{"id":245484,"date":"2022-07-08T04:49:55","date_gmt":"2022-07-08T06:49:55","guid":{"rendered":"https:\/\/teknomers.com\/fr\/trickbot-gang-sest-concentre-sur-systematiquement-cibler-lukraine\/"},"modified":"2022-07-08T04:49:56","modified_gmt":"2022-07-08T06:49:56","slug":"trickbot-gang-sest-concentre-sur-systematiquement-cibler-lukraine","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/trickbot-gang-sest-concentre-sur-systematiquement-cibler-lukraine\/","title":{"rendered":"TrickBot Gang s&#8217;est concentr\u00e9 sur &quot;Syst\u00e9matiquement&quot; Cibler l&#8217;Ukraine"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Dans ce qui est d\u00e9crit comme une tournure &#8220;sans pr\u00e9c\u00e9dent&#8221;, les op\u00e9rateurs du malware TrickBot ont eu recours au ciblage syst\u00e9matique de l&#8217;Ukraine depuis le d\u00e9but de la guerre fin f\u00e9vrier 2022.<\/p>\n<p>On pense que le groupe a orchestr\u00e9 au moins six campagnes de phishing visant des cibles qui correspondent aux int\u00e9r\u00eats de l&#8217;\u00c9tat russe, les e-mails agissant comme des leurres pour diffuser des logiciels malveillants tels que IcedID, CobaltStrike, AnchorMail et <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/39934\" target=\"_blank\">Compteur<\/a>.<\/p>\n<p>Traqu\u00e9 sous les noms d&#8217;ITG23, Gold Blackburn et Wizard Spider, le gang de cybercriminalit\u00e9 \u00e0 motivation financi\u00e8re est connu pour son d\u00e9veloppement du cheval de Troie bancaire TrickBot et a \u00e9t\u00e9 int\u00e9gr\u00e9 au cartel de ran\u00e7ongiciels Conti, d\u00e9sormais abandonn\u00e9, plus t\u00f4t cette ann\u00e9e.<\/p>\n<p>Mais \u00e0 peine quelques semaines plus tard, les acteurs associ\u00e9s au groupe ont refait surface avec une version remani\u00e9e du <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.anchor\" target=\"_blank\">AnchorDNS<\/a> porte d\u00e9rob\u00e9e appel\u00e9e AnchorMail qui utilise les protocoles SMTPS et IMAP pour les communications de commande et de contr\u00f4le.<\/p>\n<p>&#8220;Les campagnes d&#8217;ITG23 contre l&#8217;Ukraine sont remarquables en raison de la mesure dans laquelle cette activit\u00e9 diff\u00e8re des pr\u00e9c\u00e9dents historiques et du fait que ces campagnes semblaient sp\u00e9cifiquement destin\u00e9es \u00e0 l&#8217;Ukraine avec certaines charges utiles qui sugg\u00e8rent un degr\u00e9 plus \u00e9lev\u00e9 de s\u00e9lection de cibles&#8221;, a d\u00e9clar\u00e9 Ole, analyste d&#8217;IBM Security X-Force. Villadsen <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/posts\/trickbot-group-systematically-attacking-ukraine\/\" target=\"_blank\">a dit<\/a> dans un rapport technique.<\/p>\n<p>Un changement notable dans les campagnes implique l&#8217;utilisation de t\u00e9l\u00e9chargeurs Microsoft Excel in\u00e9dits et le d\u00e9ploiement de CobaltStrike, Meterpreter et AnchorMail en tant que charges utiles de premi\u00e8re \u00e9tape.  Les attaques auraient commenc\u00e9 \u00e0 la mi-avril 2022.<\/p>\n<p>Fait int\u00e9ressant, l&#8217;acteur de la menace a exploit\u00e9 le spectre de la guerre nucl\u00e9aire dans sa ruse de courrier \u00e9lectronique pour diffuser l&#8217;implant AnchorMail, une tactique qui serait r\u00e9p\u00e9t\u00e9e par le groupe d&#8217;\u00c9tats-nations russe suivi sous le nom d&#8217;APT28 deux mois plus tard pour diffuser des logiciels malveillants voleurs de donn\u00e9es en Ukraine.<\/p>\n<p>De plus, l&#8217;\u00e9chantillon Cobalt Strike d\u00e9ploy\u00e9 dans le cadre d&#8217;une campagne de mai 2022 a utilis\u00e9 un nouveau crypteur surnomm\u00e9 Forest pour \u00e9chapper \u00e0 la d\u00e9tection, ce dernier ayant \u00e9galement \u00e9t\u00e9 utilis\u00e9 en conjonction avec le malware Bumblebee, donnant du cr\u00e9dit aux th\u00e9ories selon lesquelles le chargeur est exploit\u00e9. par le gang TrickBot.<\/p>\n<p>&#8220;Les divisions id\u00e9ologiques et les all\u00e9geances sont devenues de plus en plus apparentes au sein de l&#8217;\u00e9cosyst\u00e8me cybercriminel russophone cette ann\u00e9e&#8221;, a not\u00e9 Villadsen.  &#8220;Ces campagnes prouvent que l&#8217;Ukraine est dans le collimateur d&#8217;\u00e9minents groupes cybercriminels russes.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient alors que les m\u00e9dias ukrainiens ont \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/405538\" target=\"_blank\">cibl\u00e9<\/a> avec <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/ukraine-targeted-by-dark-crystal-rat\" target=\"_blank\">messages d&#8217;hame\u00e7onnage<\/a> contenant des documents contenant des logiciels malveillants qui exploitent la vuln\u00e9rabilit\u00e9 Follina pour d\u00e9poser le DarkCrystal RAT sur les syst\u00e8mes compromis.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>L&#8217;\u00e9quipe ukrainienne d&#8217;intervention en cas d&#8217;urgence informatique (CERT-UA) a \u00e9galement <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/619229\" target=\"_blank\">averti<\/a> d&#8217;intrusions men\u00e9es par un groupe appel\u00e9 UAC-0056 qui consiste \u00e0 frapper des organisations d&#8217;\u00c9tat avec des leurres sur le th\u00e8me du personnel pour larguer des balises Cobalt Strike sur les h\u00f4tes.<\/p>\n<p>L&#8217;agence, le mois dernier, a poursuivi <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/375404\" target=\"_blank\">soulign\u00e9<\/a> l&#8217;utilisation de Royal Road RTF militarisation par un acteur bas\u00e9 en Chine nomm\u00e9 le <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/tonto_team\" target=\"_blank\">L&#8217;\u00e9quipe Tonto<\/a> (alias Karma Panda) pour cibler les entreprises scientifiques et techniques et les organismes publics situ\u00e9s en Russie avec le <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/2020\/03\/bisonal-10-years-of-play.html\" target=\"_blank\">Malware bisonal<\/a>.<\/p>\n<p>Attribuant ces attaques avec un niveau de confiance moyen au groupe des menaces persistantes avanc\u00e9es (APT), SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/targets-of-interest-russian-organizations-increasingly-under-attack-by-chinese-apts\/\" target=\"_blank\">a dit<\/a> les r\u00e9sultats <a rel=\"nofollow noopener\" href=\"https:\/\/www.ptsecurity.com\/ru-ru\/research\/pt-esc-threat-intelligence\/space-pirates-tools-and-connections\/\" target=\"_blank\">d\u00e9montrer<\/a> &#8220;un effort continu&#8221; de la part de l&#8217;appareil de renseignement chinois pour cibler un large \u00e9ventail d&#8217;organisations li\u00e9es \u00e0 la Russie.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/trickbot-malware-shifted-its-focus-on.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dans ce qui est d\u00e9crit comme une tournure &#8220;sans pr\u00e9c\u00e9dent&#8221;, les op\u00e9rateurs du malware TrickBot ont eu recours au ciblage syst\u00e9matique de l&#8217;Ukraine depuis le d\u00e9but de la guerre fin f\u00e9vrier 2022. On pense que le groupe a orchestr\u00e9 au moins six campagnes de phishing visant des cibles qui correspondent aux int\u00e9r\u00eats de l&#8217;\u00c9tat russe, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":245485,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11338,4168,23605,4158,4165,4161,4584,4157,4159,4171,4170,4167,770,4160,4163,4162,87300,4172,4169,768,60,4583,4166,4164],"class_list":["post-245484","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cibler","tag-comment-pirater","tag-concentre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-gang","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-lukraine","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-quotsystematiquementquot","tag-securite-informatique","tag-securite-internet","tag-sest","tag-sur","tag-trickbot","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/245484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=245484"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/245484\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/245485"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=245484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=245484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=245484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}