{"id":1251065,"date":"2024-07-23T23:32:04","date_gmt":"2024-07-24T01:32:04","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-institutions-ukrainiennes-ciblees-par-les-logiciels-malveillants-hatvibe-et-cherryspy\/"},"modified":"2024-07-23T23:32:09","modified_gmt":"2024-07-24T01:32:09","slug":"les-institutions-ukrainiennes-ciblees-par-les-logiciels-malveillants-hatvibe-et-cherryspy","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-institutions-ukrainiennes-ciblees-par-les-logiciels-malveillants-hatvibe-et-cherryspy\/","title":{"rendered":"Les institutions ukrainiennes cibl\u00e9es par les logiciels malveillants HATVIBE et CHERRYSPY"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyberespionnage \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Les-institutions-ukrainiennes-ciblees-par-les-logiciels-malveillants-HATVIBE-et.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) a alert\u00e9 d&#8217;une campagne de spear-phishing ciblant une institution de recherche scientifique du pays avec des logiciels malveillants connus sous le nom de HATVIBE et CHERRYSPY.<\/p>\n<p>L&#8217;agence <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/6280129\" target=\"_blank\">attribu\u00e9<\/a> l&#8217;attaque contre un acteur de menace qu&#8217;elle suit sous le nom d&#8217;UAC-0063, qui a d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9 ciblant diverses entit\u00e9s gouvernementales pour recueillir des informations sensibles \u00e0 l&#8217;aide d&#8217;enregistreurs de frappe et de portes d\u00e9rob\u00e9es.<\/p>\n<p>L&#8217;attaque se caract\u00e9rise par l&#8217;utilisation d&#8217;un compte de messagerie compromis appartenant \u00e0 un employ\u00e9 de l&#8217;organisation pour envoyer des messages de phishing \u00e0 des \u00ab dizaines \u00bb de destinataires contenant une pi\u00e8ce jointe Microsoft Word (DOCX) contenant une macro.<\/p>\n<p>L&#8217;ouverture du document et l&#8217;activation des macros entra\u00eenent l&#8217;ex\u00e9cution d&#8217;une application HTML cod\u00e9e (HTA) nomm\u00e9e HATVIBE, qui configure la persistance sur l&#8217;h\u00f4te \u00e0 l&#8217;aide d&#8217;une t\u00e2che planifi\u00e9e et ouvre la voie \u00e0 une porte d\u00e9rob\u00e9e Python nomm\u00e9e CHERRYSPY, capable d&#8217;ex\u00e9cuter des commandes \u00e9mises par un serveur distant.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Le CERT-UA a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 \u00ab de nombreux cas \u00bb d&#8217;infections HATVIBE qui exploitent une faille de s\u00e9curit\u00e9 connue dans le serveur de fichiers HTTP (CVE-2024-23692, score CVSS : 9,8) pour l&#8217;acc\u00e8s initial.<\/p>\n<p>L&#8217;UAC-0063 a \u00e9t\u00e9 associ\u00e9 avec une confiance mod\u00e9r\u00e9e \u00e0 un groupe \u00e9tatique li\u00e9 \u00e0 la Russie surnomm\u00e9 APT28. APT28, \u00e9galement appel\u00e9 BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422, est affili\u00e9 \u00e0 l&#8217;unit\u00e9 de renseignement militaire strat\u00e9gique de la Russie, le GRU.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721784724_158_Les-institutions-ukrainiennes-ciblees-par-les-logiciels-malveillants-HATVIBE-et.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721784724_158_Les-institutions-ukrainiennes-ciblees-par-les-logiciels-malveillants-HATVIBE-et.png\" alt=\"Logiciels malveillants HATVIBE et CHERRYSPY\" border=\"0\" data-original-height=\"1806\" data-original-width=\"3530\" title=\"Logiciels malveillants HATVIBE et CHERRYSPY\"\/><\/a><\/div>\n<p>Le d\u00e9veloppement intervient alors que CERT-UA <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/6280099\" target=\"_blank\">d\u00e9taill\u00e9<\/a> une autre campagne de phishing ciblant les entreprises de d\u00e9fense ukrainiennes avec des fichiers PDF pi\u00e9g\u00e9s int\u00e9grant un lien qui, une fois cliqu\u00e9, t\u00e9l\u00e9charge un ex\u00e9cutable (alias GLUEEGG), qui est responsable du d\u00e9cryptage et de l&#8217;ex\u00e9cution d&#8217;un chargeur bas\u00e9 sur Lua appel\u00e9 DROPCLUE.<\/p>\n<p>DROPCLUE est con\u00e7u pour ouvrir un faux document \u00e0 la victime, tout en t\u00e9l\u00e9chargeant secr\u00e8tement un programme de bureau \u00e0 distance l\u00e9gitime appel\u00e9 Atera Agent \u00e0 l&#8217;aide de l&#8217;utilitaire curl. L&#8217;attaque a \u00e9t\u00e9 li\u00e9e \u00e0 un cluster suivi sous le nom UAC-0180.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/ukrainian-institutions-targeted-using.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 juillet 2024\ue804R\u00e9dactionCyberespionnage \/ Malware L&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) a alert\u00e9 d&#8217;une campagne de spear-phishing ciblant une institution de recherche scientifique du pays avec des logiciels malveillants connus sous le nom de HATVIBE et CHERRYSPY. L&#8217;agence attribu\u00e9 l&#8217;attaque contre un acteur de menace qu&#8217;elle suit sous le nom d&#8217;UAC-0063, qui a d\u00e9j\u00e0 \u00e9t\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1251066,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,243274,46619,4168,4165,243273,12318,65,238584,200271,4589,4590,238334,98340,164,238617,4172,4169,3809,4166,238583],"class_list":["post-1251065","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-cherryspy","tag-ciblees","tag-comment-pirater","tag-cyber-attaques","tag-hatvibe","tag-institutions","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-malveillants","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-par","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-ukrainiennes","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1251065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1251065"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1251065\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1251066"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1251065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1251065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1251065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}