{"id":1198011,"date":"2024-06-13T18:05:52","date_gmt":"2024-06-13T20:05:52","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-campagne-contre-les-logiciels-malveillants-liee-au-pakistan-evolue-pour-cibler-windows-android-et-macos\/"},"modified":"2024-06-13T18:05:56","modified_gmt":"2024-06-13T20:05:56","slug":"la-campagne-contre-les-logiciels-malveillants-liee-au-pakistan-evolue-pour-cibler-windows-android-et-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-campagne-contre-les-logiciels-malveillants-liee-au-pakistan-evolue-pour-cibler-windows-android-et-macos\/","title":{"rendered":"La campagne contre les logiciels malveillants li\u00e9e au Pakistan \u00e9volue pour cibler Windows, Android et macOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Intelligence sur les menaces \/ Cyberattaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/La-campagne-contre-les-logiciels-malveillants-liee-au-Pakistan-evolue.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les acteurs mena\u00e7ants ayant des liens avec le Pakistan ont \u00e9t\u00e9 associ\u00e9s \u00e0 une campagne de malware de longue dur\u00e9e baptis\u00e9e <strong>Op\u00e9ration Force C\u00e9leste<\/strong> depuis au moins 2018.<\/p>\n<p>L&#8217;activit\u00e9, toujours en cours, implique l&#8217;utilisation d&#8217;un malware Android appel\u00e9 GravityRAT et d&#8217;un chargeur de malware bas\u00e9 sur Windows nomm\u00e9 HeavyLift, selon Cisco Talos, qui sont administr\u00e9s \u00e0 l&#8217;aide d&#8217;un autre outil autonome appel\u00e9 GravityAdmin.<\/p>\n<p>La cybers\u00e9curit\u00e9 a attribu\u00e9 l&#8217;intrusion \u00e0 un adversaire qu&#8217;elle suit sous le surnom de Cosmic Leopard (alias SpaceCobra), qui, selon elle, pr\u00e9sente un certain niveau de chevauchement tactique avec Transparent Tribe.<\/p>\n<p>&#8220;L&#8217;op\u00e9ration Celestial Force est active depuis au moins 2018 et continue de fonctionner aujourd&#8217;hui &#8211; en utilisant de plus en plus une suite de logiciels malveillants en expansion et en \u00e9volution &#8211; ce qui indique que l&#8217;op\u00e9ration a probablement connu un degr\u00e9 \u00e9lev\u00e9 de succ\u00e8s en ciblant les utilisateurs du sous-continent indien&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Asheer Malhotra. et Vitor Ventura <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/cosmic-leopard\/\" target=\"_blank\">dit<\/a> dans un rapport technique partag\u00e9 avec The Hacker News.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v4\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718014063_881_Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>GravityRAT a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en 2018 en tant que malware Windows ciblant des entit\u00e9s indiennes via des e-mails de spear phishing, se vantant d&#8217;un ensemble de fonctionnalit\u00e9s en constante \u00e9volution pour r\u00e9colter des informations sensibles sur des h\u00f4tes compromis.  Depuis lors, le malware a \u00e9t\u00e9 port\u00e9 pour fonctionner sur les syst\u00e8mes d\u2019exploitation Android et macOS, le transformant en un outil multiplateforme.<\/p>\n<p>Les d\u00e9couvertes ult\u00e9rieures de Meta et d&#8217;ESET l&#8217;ann\u00e9e derni\u00e8re ont r\u00e9v\u00e9l\u00e9 une utilisation continue de la version Android de GravityRAT pour cibler le personnel militaire en Inde et au sein de l&#8217;arm\u00e9e de l&#8217;air pakistanaise en la faisant passer pour des applications de stockage dans le cloud, de divertissement et de chat.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718309151_942_La-campagne-contre-les-logiciels-malveillants-liee-au-Pakistan-evolue.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718309151_942_La-campagne-contre-les-logiciels-malveillants-liee-au-Pakistan-evolue.png\" alt=\"Logiciel malveillant li\u00e9 au Pakistan\" border=\"0\" data-original-height=\"486\" data-original-width=\"728\" title=\"Logiciel malveillant li\u00e9 au Pakistan\"\/><\/a><\/div>\n<p>Les conclusions de Cisco Talos rassemblent toutes ces activit\u00e9s disparates mais li\u00e9es sous un m\u00eame parapluie, fond\u00e9es sur des preuves qui indiquent que l&#8217;acteur malveillant utilise GravityAdmin pour orchestrer ces attaques.<\/p>\n<p>Cosmic Leopard a \u00e9t\u00e9 principalement observ\u00e9 en train d&#8217;utiliser le spear phishing et l&#8217;ing\u00e9nierie sociale pour \u00e9tablir la confiance avec des cibles potentielles, avant de leur envoyer un lien vers un site malveillant qui leur demande de t\u00e9l\u00e9charger un programme apparemment inoffensif qui supprime GravityRAT ou HeavyLift en fonction du syst\u00e8me d&#8217;exploitation utilis\u00e9.<\/p>\n<p>GravityRAT aurait \u00e9t\u00e9 utilis\u00e9 d\u00e8s 2016. GravityAdmin, quant \u00e0 lui, est un binaire utilis\u00e9 pour r\u00e9quisitionner les syst\u00e8mes infect\u00e9s depuis au moins ao\u00fbt 2021 en \u00e9tablissant des connexions avec GravityRAT et les serveurs de commande et de contr\u00f4le (C2) de HeavyLift. .<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;GravityAdmin se compose de plusieurs interfaces utilisateur (UI) int\u00e9gr\u00e9es qui correspondent \u00e0 des campagnes sp\u00e9cifiques, portant des noms de code, exploit\u00e9es par des op\u00e9rateurs malveillants&#8221;, ont not\u00e9 les chercheurs.  &#8220;Par exemple, &#8220;FOXTROT&#8221;, https:\/\/thehackernews.com\/2024\/06\/&#8221;CLOUDINFINITY&#8221; et &#8220;CHATICO&#8221; sont des noms donn\u00e9s \u00e0 toutes les infections GravityRAT bas\u00e9es sur Android, tandis que &#8220;CRAFTWITHME&#8221;, &#8220;https:\/\/thehackernews.com \/2024\/06\/&#8221;SEXYBER&#8221; et &#8220;CVSCOUT&#8221; sont des noms d&#8217;attaques d\u00e9ployant HeavyLift.&#8221;<\/p>\n<p>Le composant r\u00e9cemment d\u00e9couvert dans l&#8217;arsenal des acteurs malveillants est HeavyLift, une famille de chargeurs de logiciels malveillants bas\u00e9s sur Electron distribu\u00e9s via des installateurs malveillants ciblant le syst\u00e8me d&#8217;exploitation Windows.  Il pr\u00e9sente \u00e9galement des similitudes avec les versions Electron de GravityRAT pr\u00e9c\u00e9demment document\u00e9es par Kaspersky en 2020. <\/p>\n<p>Le malware, une fois lanc\u00e9, est capable de collecter et d&#8217;exporter des m\u00e9tadonn\u00e9es syst\u00e8me vers un serveur C2 cod\u00e9 en dur, puis d&#8217;interroger p\u00e9riodiquement le serveur pour d\u00e9tecter toute nouvelle charge utile \u00e0 ex\u00e9cuter sur le syst\u00e8me.  De plus, il est \u00e9galement con\u00e7u pour ex\u00e9cuter des fonctions similaires sur macOS.<\/p>\n<p>&#8220;Cette op\u00e9ration pluriannuelle a cibl\u00e9 en permanence des entit\u00e9s et des individus indiens appartenant probablement aux domaines de la d\u00e9fense, du gouvernement et des technologies connexes&#8221;, ont indiqu\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/pakistan-linked-malware-campaign.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 juin 2024\ue804R\u00e9dactionIntelligence sur les menaces \/ Cyberattaque Les acteurs mena\u00e7ants ayant des liens avec le Pakistan ont \u00e9t\u00e9 associ\u00e9s \u00e0 une campagne de malware de longue dur\u00e9e baptis\u00e9e Op\u00e9ration Force C\u00e9leste depuis au moins 2018. L&#8217;activit\u00e9, toujours en cours, implique l&#8217;utilisation d&#8217;un malware Android appel\u00e9 GravityRAT et d&#8217;un chargeur de malware bas\u00e9 sur Windows [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1198012,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,8738,2930,11338,4168,841,4165,4161,200267,2223,4159,4171,65,12748,200271,4589,34503,4590,200268,200269,200270,28289,185,128318,4172,4169,4166,4164,45020],"class_list":["post-1198011","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-android","tag-campagne","tag-cibler","tag-comment-pirater","tag-contre","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-evolue","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-liee","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-macos","tag-malveillants","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pakistan","tag-pour","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198011","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1198011"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198011\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1198012"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1198011"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1198011"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1198011"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}