{"id":1574793,"date":"2025-03-11T17:06:39","date_gmt":"2025-03-11T19:06:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/blind-eagle-hacks-des-institutions-colombiennes-utilisant-des-defauts-de-ntlm-des-rats-et-des-attaques-a-base-de-github\/"},"modified":"2025-03-11T17:06:44","modified_gmt":"2025-03-11T19:06:44","slug":"blind-eagle-hacks-des-institutions-colombiennes-utilisant-des-defauts-de-ntlm-des-rats-et-des-attaques-a-base-de-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/blind-eagle-hacks-des-institutions-colombiennes-utilisant-des-defauts-de-ntlm-des-rats-et-des-attaques-a-base-de-github\/","title":{"rendered":"Blind Eagle hacks des institutions colombiennes utilisant des d\u00e9fauts de ntlm, des rats et des attaques \u00e0 base de github"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Blind-Eagle-hacks-des-institutions-colombiennes-utilisant-des-defauts-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur de menace connue sous le nom <strong>Aigle aveugle<\/strong> est li\u00e9 \u00e0 une s\u00e9rie de campagnes en cours ciblant les institutions colombiennes et les entit\u00e9s gouvernementales depuis novembre 2024.<\/p>\n<p>&#8220;Les campagnes surveill\u00e9es ont cibl\u00e9 les institutions judiciaires colombiennes et d&#8217;autres organisations gouvernementales ou priv\u00e9es, avec des taux d&#8217;infection \u00e9lev\u00e9s&#8221;, <a rel=\"noopener nofollow\" href=\"https:\/\/research.checkpoint.com\/2025\/blind-eagle-and-justice-for-all\/\" target=\"_blank\">dit<\/a> dans une nouvelle analyse.<\/p>\n<p>&#8220;Plus de 1 600 victimes ont \u00e9t\u00e9 touch\u00e9es au cours de l&#8217;une de ces campagnes qui ont eu lieu vers le 19 d\u00e9cembre 2024. Ce taux d&#8217;infection est important compte tenu de l&#8217;approche APT cibl\u00e9e d&#8217;Eagle.&#8221;<\/p>\n<p>Blind Eagle, actif depuis au moins 2018, est \u00e9galement suivi comme Aguilaciega, APT-C-36 et APT-Q-98. Il est connu pour son ciblage hyper sp\u00e9cifique aux entit\u00e9s en Am\u00e9rique du Sud, en particulier la Colombie et l&#8217;\u00c9quateur.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les cha\u00eenes d&#8217;attaque orchestr\u00e9es par l&#8217;acteur de menace impliquent l&#8217;utilisation de tactiques d&#8217;ing\u00e9nierie sociale, souvent sous la forme d&#8217;e-mails de lance-plipage, pour obtenir l&#8217;acc\u00e8s initial aux syst\u00e8mes cibles et, finalement, supprimer des chevaux de Troie \u00e0 distance facilement disponibles comme Asyncrat, Njrat, Quasar Rat et Remcos Rat.<\/p>\n<p>Le dernier ensemble d&#8217;intrusions est remarquable pour trois raisons: l&#8217;utilisation d&#8217;une variante d&#8217;un exploit pour une faille Microsoft Windows maintenant fournie (CVE-2024-43451), l&#8217;adoption d&#8217;un packer naissant en tant que service (PaaS) appel\u00e9 HeartCrypt, et la distribution de charges utiles via Bitbucket et Githubub, allant au-del\u00e0 de Google Drive et Dropbox.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, HeartCrypt est utilis\u00e9 pour prot\u00e9ger l&#8217;ex\u00e9cutable malveillant, une variante de Purecrypter qui est alors responsable du lancement du logiciel malveillant Remcos Rat h\u00e9berg\u00e9 sur un bitbucket ou un r\u00e9f\u00e9rentiel Github maintenant r\u00e9alis\u00e9.<\/p>\n<p>Le CVE-2024-43451 fait r\u00e9f\u00e9rence \u00e0 une vuln\u00e9rabilit\u00e9 de divulgation de hachage NTLMV2 qui a \u00e9t\u00e9 fix\u00e9e par Microsoft en novembre 2024. Aigle aveugle, par point de contr\u00f4le, a incorpor\u00e9 une variante de cet exploit dans son arsenal d&#8217;attaque un peu de six jours apr\u00e8s la publication du patch, ce qui a fait avancer la victime de la victime de PHishish.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741719998_670_Blind-Eagle-hacks-des-institutions-colombiennes-utilisant-des-defauts-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741719998_670_Blind-Eagle-hacks-des-institutions-colombiennes-utilisant-des-defauts-de.png\" alt=\"Aigle aveugle\" border=\"0\" data-original-height=\"484\" data-original-width=\"1496\" title=\"Aigle aveugle\"\/><\/a><\/div>\n<p>&#8220;Bien que cette variante n&#8217;expose pas r\u00e9ellement le hachage NTLMV2, il informe les acteurs de la menace que le fichier a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 par les m\u00eames interactions inhabituelles-fichiers&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n<p>&#8220;Sur les appareils vuln\u00e9rables au CVE-2024-43451, une demande WebDAV est d\u00e9clench\u00e9e avant m\u00eame que l&#8217;utilisateur n&#8217;interagit manuellement avec le fichier avec le m\u00eame comportement inhabituel. En attendant, sur les syst\u00e8mes correc\u00e9s et non corrig\u00e9es, en cliquant manuellement le fichier .url malveillant d\u00e9clenche le t\u00e9l\u00e9chargement et l&#8217;ex\u00e9cution de la charge salariale suivante.&#8221;<\/p>\n<p>Le point de contr\u00f4le a soulign\u00e9 que la \u00abr\u00e9ponse rapide\u00bb sert \u00e0 mettre en \u00e9vidence l&#8217;expertise technique du groupe et sa capacit\u00e9 \u00e0 s&#8217;adapter et \u00e0 poursuivre de nouvelles m\u00e9thodes d&#8217;attaque face \u00e0 l&#8217;\u00e9volution des d\u00e9fenses de s\u00e9curit\u00e9.<\/p>\n<p>Le r\u00e9f\u00e9rentiel Github, qui a r\u00e9v\u00e9l\u00e9 que l&#8217;acteur de menace op\u00e8re dans le fuseau horaire UTC-5, a r\u00e9v\u00e9l\u00e9 que l&#8217;acteur de menace op\u00e8re dans le fuseau horaire de l&#8217;UTC-5, s&#8217;alignant avec plusieurs pays d&#8217;Am\u00e9rique du Sud.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ce n&#8217;est pas tout. Dans ce qui semble \u00eatre une erreur op\u00e9rationnelle, une analyse de l&#8217;historique des engagements du r\u00e9f\u00e9rentiel a d\u00e9couvert un fichier contenant des paires de mots de passe de compte avec 1 634 adresses e-mail uniques.<\/p>\n<p>Bien que le fichier HTML, nomm\u00e9 &#8220;Ver Datos del Forlamurio.html&#8221;, ait \u00e9t\u00e9 supprim\u00e9 du r\u00e9f\u00e9rentiel le 25 f\u00e9vrier 2025, il a \u00e9t\u00e9 constat\u00e9 qu&#8217;il contenait des d\u00e9tails tels que les noms d&#8217;utilisateur, les mots de passe, les e-mails, les mots de passe par e-mail et les axes ATM associ\u00e9s aux particuliers, aux agences gouvernementales, aux \u00e9tablissements d&#8217;enseignement et aux entreprises op\u00e9rant dans des colombies.<\/p>\n<p>&#8220;Un facteur cl\u00e9 dans son succ\u00e8s est sa capacit\u00e9 \u00e0 exploiter les plates-formes de partage de fichiers l\u00e9gitimes, y compris Google Drive, Dropbox, Bitbucket et GitHub, lui permettant de contourner les mesures de s\u00e9curit\u00e9 traditionnelles et de distribuer des logiciels malveillants furtivement&#8221;, a d\u00e9clar\u00e9 Check Point.<\/p>\n<p>&#8220;De plus, son utilisation d&#8217;outils CrimeWare souterrains tels que Remcos Rat, HeartCrypt et Purecrypter renforce ses liens profonds avec l&#8217;\u00e9cosyst\u00e8me cybercriminal, accordant l&#8217;acc\u00e8s \u00e0 des techniques d&#8217;\u00e9vasion sophistiqu\u00e9es et \u00e0 des m\u00e9thodes d&#8217;acc\u00e8s persistantes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/blind-eagle-hacks-colombian.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur de menace connue sous le nom Aigle aveugle est li\u00e9 \u00e0 une s\u00e9rie de campagnes en cours ciblant les institutions colombiennes et les entit\u00e9s gouvernementales depuis novembre 2024. &#8220;Les campagnes surveill\u00e9es ont cibl\u00e9 les institutions judiciaires colombiennes et d&#8217;autres organisations gouvernementales ou priv\u00e9es, avec des taux d&#8217;infection \u00e9lev\u00e9s&#8221;, dit dans une nouvelle analyse. &#8220;Plus [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1574794,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8074,3283,3284,36866,4168,79002,274264,4161,274263,6124,37939,133,16302,50438,31569,12318,274267,4160,80875,47192,238617,246491,4172,79016,20349,4166,4164],"class_list":["post-1574793","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaques","tag-base","tag-blind","tag-colombiennes","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-defauts","tag-des","tag-eagle","tag-github","tag-hacks","tag-institutions","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-ntlm","tag-rats","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1574793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1574793"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1574793\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1574794"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1574793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1574793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1574793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}