{"id":1261735,"date":"2024-07-31T21:02:59","date_gmt":"2024-07-31T23:02:59","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-de-cyberespionnage-xdspy-cible-des-entreprises-en-russie-et-en-moldavie\/"},"modified":"2024-07-31T21:03:04","modified_gmt":"2024-07-31T23:03:04","slug":"le-groupe-de-cyberespionnage-xdspy-cible-des-entreprises-en-russie-et-en-moldavie","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-de-cyberespionnage-xdspy-cible-des-entreprises-en-russie-et-en-moldavie\/","title":{"rendered":"Le groupe de cyberespionnage XDSpy cible des entreprises en Russie et en Moldavie"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 juillet 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cyberespionnage \/ Renseignement sur les menaces<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Des entreprises en Russie et en Moldavie ont \u00e9t\u00e9 la cible d’une campagne de phishing orchestr\u00e9e par un groupe de cyberespionnage peu connu connu sous le nom de XDSpy<\/strong>.<\/p>\n

Le r\u00e9sultats<\/a> Les informations proviennent de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 FACCT, qui a d\u00e9clar\u00e9 que les cha\u00eenes d’infection ont conduit au d\u00e9ploiement d’un logiciel malveillant appel\u00e9 DSDownloader. L’activit\u00e9 a \u00e9t\u00e9 observ\u00e9e ce mois-ci, a-t-elle ajout\u00e9.<\/p>\n

XDSpy<\/a> est un acteur de menace d’origine ind\u00e9termin\u00e9e qui a \u00e9t\u00e9 d’abord<\/a> d\u00e9couvert<\/a> par l’\u00e9quipe d’intervention d’urgence informatique bi\u00e9lorusse, CERT.BY, en f\u00e9vrier 2020. Une analyse ult\u00e9rieure par ESET attribu\u00e9<\/a> le groupe \u00e0 attaques de vol d’informations<\/a> destin\u00e9 aux agences gouvernementales d\u2019Europe de l\u2019Est et des Balkans depuis 2011.<\/p>\n

Les cha\u00eenes d’attaque mont\u00e9es par l’adversaire sont connues pour exploiter les e-mails de spear-phishing afin d’infiltrer leurs cibles avec un module de malware principal connu sous le nom de XDDown qui, \u00e0 son tour, d\u00e9pose des plugins suppl\u00e9mentaires pour collecter des informations syst\u00e8me, \u00e9num\u00e9rer le lecteur C:, surveiller les lecteurs externes, exfiltrer les fichiers locaux et collecter les mots de passe.<\/p>\n

\"La<\/a><\/center><\/section>\n

Au cours de l\u2019ann\u00e9e \u00e9coul\u00e9e, XDSpy a \u00e9t\u00e9 observ\u00e9<\/a> ciblage<\/a> Organisations russes avec un dropper bas\u00e9 sur C# nomm\u00e9 UTask qui est responsable du t\u00e9l\u00e9chargement d’un module principal sous la forme d’un ex\u00e9cutable qui peut r\u00e9cup\u00e9rer davantage de charges utiles \u00e0 partir d’un serveur de commande et de contr\u00f4le (C2).<\/p>\n

La derni\u00e8re s\u00e9rie d’attaques consiste \u00e0 utiliser des e-mails de phishing contenant des leurres li\u00e9s \u00e0 des accords pour propager un fichier d’archive RAR contenant un ex\u00e9cutable l\u00e9gitime et un fichier DLL malveillant. Le fichier DLL est ensuite ex\u00e9cut\u00e9 au moyen du premier \u00e0 l’aide de techniques de chargement lat\u00e9ral de DLL.<\/p>\n

Dans la phase suivante, la biblioth\u00e8que se charge de r\u00e9cup\u00e9rer et d’ex\u00e9cuter DSDownloader, qui, \u00e0 son tour, ouvre un fichier leurre pour d\u00e9tourner l’attention tout en t\u00e9l\u00e9chargeant subrepticement le malware de la phase suivante \u00e0 partir d’un serveur distant. FACCT a d\u00e9clar\u00e9 que la charge utile n’\u00e9tait plus disponible au t\u00e9l\u00e9chargement au moment de l’analyse.<\/p>\n

Le d\u00e9but de la guerre russo-ukrainienne en f\u00e9vrier 2022 a \u00e9t\u00e9 t\u00e9moin d’une escalade significative des cyberattaques des deux c\u00f4t\u00e9s, les entreprises russes compromis<\/a> par DarkWatchman RAT ainsi que par des groupes d’activit\u00e9 suivis comme Loup-garou de base<\/a>Chiens de l’enfer, PhantomCore<\/a>, Loup rare<\/a>, ReaverBits<\/a>et Sticky Werewolf, entre autres ces derniers mois.<\/p>\n

De plus, pro-ukrainien groupes hacktivistes<\/a> Des groupes tels que Cyber.Anarchy.Squad ont \u00e9galement jet\u00e9 leur d\u00e9volu sur des entit\u00e9s russes, menant des op\u00e9rations de piratage et de fuite et des attaques perturbatrices contre Infotel<\/a> et Avanpost<\/a>.<\/p>\n

Cette \u00e9volution intervient alors que l’\u00e9quipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) averti<\/a> d’une augmentation des attaques de phishing men\u00e9es par un acteur de menace bi\u00e9lorusse appel\u00e9 UAC-0057 (alias GhostWriter et UNC1151) qui distribue une famille de logiciels malveillants appel\u00e9e PicassoLoader dans le but de larguer une balise Cobalt Strike sur les h\u00f4tes infect\u00e9s.<\/p>\n

Cela fait \u00e9galement suite \u00e0 la d\u00e9couverte d’une nouvelle campagne du groupe Turla li\u00e9 \u00e0 la Russie qui utilise un fichier de raccourci Windows malveillant (LNK) comme conduit pour servir une porte d\u00e9rob\u00e9e sans fichier qui peut ex\u00e9cuter des scripts PowerShell re\u00e7us d’un serveur l\u00e9gitime mais compromis et d\u00e9sactiver les fonctionnalit\u00e9s de s\u00e9curit\u00e9.<\/p>\n

\u00ab Il utilise \u00e9galement des correctifs de m\u00e9moire, contourne AMSI et d\u00e9sactive les fonctions de journalisation des \u00e9v\u00e9nements du syst\u00e8me pour affaiblir la d\u00e9fense du syst\u00e8me afin d’am\u00e9liorer sa capacit\u00e9 d’\u00e9vasion \u00bb, ont d\u00e9clar\u00e9 les chercheurs de G DATA. dit<\/a>\u00ab Il exploite msbuild.exe de Microsoft pour impl\u00e9menter le contournement AWL (Application Whitelist) afin d’\u00e9viter la d\u00e9tection. \u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n