{"id":1555291,"date":"2025-02-25T18:01:35","date_gmt":"2025-02-25T20:01:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ghostwriter-lie-a-la-belarus-utilise-des-macros-excel-obfiscus-par-macropack-pour-deployer-des-logiciels-malveillants\/"},"modified":"2025-02-25T18:01:39","modified_gmt":"2025-02-25T20:01:39","slug":"ghostwriter-lie-a-la-belarus-utilise-des-macros-excel-obfiscus-par-macropack-pour-deployer-des-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ghostwriter-lie-a-la-belarus-utilise-des-macros-excel-obfiscus-par-macropack-pour-deployer-des-logiciels-malveillants\/","title":{"rendered":"Ghostwriter li\u00e9 \u00e0 la B\u00e9larus utilise des macros Excel obfiscus par macropack pour d\u00e9ployer des logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ cyber-espionnage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Ghostwriter-lie-a-la-Belarus-utilise-des-macros-Excel-obfiscus.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les militants de l&#8217;opposition au Bi\u00e9lorussie ainsi que les organisations militaires et gouvernementales ukrainiennes sont la cible d&#8217;une nouvelle campagne qui utilise des documents Microsoft Excel \u00e0 base de logiciels malveillants comme leurres pour livrer une nouvelle variante de Picassoloader. <\/p>\n<p>Le cluster de menaces a \u00e9t\u00e9 \u00e9valu\u00e9 comme une extension d&#8217;une campagne de longue dur\u00e9e mont\u00e9e par un acteur de menace align\u00e9 sur le B\u00e9larus surnomm\u00e9 Ghostwriter (aka MOonscape, TA445, UAC-0057 et UNC1151) depuis 2016. Il est <a rel=\"noopener nofollow\" href=\"https:\/\/cyble.com\/blog\/unc1151-strikes-again-unveiling-their-tactics-against-ukraines-ministry-of-defence\/\" target=\"_blank\">connu<\/a> pour s&#8217;aligner sur les int\u00e9r\u00eats de s\u00e9curit\u00e9 russe et promouvoir les r\u00e9cits critiques de l&#8217;OTAN.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La campagne est en pr\u00e9paration depuis juillet-ao\u00fbt 2024 et est entr\u00e9e dans la phase active de novembre-d\u00e9cembre 2024&#8221;, a d\u00e9clar\u00e9 le chercheur Sentin\u00e9lone Tom Hegel <a rel=\"noopener nofollow\" href=\"https:\/\/www.sentinelone.com\/labs\/ghostwriter-new-campaign-targets-ukrainian-government-and-belarusian-opposition\/\" target=\"_blank\">dit<\/a> Dans un rapport technique partag\u00e9 avec le Hacker News. &#8220;Des \u00e9chantillons de logiciels malveillants r\u00e9cents et une activit\u00e9 d&#8217;infrastructure de commandement et de contr\u00f4le (C2) indiquent que l&#8217;op\u00e9ration reste active ces derniers jours.&#8221;<\/p>\n<p>Le point de d\u00e9part de la cha\u00eene d&#8217;attaque analys\u00e9e par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 est un document partag\u00e9 Google Drive issu d&#8217;un compte nomm\u00e9 Vladimir Nikiforech et a h\u00e9berg\u00e9 une archive RAR.<\/p>\n<p>Le dossier de rat comprend un classeur Excel malveillant qui, lorsqu&#8217;il est ouvert, d\u00e9clenche l&#8217;ex\u00e9cution d&#8217;une macro obscurcie lorsque les victimes potentielles permettent d&#8217;ex\u00e9cuter des macros. La macro continue d&#8217;\u00e9crire un fichier DLL qui ouvre finalement la voie \u00e0 une version simplifi\u00e9e de Picassoloader.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740513694_868_Ghostwriter-lie-a-la-Belarus-utilise-des-macros-Excel-obfiscus.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740513694_868_Ghostwriter-lie-a-la-Belarus-utilise-des-macros-Excel-obfiscus.png\" alt=\"\" border=\"0\" data-original-height=\"1621\" data-original-width=\"1999\"\/><\/a><\/div>\n<p>Dans la phase suivante, un fichier Excel leurre est affich\u00e9 \u00e0 la victime, tandis que, en arri\u00e8re-plan, des charges utiles suppl\u00e9mentaires sont t\u00e9l\u00e9charg\u00e9es sur le syst\u00e8me. Pas plus tard en juin 2024, cette approche a \u00e9t\u00e9 utilis\u00e9e pour livrer le cadre post-exploitation de la frappe de Cobalt.<\/p>\n<p>Sentinelone a d\u00e9clar\u00e9 avoir \u00e9galement d\u00e9couvert d&#8217;autres documents Excel arm\u00e9es portant des leurres sur le th\u00e8me de l&#8217;Ukraine pour r\u00e9cup\u00e9rer un malware inconnu de deuxi\u00e8me \u00e9tape d&#8217;une URL distante (&#8220;Sciencelert[.]boutique &#8220;) sous la forme d&#8217;une image JPG apparemment inoffensive, une technique connue sous le nom de st\u00e9ganographie. Les URL ne sont plus disponibles.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dans un autre cas, le document Excel pi\u00e9g\u00e9 Booby est utilis\u00e9 pour livrer une DLL nomm\u00e9e LiBCMD, qui est con\u00e7ue pour ex\u00e9cuter CMD.exe et se connecter \u00e0 STDIN \/ STDOUT. Il est directement charg\u00e9 en m\u00e9moire en tant qu&#8217;assemblage .NET et ex\u00e9cut\u00e9.<\/p>\n<p>&#8220;Tout au long de 2024, Ghostwriter a utilis\u00e9 \u00e0 plusieurs reprises une combinaison de classeurs Excel contenant des macros VBA obfus\u00e9s MacRopack et de t\u00e9l\u00e9chargeurs .NET embarqu\u00e9s avec obfusciation avec <a rel=\"noopener nofollow\" href=\"https:\/\/mkaring.github.io\/ConfuserEx\/\" target=\"_blank\">Confusionrex<\/a>\u00bb, A d\u00e9clar\u00e9 Hegel.<\/p>\n<p>&#8220;Bien que le B\u00e9larus ne participe pas activement \u00e0 des campagnes militaires \u00e0 la guerre en Ukraine, les acteurs cyber-menaces associ\u00e9s ne semblent avoir aucune r\u00e9serve sur la r\u00e9alisation des op\u00e9rations de cyber-espionnage contre les cibles ukrainiennes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/belarus-linked-ghostwriter-uses.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 f\u00e9vrier 2025\ue804Ravie LakshmananMalware \/ cyber-espionnage Les militants de l&#8217;opposition au Bi\u00e9lorussie ainsi que les organisations militaires et gouvernementales ukrainiennes sont la cible d&#8217;une nouvelle campagne qui utilise des documents Microsoft Excel \u00e0 base de logiciels malveillants comme leurres pour livrer une nouvelle variante de Picassoloader. Le cluster de menaces a \u00e9t\u00e9 \u00e9valu\u00e9 comme une [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1555292,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,11594,4168,79002,274264,4161,274263,6124,9886,133,18871,10720,7754,4589,251476,56144,4590,274267,4160,282889,164,185,238617,246491,4172,79016,1282,4166,4164],"class_list":["post-1555291","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-belarus","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deployer","tag-des","tag-excel","tag-ghostwriter","tag-lie","tag-logiciels","tag-macropack","tag-macros","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-obfiscus","tag-par","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1555291","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1555291"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1555291\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1555292"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1555291"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1555291"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1555291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}