{"id":1603835,"date":"2025-03-31T08:42:18","date_gmt":"2025-03-31T10:42:18","guid":{"rendered":"https:\/\/teknomers.com\/fr\/gamaredon-lie-a-la-russie-utilise-des-leurres-de-troupes-pour-deployer-remcos-rat-en-ukraine\/"},"modified":"2025-03-31T08:42:22","modified_gmt":"2025-03-31T10:42:22","slug":"gamaredon-lie-a-la-russie-utilise-des-leurres-de-troupes-pour-deployer-remcos-rat-en-ukraine","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/gamaredon-lie-a-la-russie-utilise-des-leurres-de-troupes-pour-deployer-remcos-rat-en-ukraine\/","title":{"rendered":"Gamaredon li\u00e9 \u00e0 la Russie utilise des leurres de troupes pour d\u00e9ployer Remcos Rat en Ukraine"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">31 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence de menace \/ logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Gamaredon-lie-a-la-Russie-utilise-des-leurres-de-troupes.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les entit\u00e9s en Ukraine ont \u00e9t\u00e9 cibl\u00e9es dans le cadre d&#8217;une campagne de phishing con\u00e7ue pour distribuer un cheval de Troie \u00e0 distance appel\u00e9 Remcos Rat.<\/p>\n<p>&#8220;Les noms de dossiers utilisent des mots russes li\u00e9s au mouvement des troupes en Ukraine comme leurre&#8221;, a d\u00e9clar\u00e9 le chercheur de Cisco Talos Guilherme Venere <a rel=\"noopener nofollow\" href=\"https:\/\/blog.talosintelligence.com\/gamaredon-campaign-distribute-remcos\/\" target=\"_blank\">dit<\/a> Dans un rapport publi\u00e9 la semaine derni\u00e8re. &#8220;Le t\u00e9l\u00e9chargeur PowerShell contacte des serveurs g\u00e9o-cl\u00f4tur\u00e9s situ\u00e9s en Russie et en Allemagne pour t\u00e9l\u00e9charger le fichier zip de deuxi\u00e8me \u00e9tape contenant la porte d\u00e9rob\u00e9e Remcos.&#8221;<\/p>\n<p>L&#8217;activit\u00e9 a \u00e9t\u00e9 attribu\u00e9e \u00e0 une confiance mod\u00e9r\u00e9e \u00e0 un groupe de piratage russe connu sous le nom de Gamaredon, qui est \u00e9galement suivi sous les surnoms Aqua Blizzard, Armageddon, Blue Otso, Bluealpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 et Winterflener. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;acteur de menace, \u00e9valu\u00e9 comme affili\u00e9 au Federal Security Service (FSB) de la Russie, est connu pour son ciblage d&#8217;organisations ukrainiennes pour l&#8217;espionnage et le vol de donn\u00e9es. C&#8217;est op\u00e9rationnel depuis au moins 2013.<\/p>\n<p>La derni\u00e8re campagne est caract\u00e9ris\u00e9e par la distribution des fichiers de raccourci Windows (LNK) compress\u00e9s \u00e0 l&#8217;int\u00e9rieur des archives ZIP, les d\u00e9guisant en documents Microsoft Office li\u00e9s \u00e0 la guerre Russo-Ukrainienne en cours pour inciter les destinataires \u00e0 leur ouvrir. On pense que ces archives sont envoy\u00e9es par e-mails de phishing.<\/p>\n<p>Les liens vers Gamaredon proviennent de l&#8217;utilisation de deux machines utilis\u00e9es pour cr\u00e9er les fichiers de raccourci malveillants et qui \u00e9taient <a rel=\"noopener nofollow\" href=\"https:\/\/blog.talosintelligence.com\/following-the-lnk-metadata-trail\/\" target=\"_blank\">pr\u00e9c\u00e9demment utilis\u00e9<\/a> par l&#8217;acteur de menace \u00e0 des fins similaires.<\/p>\n<p>Les fichiers LNK sont \u00e9quip\u00e9s d&#8217;un code PowerShell responsable du t\u00e9l\u00e9chargement et de l&#8217;ex\u00e9cution du Command de commande de commande utile \u00e0 la prochaine \u00e9tape, ainsi que de r\u00e9cup\u00e9rer un fichier de leurre qui est affich\u00e9 \u00e0 la victime pour maintenir la ruse.<\/p>\n<p>La deuxi\u00e8me \u00e9tape est une autre archive zip, qui contient une DLL malveillante \u00e0 ex\u00e9cuter via une technique appel\u00e9e chargement DLL. La DLL est un chargeur qui d\u00e9crypte et ex\u00e9cute la charge utile finale Remcos \u00e0 partir de fichiers crypt\u00e9s pr\u00e9sents dans l&#8217;archive.<\/p>\n<p>La divulgation intervient alors que le push silencieux d\u00e9taill\u00e9 une campagne de phishing qui utilise des leurres de site Web pour recueillir des informations contre des individus russes sympathiques \u00e0 l&#8217;Ukraine. L&#8217;activit\u00e9 est consid\u00e9r\u00e9e comme l&#8217;\u0153uvre de services de renseignement russe ou d&#8217;un acteur de menace align\u00e9 avec la Russie.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La campagne se compose de quatre principaux grappes de phishing, imitant la US Central Intelligence Agency (CIA), le Russian Volunteer Corps, Legion Liberty et Hochuzhit &#8220;I Want To Live&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/I_Want_to_Live_(hotline)\" target=\"_blank\">hotline<\/a> pour avoir re\u00e7u des appels de militaires russes en Ukraine \u00e0 se rendre aux forces arm\u00e9es ukrainiennes.<\/p>\n<p>Les pages de phishing ont \u00e9t\u00e9 organis\u00e9es sur un fournisseur d&#8217;h\u00e9bergement \u00e0 l&#8217;\u00e9preuve des balles, Nybula LLC, les acteurs de la menace comptant sur les formulaires Google et les r\u00e9ponses par e-mail pour recueillir des informations personnelles, y compris leurs opinions politiques, leurs mauvaises habitudes et leur forme physique, des victimes.<\/p>\n<p>&#8220;Toutes les campagnes [&#8230;] observ\u00e9s ont eu des traits similaires et partag\u00e9 un objectif commun: la collecte d&#8217;informations personnelles aupr\u00e8s des victimes de visiter le site &#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/I_Want_to_Live_(hotline)\" target=\"_blank\">dit<\/a>. &#8220;Ces pots de miel de phishing sont probablement le travail des services de renseignement russe ou un acteur de menace align\u00e9 sur les int\u00e9r\u00eats russes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/russia-linked-gamaredon-uses-troop.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80231 mars 2025\ue804Ravie LakshmananIntelligence de menace \/ logiciels malveillants Les entit\u00e9s en Ukraine ont \u00e9t\u00e9 cibl\u00e9es dans le cadre d&#8217;une campagne de phishing con\u00e7ue pour distribuer un cheval de Troie \u00e0 distance appel\u00e9 Remcos Rat. &#8220;Les noms de dossiers utilisent des mots russes li\u00e9s au mouvement des troupes en Ukraine comme leurre&#8221;, a d\u00e9clar\u00e9 le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1603836,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,79002,274264,4161,274263,6124,9886,133,109116,45122,7754,274267,4160,185,46743,144389,356,238617,246491,4172,79016,1348,847,1282,4166,4164],"class_list":["post-1603835","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deployer","tag-des","tag-gamaredon","tag-leurres","tag-lie","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pour","tag-rat","tag-remcos","tag-russie","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-troupes","tag-ukraine","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1603835","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1603835"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1603835\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1603836"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1603835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1603835"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1603835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}