelle attaque se trouve le fichier PDF qui contient un lien malveillant se faisant passer pour un questionnaire, invitant les destinataires \u00e0 le remplir afin de participer. En cliquant sur le lien, vous ouvrez la voie \u00e0 une application HTML (“wine.hta”) contenant du code JavaScript obscurci pour r\u00e9cup\u00e9rer une archive ZIP cod\u00e9e portant WINELOADER du m\u00eame domaine.<\/p>\n

Le malware est livr\u00e9 avec un module principal con\u00e7u pour ex\u00e9cuter des modules \u00e0 partir du serveur C2, s’injecter dans une autre biblioth\u00e8que de liens dynamiques (DLL) et mettre \u00e0 jour l’intervalle de veille entre les requ\u00eates de balise.<\/p>\n

\"La<\/a><\/center><\/div>\n

Un aspect notable des cyber-incursions est l\u2019utilisation de sites Web compromis pour le C2 et l\u2019h\u00e9bergement de charges utiles interm\u00e9diaires. On soup\u00e7onne que \u00ab le serveur C2 ne r\u00e9pond qu’\u00e0 certains types de requ\u00eates \u00e0 certains moments \u00bb, rendant ainsi les attaques plus \u00e9vasives.<\/p>\n

“L’acteur malveillant a d\u00e9ploy\u00e9 des efforts suppl\u00e9mentaires pour rester ind\u00e9tectable en \u00e9vitant les analyses de m\u00e9moire et les solutions automatis\u00e9es d’analyse d’URL”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n