{"id":1557165,"date":"2025-02-27T00:42:28","date_gmt":"2025-02-27T02:42:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/cert-ua-avertit-les-attaques-uac-0173-deploiement-du-dcrat-pour-compromettre-les-notaires-ukrainiens\/"},"modified":"2025-02-27T00:42:33","modified_gmt":"2025-02-27T02:42:33","slug":"cert-ua-avertit-les-attaques-uac-0173-deploiement-du-dcrat-pour-compromettre-les-notaires-ukrainiens","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/cert-ua-avertit-les-attaques-uac-0173-deploiement-du-dcrat-pour-compromettre-les-notaires-ukrainiens\/","title":{"rendered":"CERT-UA avertit les attaques UAC-0173 d\u00e9ploiement du DCRAT pour compromettre les notaires ukrainiens"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du r\u00e9seau \/ Intelligence des menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/CERT-UA-avertit-les-attaques-UAC-0173-deploiement-du-DCRAT-pour-compromettre.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>L&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) a mis en garde mardi l&#8217;activit\u00e9 renouvel\u00e9e d&#8217;un groupe criminel organis\u00e9 qu&#8217;il suit en tant que UAC-0173 qui implique d&#8217;infecter les ordinateurs avec un troyen \u00e0 distance nomm\u00e9 DCRAT (aka DarkCrystal Rat).<\/p>\n<p>L&#8217;Ukrainian Cybersecurity Authority a d\u00e9clar\u00e9 avoir observ\u00e9 la derni\u00e8re vague d&#8217;attaque \u00e0 partir de la mi-janvier 2025. L&#8217;activit\u00e9 est con\u00e7ue pour cibler le notaire de l&#8217;Ukraine.<\/p>\n<p>La cha\u00eene d&#8217;infection tire parti des e-mails de phishing qui pr\u00e9tendent \u00eatre envoy\u00e9s au nom du minist\u00e8re de la Justice d&#8217;Ukraine, exhortant les destinataires \u00e0 t\u00e9l\u00e9charger un ex\u00e9cutable qui, une fois lanc\u00e9, conduit au d\u00e9ploiement du malware DCRAT. Le binaire est h\u00e9berg\u00e9 dans le service de stockage Cloud Cloud de CloudFlare.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Ayant ainsi fourni un acc\u00e8s primaire au lieu de travail automatis\u00e9 du notary, les attaquants prennent des mesures pour installer des outils suppl\u00e9mentaires, en particulier, RDPWrapper, qui met en \u0153uvre la fonctionnalit\u00e9 des sessions RDP parall\u00e8les, qui, en combinaison avec l&#8217;utilisation de l&#8217;al\u00e9sage, vous permet d&#8217;\u00e9tablir des connexions RDP depuis Internet directement \u00e0 l&#8217;ordinateur&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/cert.gov.ua\/article\/6282536\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Les attaques sont \u00e9galement caract\u00e9ris\u00e9es par l&#8217;utilisation d&#8217;autres outils et des familles de logiciels malveillants comme Fiddler pour intercepter les donn\u00e9es d&#8217;authentification entr\u00e9es dans l&#8217;interface Web des registres d&#8217;\u00e9tat, NMAP pour la num\u00e9risation r\u00e9seau et XWorm pour voler des donn\u00e9es sensibles, telles que les informations d&#8217;identification et le contenu de presse-papiers.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/CERT-UA-avertit-les-attaques-UAC-0173-deploiement-du-DCRAT-pour-compromettre.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/CERT-UA-avertit-les-attaques-UAC-0173-deploiement-du-DCRAT-pour-compromettre.png\" alt=\"\" border=\"0\" data-original-height=\"599\" data-original-width=\"728\"\/><\/a><\/div>\n<p>En outre, les syst\u00e8mes compromis sont utilis\u00e9s comme un conduit pour r\u00e9diger et envoyer des e-mails malveillants \u00e0 l&#8217;aide de l&#8217;utilitaire Sendmail Console afin de propager davantage les attaques.<\/p>\n<p>Le d\u00e9veloppement intervient quelques jours apr\u00e8s que CERT-UA ait attribu\u00e9 un sous-cluster au sein du groupe de piratage de sable (aka APT44, Blizzard Seashell et UAC-0002) \u00e0 l&#8217;exploitation d&#8217;un d\u00e9faut de s\u00e9curit\u00e9 maintenant paralys\u00e9 dans Microsoft Windows (CVE-2024-38213, score CVSS: 6,5) dans le second semestre de 2024 via des documents de booby.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque se sont r\u00e9v\u00e9l\u00e9es ex\u00e9cuter des commandes PowerShell responsables de l&#8217;affichage d&#8217;un fichier de leurre, tout en lan\u00e7ant simultan\u00e9ment des charges utiles suppl\u00e9mentaires en arri\u00e8re-plan, y compris SecondBest (aka EmpirePast), Spark et un chargeur Golang nomm\u00e9 Crookbag.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;activit\u00e9, <a rel=\"noopener nofollow\" href=\"https:\/\/cert.gov.ua\/article\/6282517\" target=\"_blank\">attribu\u00e9<\/a> Pour l&#8217;UAC-0212, les soci\u00e9t\u00e9s de fournisseurs ciblaient la Serbie, la R\u00e9publique tch\u00e8que et l&#8217;Ukraine entre juillet 2024 et f\u00e9vrier 2025, dont certains enregistr\u00e9s contre plus de deux douzaines d&#8217;entreprises ukrainiennes sp\u00e9cialis\u00e9es dans le d\u00e9veloppement de syst\u00e8mes de contr\u00f4le des processus automatis\u00e9es (ACST), les travaux \u00e9lectriques et le transport de fret.<\/p>\n<p>Certaines de ces attaques ont \u00e9t\u00e9 document\u00e9es par <a rel=\"noopener nofollow\" href=\"https:\/\/strikeready.com\/blog\/ru-apt-targeting-energy-infrastructure-unknown-unknowns-part-3\/\" target=\"_blank\">Laboratoires Strikeready<\/a> et Microsoft, ce dernier, qui suit le groupe de menaces sous le surnom Badpilot.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/cert-ua-warns-of-uac-0173-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 f\u00e9vrier 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 du r\u00e9seau \/ Intelligence des menaces L&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) a mis en garde mardi l&#8217;activit\u00e9 renouvel\u00e9e d&#8217;un groupe criminel organis\u00e9 qu&#8217;il suit en tant que UAC-0173 qui implique d&#8217;infecter les ordinateurs avec un troyen \u00e0 distance nomm\u00e9 DCRAT (aka DarkCrystal Rat). L&#8217;Ukrainian Cybersecurity Authority a d\u00e9clar\u00e9 avoir observ\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1557166,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8074,6120,144388,4168,76338,79002,274264,4161,274263,6124,62534,4390,65,274267,4160,48669,185,238617,246491,4172,79016,283139,354,4166,4164],"class_list":["post-1557165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaques","tag-avertit","tag-certua","tag-comment-pirater","tag-compromettre","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dcrat","tag-deploiement","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-notaires","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-uac0173","tag-ukrainiens","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1557165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1557165"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1557165\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1557166"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1557165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1557165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1557165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}