{"id":267566,"date":"2022-07-20T06:19:03","date_gmt":"2022-07-20T08:19:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-russes-utilisent-dropbox-et-google-drive-pour-supprimer-des-charges-utiles-malveillantes\/"},"modified":"2022-07-20T06:19:04","modified_gmt":"2022-07-20T08:19:04","slug":"des-pirates-russes-utilisent-dropbox-et-google-drive-pour-supprimer-des-charges-utiles-malveillantes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-russes-utilisent-dropbox-et-google-drive-pour-supprimer-des-charges-utiles-malveillantes\/","title":{"rendered":"Des pirates russes utilisent DropBox et Google Drive pour supprimer des charges utiles malveillantes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le collectif de piratage parrain\u00e9 par l&#8217;\u00c9tat russe connu sous le nom d&#8217;APT29 a \u00e9t\u00e9 attribu\u00e9 \u00e0 une nouvelle campagne de phishing qui tire parti de services cloud l\u00e9gitimes comme Google Drive et Dropbox pour fournir des charges utiles malveillantes sur des syst\u00e8mes compromis.<\/p>\n<p>\u00ab Ces campagnes auraient cibl\u00e9 plusieurs missions diplomatiques occidentales entre mai et juin 2022 \u00bb, Palo Alto Networks Unit 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/cloaked-ursa-online-storage-services-campaigns\/\" target=\"_blank\">a dit<\/a> dans un rapport de mardi.  &#8220;Les leurres inclus dans ces campagnes sugg\u00e8rent de cibler une ambassade \u00e9trang\u00e8re au Portugal ainsi qu&#8217;une ambassade \u00e9trang\u00e8re au Br\u00e9sil.&#8221;<\/p>\n<p>APT29, \u00e9galement suivi sous les noms de Cozy Bear, Cloaked Ursa ou The Dukes, a \u00e9t\u00e9 caract\u00e9ris\u00e9 comme un groupe de cyberespionnage organis\u00e9 travaillant \u00e0 collecter des renseignements qui s&#8217;alignent sur les objectifs strat\u00e9giques de la Russie.<\/p>\n<p>Certains aspects des activit\u00e9s de la menace persistante avanc\u00e9e, y compris la tristement c\u00e9l\u00e8bre attaque de la cha\u00eene d&#8217;approvisionnement SolarWinds de 2020, sont suivis s\u00e9par\u00e9ment par Microsoft sous le nom de Nobelium, Mandiant l&#8217;appelant un acteur de menace \u00e9volutif, disciplin\u00e9 et hautement qualifi\u00e9 qui op\u00e8re avec un niveau accru de s\u00e9curit\u00e9 op\u00e9rationnelle. \u00bb<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les intrusions les plus r\u00e9centes sont une continuation de la m\u00eame op\u00e9ration secr\u00e8te pr\u00e9c\u00e9demment d\u00e9taill\u00e9e par Mandiant et <a rel=\"nofollow noopener\" href=\"https:\/\/cluster25.io\/2022\/05\/13\/cozy-smuggled-into-the-box\/\" target=\"_blank\">Grappe25<\/a> en mai 2022, dans lequel les e-mails de harponnage ont conduit au d\u00e9ploiement de Cobalt Strike Beacons au moyen d&#8217;une pi\u00e8ce jointe HTML appel\u00e9e EnvyScout (alias ROOTSAW) attach\u00e9e directement aux missives.<\/p>\n<p>Ce qui a chang\u00e9 dans les nouvelles it\u00e9rations, c&#8217;est l&#8217;utilisation de services cloud comme Dropbox et Google Drive pour dissimuler leurs actions et r\u00e9cup\u00e9rer des logiciels malveillants suppl\u00e9mentaires dans les environnements cibles.  Une deuxi\u00e8me version de l&#8217;attaque observ\u00e9e fin mai 2022 se serait encore adapt\u00e9e pour h\u00e9berger le compte-gouttes HTML dans Dropbox.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Charges utiles malveillantes\" border=\"0\" data-original-height=\"550\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658305143_983_Des-pirates-russes-utilisent-DropBox-et-Google-Drive-pour-supprimer.jpg\" title=\"Charges utiles malveillantes\" \/><\/div>\n<p>&#8220;Les campagnes et les charges utiles analys\u00e9es au fil du temps montrent une forte concentration sur le fonctionnement sous le radar et la r\u00e9duction des taux de d\u00e9tection&#8221;, a not\u00e9 Cluster25 \u00e0 l&#8217;\u00e9poque.  &#8220;\u00c0 cet \u00e9gard, m\u00eame l&#8217;utilisation de services l\u00e9gitimes tels que Trello et Dropbox sugg\u00e8re la volont\u00e9 de l&#8217;adversaire d&#8217;op\u00e9rer pendant longtemps dans les environnements victimes en restant non d\u00e9tect\u00e9s.&#8221;<\/p>\n<p>EnvyScout, pour sa part, sert d&#8217;outil auxiliaire pour infecter davantage la cible avec l&#8217;implant de choix de l&#8217;acteur, dans ce cas, un ex\u00e9cutable bas\u00e9 sur .NET qui est dissimul\u00e9 dans plusieurs couches d&#8217;obscurcissement et utilis\u00e9 pour exfiltrer les informations syst\u00e8me ainsi qu&#8217;ex\u00e9cuter les binaires de la prochaine \u00e9tape tels que Cobalt Strike r\u00e9cup\u00e9r\u00e9s sur Google Drive.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;L&#8217;utilisation des services DropBox et Google Drive [&#8230;] est une nouvelle tactique pour cet acteur et qui s&#8217;av\u00e8re difficile \u00e0 d\u00e9tecter en raison de la nature omnipr\u00e9sente de ces services et du fait qu&#8217;ils b\u00e9n\u00e9ficient de la confiance de millions de clients dans le monde \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Les conclusions co\u00efncident \u00e9galement avec une nouvelle d\u00e9claration du Conseil de l&#8217;Union europ\u00e9enne, d\u00e9non\u00e7ant la flamb\u00e9e des cyberactivit\u00e9s malveillantes perp\u00e9tr\u00e9es par les acteurs de la menace russe et &#8220;condamnant[ing] ce comportement inacceptable dans le cyberespace.&#8221;<\/p>\n<p>&#8220;Cette augmentation des cyberactivit\u00e9s malveillantes, dans le contexte de la guerre contre l&#8217;Ukraine, cr\u00e9e des risques inacceptables d&#8217;effets d&#8217;entra\u00eenement, d&#8217;interpr\u00e9tation erron\u00e9e et d&#8217;une \u00e9ventuelle escalade&#8221;, a d\u00e9clar\u00e9 le Conseil. <a rel=\"nofollow noopener\" href=\"https:\/\/www.consilium.europa.eu\/en\/press\/press-releases\/2022\/07\/19\/declaration-by-the-high-representative-on-behalf-of-the-european-union-on-malicious-cyber-activities-conducted-by-hackers-and-hacker-groups-in-the-context-of-russia-s-aggression-against-ukraine\/\" target=\"_blank\">a dit<\/a> dans un communiqu\u00e9 de presse.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/russian-hackers-using-dropbox-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le collectif de piratage parrain\u00e9 par l&#8217;\u00c9tat russe connu sous le nom d&#8217;APT29 a \u00e9t\u00e9 attribu\u00e9 \u00e0 une nouvelle campagne de phishing qui tire parti de services cloud l\u00e9gitimes comme Google Drive et Dropbox pour fournir des charges utiles malveillantes sur des syst\u00e8mes compromis. \u00ab Ces campagnes auraient cibl\u00e9 plusieurs missions diplomatiques occidentales entre mai [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":267567,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[20544,4168,4158,4165,4161,133,11472,8862,7755,4157,4159,4171,4170,4167,7306,4160,4163,4162,4394,185,248,4172,4169,8206,30436,10784,4166,4164],"class_list":["post-267566","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-charges","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-drive","tag-dropbox","tag-google","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malveillantes","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-russes","tag-securite-informatique","tag-securite-internet","tag-supprimer","tag-utiles","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/267566","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=267566"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/267566\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/267567"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=267566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=267566"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=267566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}