{"id":1610369,"date":"2025-04-04T07:22:32","date_gmt":"2025-04-04T09:22:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/cert-ua-rapporte-des-cyberattaques-ciblant-les-systemes-detat-ukrainiens-avec-des-logiciels-malveillants-wrecksteel\/"},"modified":"2025-04-04T07:22:37","modified_gmt":"2025-04-04T09:22:37","slug":"cert-ua-rapporte-des-cyberattaques-ciblant-les-systemes-detat-ukrainiens-avec-des-logiciels-malveillants-wrecksteel","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/cert-ua-rapporte-des-cyberattaques-ciblant-les-systemes-detat-ukrainiens-avec-des-logiciels-malveillants-wrecksteel\/","title":{"rendered":"CERT-UA rapporte des cyberattaques ciblant les syst\u00e8mes d&#8217;\u00c9tat ukrainiens avec des logiciels malveillants WreckSteel"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Infrastructure critique \/ logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/CERT-UA-rapporte-des-cyberattaques-ciblant-les-systemes-dEtat-ukrainiens-avec.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>L&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) a r\u00e9v\u00e9l\u00e9 que pas moins de trois cyberattaques avaient \u00e9t\u00e9 enregistr\u00e9es contre les organismes d&#8217;administration de l&#8217;\u00c9tat et les installations d&#8217;infrastructures critiques dans le pays dans le but de voler des donn\u00e9es sensibles.<\/p>\n<p>La campagne, l&#8217;agence <a rel=\"noopener nofollow\" href=\"https:\/\/cert.gov.ua\/article\/6282902\" target=\"_blank\">dit<\/a>impliquait l&#8217;utilisation de comptes de messagerie compromis pour envoyer des messages de phishing contenant des liens pointant vers des services l\u00e9gitimes comme DropMeFiles et Google Drive. Dans certains cas, les liens sont int\u00e9gr\u00e9s dans les pi\u00e8ces jointes PDF.<\/p>\n<p>Les missives num\u00e9riques ont cherch\u00e9 \u00e0 induire un faux sentiment d&#8217;urgence en affirmant qu&#8217;une agence gouvernementale ukrainienne pr\u00e9voyait de r\u00e9duire les salaires, exhortant le b\u00e9n\u00e9ficiaire \u00e0 cliquer sur le lien pour afficher la liste des employ\u00e9s touch\u00e9s.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Lucid-PhaaS-atteint-169-cibles-dans-88-pays-utilisant-iMessage.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Visiter ces liens conduit au t\u00e9l\u00e9chargement d&#8217;un chargeur Visual Basic Script (VBS) con\u00e7u pour r\u00e9cup\u00e9rer et ex\u00e9cuter un script PowerShell capable de r\u00e9colter des fichiers correspondant \u00e0 un ensemble sp\u00e9cifique d&#8217;extensions et \u00e0 capturer des captures d&#8217;\u00e9cran.<\/p>\n<p>L&#8217;activit\u00e9, attribu\u00e9e \u00e0 un cluster de menaces suivie en tant que UAC-0219, serait en cours depuis au moins l&#8217;automne 2024, avec les premi\u00e8res it\u00e9rations utilisant une combinaison de binaires EXE, un voleur VBS et un logiciel d&#8217;\u00e9diteur d&#8217;image l\u00e9gitime appel\u00e9 Irfanview pour r\u00e9aliser ses objectifs.<\/p>\n<p>CERT-UA a donn\u00e9 au VBS Loader et au malware PowerShell le surnom \u00e9pave. Les attaques n&#8217;ont \u00e9t\u00e9 attribu\u00e9es \u00e0 aucun pays.<\/p>\n<p>Les cyberattaques suivent la d\u00e9couverte d&#8217;une campagne de phishing qui s&#8217;est concentr\u00e9e sur les entit\u00e9s de d\u00e9fense et a\u00e9rospatiale avec des liens vers le conflit en cours en Ukraine pour r\u00e9colter les informations d&#8217;identification de la carte Web via de fausses pages de connexion.<\/p>\n<p>&#8220;Les attaquants semblent avoir construit la page en utilisant <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Mailu\/Mailu\" target=\"_blank\">Mailu<\/a>un logiciel de serveur de messagerie open source disponible sur GitHub, &#8220;L&#8217;\u00e9quipe des enqu\u00eates Domaintools (DTI) <a rel=\"nofollow noopener\" href=\"https:\/\/dti.domaintools.com\/phishing-campaign-targets-defense-and-aerospace-firms-linked-to-ukraine-conflict\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;L&#8217;accent mis sur l&#8217;usurpation des organisations impliqu\u00e9es dans les infrastructures de d\u00e9fense et de t\u00e9l\u00e9communications d&#8217;Ukraine sugg\u00e8re en outre l&#8217;intention de recueillir des renseignements li\u00e9s au conflit en Ukraine. Notamment, de nombreuses d\u00e9fense opcept\u00e9e, a\u00e9rospatiale et informatiques ont apport\u00e9 un soutien aux efforts militaires d&#8217;Ukraine dans son conflit avec la Russie.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/CERT-UA-rapporte-des-cyberattaques-ciblant-les-systemes-dEtat-ukrainiens-avec.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/CERT-UA-rapporte-des-cyberattaques-ciblant-les-systemes-dEtat-ukrainiens-avec.png\" alt=\"Cyberattaques ciblant ukrainien\" border=\"0\" data-original-height=\"2206\" data-original-width=\"3086\" title=\"Cyberattaques ciblant ukrainien\"\/><\/a><\/div>\n<p>Des ensembles d&#8217;intrusion align\u00e9s par la Russie tels que UAC-0050 et UAC-0006 ont \u00e9galement \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.intrinsec.com\/from-espionage-to-psyops-tracking-operations-and-bulletproof-providers-of-uac\/\" target=\"_blank\">observ\u00e9<\/a> Effectuer financi\u00e8rement et des campagnes de spam motiv\u00e9es financi\u00e8res depuis le d\u00e9but de 2025, ciblant principalement divers secteurs verticaux tels que les gouvernements, la d\u00e9fense, l&#8217;\u00e9nergie et les ONG, pour distribuer des familles de logiciels malveillants comme Sload, Remcos Rat, NetSupport Rat et SmokeLoader.<\/p>\n<p>Le d\u00e9veloppement intervient alors que Kaspersky a averti que l&#8217;acteur de menace connue sous le nom de chef de Mare a cibl\u00e9 plusieurs entit\u00e9s russes avec un logiciel malveillant appel\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/securelist.ru\/head-mare-attacks-with-phantompyramid\/112164\/\" target=\"_blank\">Phantompyramide<\/a> Il est capable de traiter les instructions \u00e9mises par l&#8217;op\u00e9rateur sur un serveur de commande et de contr\u00f4le (C2), ainsi que le t\u00e9l\u00e9chargement et l&#8217;ex\u00e9cution de charges utiles suppl\u00e9mentaires comme Meshagent.<\/p>\n<p>Les soci\u00e9t\u00e9s d&#8217;\u00e9nergie russe, les entreprises industrielles et les fournisseurs et les d\u00e9veloppeurs d&#8217;organisations de composants \u00e9lectroniques ont \u00e9galement \u00e9t\u00e9 \u00e0 la fin des attaques de phishing, au nom d&#8217;un acteur de menace, <a rel=\"noopener nofollow\" href=\"https:\/\/ics-cert.kaspersky.com\/publications\/reports\/2025\/03\/25\/apt-and-financial-attacks-on-industrial-organizations-in-q4-2024\/\" target=\"_blank\">Licorne<\/a> Cela a abandonn\u00e9 un VBS Trojan con\u00e7u pour siphonner les fichiers et les images des h\u00f4tes infect\u00e9s.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00c0 la fin du mois dernier, SeqRite Labs a r\u00e9v\u00e9l\u00e9 que les r\u00e9seaux acad\u00e9miques, gouvernementaux, a\u00e9rospatiaux et li\u00e9s \u00e0 la d\u00e9fense en Russie sont cibl\u00e9s par des documents de leurre arm\u00e9es, probablement envoy\u00e9s par e-mails de phishing, dans le cadre d&#8217;une campagne surnomm\u00e9e l&#8217;op\u00e9ration Hollowquill. Les attaques auraient commenc\u00e9 vers d\u00e9cembre 2024.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743758552_758_CERT-UA-rapporte-des-cyberattaques-ciblant-les-systemes-dEtat-ukrainiens-avec.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743758552_758_CERT-UA-rapporte-des-cyberattaques-ciblant-les-systemes-dEtat-ukrainiens-avec.png\" alt=\"PDFS \u00e0 base de logiciels malveillants\" border=\"0\" data-original-height=\"380\" data-original-width=\"768\" title=\"PDFS \u00e0 base de logiciels malveillants\"\/><\/a><\/div>\n<p>L&#8217;activit\u00e9 utilise des plats d&#8217;ing\u00e9nierie sociale, d\u00e9guisant les PDF li\u00e9s aux logiciels malveillants en tant qu&#8217;invitations de recherche et communiquants gouvernementaux pour inciter les utilisateurs sans m\u00e9fiance \u00e0 d\u00e9clencher la cha\u00eene d&#8217;attaque.<\/p>\n<p>&#8220;L&#8217;entit\u00e9 de menace fournit un fichier RAR malveillant qui contient un compte-gouttes malveillants .NET, qui laisse en d\u00e9tail un chargeur Shellcode bas\u00e9 sur Golang ainsi que la l\u00e9gitime application OneDrive et un PDF bas\u00e9 sur leur leurre avec une charge utile finale de gr\u00e8ve de Cobalt&#8221;, le chercheur en s\u00e9curit\u00e9 Subhajeet Singha <a rel=\"noopener nofollow\" href=\"https:\/\/www.seqrite.com\/blog\/operation-hollowquill-russian-rd-networks-malware-pdf\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/cert-ua-reports-cyberattacks-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 avril 2025\ue804Ravie LakshmananInfrastructure critique \/ logiciels malveillants L&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) a r\u00e9v\u00e9l\u00e9 que pas moins de trois cyberattaques avaient \u00e9t\u00e9 enregistr\u00e9es contre les organismes d&#8217;administration de l&#8217;\u00c9tat et les installations d&#8217;infrastructures critiques dans le pays dans le but de voler des donn\u00e9es sensibles. La campagne, l&#8217;agence ditimpliquait l&#8217;utilisation de comptes de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1610370,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,84,144388,4175,4168,79002,274264,4161,274263,6124,133,4295,65,4589,4590,274267,4160,38,238617,246491,4172,5046,79016,354,4166,4164,293408],"class_list":["post-1610369","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-avec","tag-certua","tag-ciblant","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-detat","tag-les","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-rapporte","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-systemes","tag-the-hacker-news","tag-ukrainiens","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wrecksteel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1610369","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1610369"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1610369\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1610370"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1610369"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1610369"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1610369"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}