{"id":1196913,"date":"2024-06-13T00:12:07","date_gmt":"2024-06-13T02:12:07","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-spectr-cible-les-forces-de-defense-ukrainiennes-dans-le-cadre-de-la-campagne-sicksync\/"},"modified":"2024-06-13T00:12:11","modified_gmt":"2024-06-13T02:12:11","slug":"le-logiciel-malveillant-spectr-cible-les-forces-de-defense-ukrainiennes-dans-le-cadre-de-la-campagne-sicksync","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-spectr-cible-les-forces-de-defense-ukrainiennes-dans-le-cadre-de-la-campagne-sicksync\/","title":{"rendered":"Le logiciel malveillant SPECTR cible les forces de d\u00e9fense ukrainiennes dans le cadre de la campagne SickSync"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyberattaque\/logiciel malveillant<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Le-logiciel-malveillant-SPECTR-cible-les-forces-de-defense-ukrainiennes.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;\u00e9quipe ukrainienne d&#8217;intervention en cas d&#8217;urgence informatique (CERT-UA) a mis en garde contre des cyberattaques visant les forces de d\u00e9fense du pays avec un malware appel\u00e9 SPECTR dans le cadre d&#8217;une campagne d&#8217;espionnage baptis\u00e9e SickSync.<\/p>\n<p>L&#8217;agence <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/6279600\" target=\"_blank\">attribu\u00e9<\/a> les attaques contre un acteur mena\u00e7ant qu&#8217;elle suit sous le surnom d&#8217;UAC-0020, \u00e9galement appel\u00e9 Vermin et qui est consid\u00e9r\u00e9 comme \u00e9tant associ\u00e9 aux agences de s\u00e9curit\u00e9 de la R\u00e9publique populaire de Louhansk (LPR).  LPR \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/mid.ru\/en\/foreign_policy\/news\/1799883\/\" target=\"_blank\">d\u00e9clar\u00e9<\/a> un \u00c9tat souverain par la Russie quelques jours avant son invasion militaire de l\u2019Ukraine en f\u00e9vrier 2022.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque commencent par des e-mails de spear phishing contenant un fichier d&#8217;archive RAR auto-extractible contenant un fichier PDF leurre, une version trojanis\u00e9e de l&#8217;application SyncThing qui int\u00e8gre la charge utile SPECTR et un script batch qui active l&#8217;infection en lan\u00e7ant l&#8217;ex\u00e9cutable.<\/p>\n<p>SPECTR sert de voleur d&#8217;informations en r\u00e9cup\u00e9rant des captures d&#8217;\u00e9cran toutes les 10 secondes, en r\u00e9coltant des fichiers, en collectant des donn\u00e9es \u00e0 partir de cl\u00e9s USB amovibles et en volant des informations d&#8217;identification ainsi que des navigateurs Web et des applications comme Element, Signal, Skype et Telegram.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Vulnerabilite-Azure-Service-Tags-Microsoft-met-en-garde-contre-un.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Dans le m\u00eame temps, pour t\u00e9l\u00e9charger des documents, fichiers, mots de passe et autres informations vol\u00e9s depuis l&#8217;ordinateur, la fonctionnalit\u00e9 de synchronisation standard du logiciel l\u00e9gitime SyncThing a \u00e9t\u00e9 utilis\u00e9e, qui, entre autres, prend en charge l&#8217;\u00e9tablissement d&#8217;une connexion peer-to-peer. entre ordinateurs&#8221;, a d\u00e9clar\u00e9 le CERT-UA.<\/p>\n<p>SickSync marque le <a rel=\"nofollow noopener\" href=\"https:\/\/cip.gov.ua\/ua\/news\/cert-ua-poperedzhaye-derzhavni-organi-pro-ataku-shkidlivoyu-programoyu-spectr\" target=\"_blank\">retour<\/a> du groupe Vermine apr\u00e8s une absence prolong\u00e9e, ce qui avait \u00e9t\u00e9 observ\u00e9 pr\u00e9c\u00e9demment <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/37815\" target=\"_blank\">orchestrer des campagnes de phishing<\/a> visant les organismes publics ukrainiens \u00e0 d\u00e9ployer le malware SPECTR en mars 2022. SPECTR est connu pour \u00eatre utilis\u00e9 par l&#8217;acteur depuis 2019.<\/p>\n<p>Vermin est \u00e9galement le nom attribu\u00e9 \u00e0 un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance .NET utilis\u00e9 par l&#8217;acteur malveillant pour cibler diverses institutions gouvernementales ukrainiennes depuis pr\u00e8s de huit ans.  C&#8217;\u00e9tait d&#8217;abord <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/unit42-vermin-quasar-rat-custom-malware-used-ukraine\/\" target=\"_blank\">rapport\u00e9 publiquement<\/a> par Palo Alto Networks Unit 42 en janvier 2018, avec un suivi ult\u00e9rieur <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2018\/07\/17\/deep-dive-vermin-rathole\/\" target=\"_blank\">analyse<\/a> d&#8217;ESET retra\u00e7ant l&#8217;activit\u00e9 de l&#8217;attaquant jusqu&#8217;en octobre 2015.<\/p>\n<p>Cette divulgation intervient alors que le CERT-UA a mis en garde contre des attaques d&#8217;ing\u00e9nierie sociale exploitant l&#8217;application de messagerie instantan\u00e9e Signal comme vecteur de distribution pour fournir un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 DarkCrystal RAT (alias DCRat).  Ils ont \u00e9t\u00e9 li\u00e9s \u00e0 un cluster d&#8217;activit\u00e9s nomm\u00e9 UAC-0200.<\/p>\n<p>&#8220;Une fois de plus, nous constatons une tendance \u00e0 l&#8217;augmentation de l&#8217;intensit\u00e9 des cyberattaques utilisant des messageries et des comptes l\u00e9gitimes compromis&#8221;, indique l&#8217;agence. <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/6279561\" target=\"_blank\">dit<\/a>.  &#8220;En m\u00eame temps, d&#8217;une mani\u00e8re ou d&#8217;une autre, la victime est incit\u00e9e \u00e0 ouvrir le fichier sur son ordinateur.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela fait \u00e9galement suite \u00e0 la d\u00e9couverte d&#8217;une campagne de logiciels malveillants men\u00e9e par des pirates informatiques parrain\u00e9s par l&#8217;\u00c9tat bi\u00e9lorusse, connus sous le nom de GhostWriter (alias UAC-0057 et UNC1151), qui utilisent des documents Microsoft Excel pi\u00e9g\u00e9s dans des attaques visant le minist\u00e8re ukrainien de la D\u00e9fense.<\/p>\n<p>&#8220;Lors de l&#8217;ex\u00e9cution du document Excel, qui contient une macro VBA int\u00e9gr\u00e9e, il supprime un fichier de chargement LNK et DLL&#8221;, Symantec, propri\u00e9t\u00e9 de Broadcom. <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/unc1151-apt-targets-the-ukrainian-ministry-of-defence-with-malicious-excel-campaign\" target=\"_blank\">dit<\/a>.  &#8220;Par la suite, l&#8217;ex\u00e9cution du fichier LNK lance le chargeur de DLL, ce qui pourrait conduire \u00e0 une charge utile finale suspect\u00e9e comprenant l&#8217;agent Tesla, les balises Cobalt Strike et njRAT.&#8221;<\/p>\n<p><em>(L&#8217;histoire a \u00e9t\u00e9 mise \u00e0 jour apr\u00e8s la publication pour inclure la confirmation d&#8217;ESET concernant les connexions de l&#8217;UAC-0020 au Vermin RAT.)<\/em><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/spectr-malware-targets-ukraine-defense.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 juin 2024\ue804R\u00e9dactionCyberattaque\/logiciel malveillant L&#8217;\u00e9quipe ukrainienne d&#8217;intervention en cas d&#8217;urgence informatique (CERT-UA) a mis en garde contre des cyberattaques visant les forces de d\u00e9fense du pays avec un malware appel\u00e9 SPECTR dans le cadre d&#8217;une campagne d&#8217;espionnage baptis\u00e9e SickSync. L&#8217;agence attribu\u00e9 les attaques contre un acteur mena\u00e7ant qu&#8217;elle suit sous le surnom d&#8217;UAC-0020, \u00e9galement appel\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1196914,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4176,2930,7087,4168,4165,4161,200267,429,348,4600,4159,4171,65,6816,200271,7733,200268,200269,200270,128318,4172,4169,235640,235639,3809,4166,4164],"class_list":["post-1196913","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-cadre","tag-campagne","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-defense","tag-forces","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sicksync","tag-spectr","tag-ukrainiennes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1196913","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1196913"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1196913\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1196914"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1196913"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1196913"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1196913"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}