Un groupe inconnu de menace persistante avanc\u00e9e (APT) a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d’attaques de harponnage ciblant des entit\u00e9s gouvernementales russes depuis le d\u00e9but de la guerre russo-ukrainienne fin f\u00e9vrier 2022.<\/p>\n
“Les campagnes […] sont con\u00e7us pour implanter un cheval de Troie d’acc\u00e8s \u00e0 distance (RAT) qui peut \u00eatre utilis\u00e9 pour surveiller les ordinateurs qu’il infecte et ex\u00e9cuter des commandes \u00e0 distance \u00bb, Malwarebytes mentionn\u00e9<\/a> dans un rapport technique publi\u00e9 mardi.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a attribu\u00e9 les attaques avec peu de confiance \u00e0 un groupe de piratage chinois, citant des chevauchements d’infrastructure entre les logiciels malveillants RAT et Sakula Rat utilis\u00e9s par un acteur malveillant connu sous le nom de Deep Panda.<\/p>\n Les cha\u00eenes d’attaque, tout en tirant parti de diff\u00e9rents leurres au cours de deux mois, ont toutes utilis\u00e9 le m\u00eame logiciel malveillant, \u00e0 l’exception de petites diff\u00e9rences dans le code source.<\/p>\n La campagne aurait commenc\u00e9 vers le 26 f\u00e9vrier, quelques jours apr\u00e8s l’invasion militaire de l’Ukraine par la Russie, avec les e-mails distribuant le RAT sous le couvert d’une carte interactive de l’Ukraine (“interactive_map_UA.exe”).<\/p>\n Le d\u00e9veloppement d\u00e9montre une fois de plus les capacit\u00e9s des acteurs de la menace \u00e0 s’adapter et \u00e0 ajuster leurs attaques aux \u00e9v\u00e9nements mondiaux, en utilisant les leurres les plus pertinents et les plus r\u00e9cents pour maximiser leurs chances de succ\u00e8s.<\/p>\n Une deuxi\u00e8me vague d’attaques d\u00e9but mars ciblait principalement la RT TV contr\u00f4l\u00e9e par l’\u00c9tat et impliquait l’utilisation d’un correctif logiciel malveillant pour la vuln\u00e9rabilit\u00e9 Log4Shell qui a fait la une des journaux fin 2021.<\/p>\n En plus d’inclure le correctif sous la forme d’un fichier TAR compress\u00e9, le message \u00e9lectronique \u00e9tait \u00e9galement accompagn\u00e9 d’un document PDF contenant des instructions pour installer le correctif et \u00e9num\u00e9rant les meilleures pratiques de s\u00e9curit\u00e9 \u00e0 suivre, notamment l’activation de l’authentification \u00e0 deux facteurs, l’utilisation de l’antivirus Kaspersky et l’abstention. d’ouvrir ou de r\u00e9pondre \u00e0 des e-mails suspects.<\/p>\n Dans une nouvelle tentative d’augmenter l’authenticit\u00e9 de l’e-mail, le document contenait \u00e9galement une URL totale du virus<\/a> pointant vers un fichier sans rapport pour donner l’impression que le fichier de correctif Log4j n’est pas malveillant.<\/p>\n De plus, l’e-mail comportait des liens vers un domaine contr\u00f4l\u00e9 par l’attaquant “rostec[.]digital” ainsi que des profils frauduleux cr\u00e9\u00e9s sur Facebook et Instagram faisant allusion au conglom\u00e9rat de d\u00e9fense russe.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\")
<\/a><\/div>\n![\"Entit\u00e9s](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1653519425_934_Des-chercheurs-decouvrent-de-nouvelles-attaques-de-logiciels-malveillants-ciblant.jpg\" "\\"Entit\u00e9s")
<\/div>\n
![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1653519426_19_Des-chercheurs-decouvrent-de-nouvelles-attaques-de-logiciels-malveillants-ciblant.jpg\")
<\/div>\n