{"id":1267873,"date":"2024-08-05T13:49:20","date_gmt":"2024-08-05T15:49:20","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-organisations-kazakhes-ciblees-par-des-cyberattaques-de-type-bloody-wolf\/"},"modified":"2024-08-05T13:49:24","modified_gmt":"2024-08-05T15:49:24","slug":"des-organisations-kazakhes-ciblees-par-des-cyberattaques-de-type-bloody-wolf","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-organisations-kazakhes-ciblees-par-des-cyberattaques-de-type-bloody-wolf\/","title":{"rendered":"Des organisations kazakhes cibl\u00e9es par des cyberattaques de type \u00ab Bloody Wolf \u00bb"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>05 ao\u00fbt 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>S\u00e9curit\u00e9 du r\u00e9seau \/ Renseignement sur les menaces<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Les organisations au Kazakhstan sont la cible d’un groupe d’activit\u00e9s de menace baptis\u00e9 Loup sanglant<\/strong> qui fournit un malware de base appel\u00e9 STRRAT (alias Strigoi Master).<\/p>\n

\u00ab Le programme vendu pour seulement 80 $ sur des ressources souterraines permet aux adversaires de prendre le contr\u00f4le des ordinateurs des entreprises et de d\u00e9tourner des donn\u00e9es restreintes \u00bb, a d\u00e9clar\u00e9 le fournisseur de cybers\u00e9curit\u00e9 BI.ZONE dit<\/a> dans une nouvelle analyse.<\/p>\n

Les cyberattaques utilisent des courriers \u00e9lectroniques de phishing comme vecteur d\u2019acc\u00e8s initial, se faisant passer pour le minist\u00e8re des Finances de la R\u00e9publique du Kazakhstan et d\u2019autres agences pour inciter les destinataires \u00e0 ouvrir des pi\u00e8ces jointes PDF.<\/p>\n

Le fichier pr\u00e9tend \u00eatre un avis de non-conformit\u00e9 et contient des liens vers un fichier d’archive Java malveillant (JAR) ainsi qu’un guide d’installation de l’interpr\u00e9teur Java n\u00e9cessaire au fonctionnement du logiciel malveillant.<\/p>\n

Dans une tentative de l\u00e9gitimer l’attaque, le deuxi\u00e8me lien pointe vers une page Web associ\u00e9e au site Web du gouvernement du pays qui exhorte les visiteurs \u00e0 installer Java afin de garantir que le portail soit op\u00e9rationnel.<\/p>\n

\"La<\/a><\/center><\/div>\n

Le malware STRRAT, h\u00e9berg\u00e9 sur un site Web qui imite le site Web du gouvernement du Kazakhstan (\u00ab egov-kz[.]en ligne”), configure la persistance sur l’h\u00f4te Windows au moyen d’une modification du Registre et ex\u00e9cute le fichier JAR toutes les 30 minutes.<\/p>\n

De plus, une copie du fichier JAR est copi\u00e9e dans le dossier de d\u00e9marrage de Windows pour garantir qu’il se lance automatiquement apr\u00e8s un red\u00e9marrage du syst\u00e8me.<\/p>\n

Par la suite, il \u00e9tablit des connexions avec un serveur Pastebin pour exfiltrer des informations sensibles de la machine compromise, notamment des d\u00e9tails sur la version du syst\u00e8me d’exploitation et le logiciel antivirus install\u00e9, ainsi que les donn\u00e9es de compte de Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook et Thunderbird.<\/p>\n

Il est \u00e9galement con\u00e7u pour recevoir des commandes suppl\u00e9mentaires du serveur pour t\u00e9l\u00e9charger et ex\u00e9cuter davantage de charges utiles, enregistrer les frappes au clavier, ex\u00e9cuter des commandes \u00e0 l’aide de cmd.exe ou PowerShell, red\u00e9marrer ou arr\u00eater le syst\u00e8me, installer un proxy et se supprimer.<\/p>\n

\u00ab L’utilisation de types de fichiers moins courants tels que JAR permet aux attaquants de contourner les d\u00e9fenses \u00bb, a d\u00e9clar\u00e9 BI.ZONE. \u00ab L’utilisation de services Web l\u00e9gitimes tels que Pastebin pour communiquer avec le syst\u00e8me compromis permet d’\u00e9chapper aux solutions de s\u00e9curit\u00e9 r\u00e9seau. \u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n