Deux grappes d’activit\u00e9s de menace connues ont cod\u00e9 le nom de code, la t\u00eate et douze, ont probablement uni leurs forces pour cibler les entit\u00e9s russes, r\u00e9v\u00e8lent les nouvelles conclusions de Kaspersky.<\/p>\n
“Head Mare s’est fortement appuy\u00e9 sur des outils pr\u00e9c\u00e9demment associ\u00e9s \u00e0 douze. dit<\/a>. “Cela sugg\u00e8re une collaboration potentielle et des campagnes conjointes entre les deux groupes.”<\/p>\n La t\u00eate Mare et Twelve ont \u00e9t\u00e9 pr\u00e9c\u00e9demment document\u00e9es par Kaspersky en septembre 2024, l’ancienne tirant parti d’une vuln\u00e9rabilit\u00e9 d\u00e9sormais fournie \u00e0 Winrar (CVE-2023-38831) pour obtenir un acc\u00e8s initial et livrer des logiciels malveillants et dans certains cas, d\u00e9ploier les familles de ransomwares comme Lockbit pour Windows et Babuk pour Linux (ESXI) en \u00e9change de A Ransom.<\/p>\n Douze, en revanche, ont \u00e9t\u00e9 observ\u00e9s de mise en sc\u00e8ne d’attaques destructrices, profitant de divers outils accessibles au public pour crypter les donn\u00e9es des victimes et d\u00e9truire irr\u00e9vocablement leur infrastructure avec un essuie-glace pour emp\u00eacher les efforts de r\u00e9cup\u00e9ration.<\/p>\n La derni\u00e8re analyse de Kaspersky montre l’utilisation par la t\u00eate de deux nouveaux outils, notamment Cobint, une porte d\u00e9rob\u00e9e utilis\u00e9e par Exobalt et Crypt Ghouls dans les attaques destin\u00e9es aux entreprises russes dans le pass\u00e9, ainsi qu’un implant sur mesure nomm\u00e9 PhantomJitter qui est install\u00e9 sur des serveurs pour l’ex\u00e9cution de la commande \u00e0 distance.<\/p>\n Le d\u00e9ploiement de Cobint a \u00e9galement \u00e9t\u00e9 observ\u00e9 dans les attaques mont\u00e9es par douze, avec des chevauchements d\u00e9couverts entre l’\u00e9quipe de piratage et les goules de crypte, indiquant une sorte de lien tactique entre diff\u00e9rents groupes ciblant actuellement la Russie.<\/p>\n Other initial access pathways exploited by Head Mare include the abuse of other known security flaws in Microsoft Exchange Server (eg, CVE-2021-26855 aka ProxyLogon), as well as via phishing emails bearing rogue attachments and compromising contractors’ networks to infiltrate victim infrastructure, a technique known as the attaque relationnelle de confiance<\/a>. <\/p>\n “Les attaquants ont utilis\u00e9 Proxylogon pour ex\u00e9cuter une commande pour t\u00e9l\u00e9charger et lancer Cobint sur le serveur”, a d\u00e9clar\u00e9 Kaspersky, mettant en \u00e9vidence l’utilisation d’un m\u00e9canisme de persistance mis \u00e0 jour qui \u00e9vite les t\u00e2ches planifi\u00e9es en faveur de la cr\u00e9ation de nouveaux utilisateurs locaux privil\u00e9gi\u00e9s sur un serveur de plate-forme d’automatisation m\u00e9tier. Ces comptes sont ensuite utilis\u00e9s pour se connecter au serveur via RDP pour transf\u00e9rer et ex\u00e9cuter des outils de mani\u00e8re interactive.<\/p>\n En plus d’attribuer les noms de charges utiles malveillants qui imitent les fichiers du syst\u00e8me d’exploitation b\u00e9nin (par exemple, calcc.exe ou winuac.exe), les acteurs de la menace se sont av\u00e9r\u00e9s supprimer les traces de leur activit\u00e9 en effa\u00e7ant les journaux des \u00e9v\u00e9nements et en utilisant des outils de proxy et de tunneling comme Gost et Cloudflared pour cacher le trafic de r\u00e9seau.<\/p>\n Certains des autres utilitaires utilis\u00e9s sont <\/p>\n Les attaques culminent avec le d\u00e9ploiement de Lockbit 3.0 et Babuk Ransomware sur les h\u00f4tes compromis, suivis d’une note qui exhorte les victimes \u00e0 les contacter sur Telegram pour le d\u00e9cryptation de leurs dossiers.<\/p>\n “Head Mare \u00e9largit activement son ensemble de techniques et d’outils”, a d\u00e9clar\u00e9 Kaspersky. “Dans les attaques r\u00e9centes, ils ont acc\u00e9d\u00e9 initial \u00e0 l’infrastructure cible en utilisant non seulement des e-mails de phishing avec des exploits, mais aussi en compromettant les entrepreneurs. Head Mare travaille avec douze pour lancer des attaques contre les entreprises \u00e0 commande nationale et priv\u00e9e en Russie.”<\/p>\n Le d\u00e9veloppement est de bi.zone li\u00e9<\/a> L’acteur de menace en la Cor\u00e9e du Nord connue sous le nom de Scarcruft (AKA APT37, Reaper, Ricochet Chollima et Squid Werewolf) \u00e0 une campagne de phishing en d\u00e9cembre 2024 qui a livr\u00e9 un chargeur de logiciels malveillants responsable du d\u00e9ploiement d’une charge utile inconnue \u00e0 partir d’un serveur distant.<\/p>\n L’activit\u00e9, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 russe, ressemble \u00e9troitement \u00e0 une autre campagne surnomm\u00e9e # Sleep que Securonix document\u00e9e en octobre 2024 conduisant au d\u00e9ploiement d’une porte d\u00e9rob\u00e9e appel\u00e9e Veilshell dans les intrusions ciblant le Cambodge et probablement d’autres pays d’Asie du Sud-Est.<\/p>\n Le mois dernier, bi.zone aussi d\u00e9taill\u00e9<\/a> Les cyberattaques continues organis\u00e9es par Bloody Wolf pour livrer Netsupport Rat dans le cadre d’une campagne qui a compromis plus de 400 syst\u00e8mes au Kazakhstan et en Russie, marquant un changement de Strrat.<\/p>\n <\/p>\n![\"Cybers\u00e9curit\u00e9\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Kaspersky-relie-la-tete-de-la-jument-a-douze-ciblant.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/center><\/div>\n