{"id":270548,"date":"2022-07-21T18:09:28","date_gmt":"2022-07-21T20:09:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-ciblent-une-societe-de-logiciels-ukrainienne-a-laide-de-la-porte-derobee-gomet\/"},"modified":"2022-07-21T18:09:29","modified_gmt":"2022-07-21T20:09:29","slug":"des-pirates-informatiques-ciblent-une-societe-de-logiciels-ukrainienne-a-laide-de-la-porte-derobee-gomet","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-ciblent-une-societe-de-logiciels-ukrainienne-a-laide-de-la-porte-derobee-gomet\/","title":{"rendered":"Des pirates informatiques ciblent une soci\u00e9t\u00e9 de logiciels ukrainienne \u00e0 l&#8217;aide de la porte d\u00e9rob\u00e9e GoMet"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une grande soci\u00e9t\u00e9 de d\u00e9veloppement de logiciels dont les logiciels sont utilis\u00e9s par diff\u00e9rentes entit\u00e9s \u00e9tatiques en Ukraine a \u00e9t\u00e9 la cible d&#8217;un logiciel malveillant &#8220;peu commun&#8221;, selon une nouvelle \u00e9tude.<\/p>\n<p>Le malware, observ\u00e9 pour la premi\u00e8re fois le matin du 19 mai 2022, est une variante personnalis\u00e9e de la porte d\u00e9rob\u00e9e open source connue sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Laeeth\/GoMet\" target=\"_blank\">GoMet<\/a> et est con\u00e7u pour maintenir un acc\u00e8s permanent au r\u00e9seau.<\/p>\n<p>&#8220;Cet acc\u00e8s pourrait \u00eatre exploit\u00e9 de diverses mani\u00e8res, y compris un acc\u00e8s plus approfondi ou pour lancer des attaques suppl\u00e9mentaires, y compris le potentiel de compromission de la cha\u00eene d&#8217;approvisionnement logicielle&#8221;, a d\u00e9clar\u00e9 Cisco Talos. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/2022\/07\/attackers-target-ukraine-using-gomet.html\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgvfqow2z1XORevUpzKGWWXZ2DP4dMaNi-7cycpa3J_bSZKv0tO6MP40HLl7lvVJDIswOmb6I-YoNMLJym4v9oLZQczujsMqcttB3M_Cvm6E-zLs0XrpwaTZ_SGFjckDfi3CPfijZaii8Z88_btcKeHKKfxm7cDyF3kaVvsirGpb2JWVH0Ot3xGiC2sZg\/s1600\/strike-728.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Bien qu&#8217;il n&#8217;y ait pas d&#8217;indicateurs concrets reliant l&#8217;attaque \u00e0 un seul acteur ou groupe, l&#8217;\u00e9valuation de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 indique une activit\u00e9 de l&#8217;\u00c9tat-nation russe.<\/p>\n<p>Les rapports publics sur l&#8217;utilisation de GoMet dans des attaques r\u00e9elles n&#8217;ont jusqu&#8217;\u00e0 pr\u00e9sent d\u00e9couvert que deux cas document\u00e9s\u00a0: un en 2020, co\u00efncidant avec la divulgation de CVE-2020-5902, une faille critique d&#8217;ex\u00e9cution de code \u00e0 distance dans le r\u00e9seau BIG-IP de F5. dispositifs.<\/p>\n<p>La deuxi\u00e8me instance a impliqu\u00e9 l&#8217;exploitation r\u00e9ussie de CVE-2022-1040, une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance dans Sophos Firewall, par un groupe anonyme de menace persistante avanc\u00e9e (APT) plus t\u00f4t cette ann\u00e9e.<\/p>\n<p>&#8220;Nous n&#8217;avons pas vu GoMet d\u00e9ploy\u00e9 dans les autres organisations avec lesquelles nous travaillons en \u00e9troite collaboration et surveillons, ce qui implique qu&#8217;il est cibl\u00e9 d&#8217;une mani\u00e8re ou d&#8217;une autre, mais pourrait \u00eatre utilis\u00e9 contre des cibles suppl\u00e9mentaires sur lesquelles nous n&#8217;avons pas de visibilit\u00e9&#8221;, Nick Biasini, responsable de la sensibilisation pour Cisco Talos, a d\u00e9clar\u00e9 \u00e0 The Hacker News.<\/p>\n<p>&#8220;Nous avons \u00e9galement men\u00e9 une analyse historique relativement rigoureuse et voyons tr\u00e8s peu d&#8217;utilisation de GoMet historiquement, ce qui indique en outre qu&#8217;il est utilis\u00e9 de mani\u00e8re tr\u00e8s cibl\u00e9e.&#8221;<\/p>\n<p>GoMet, comme son nom l&#8217;indique, est \u00e9crit en Go et est livr\u00e9 avec des fonctionnalit\u00e9s qui permettent \u00e0 l&#8217;attaquant de r\u00e9quisitionner \u00e0 distance le syst\u00e8me compromis, y compris le t\u00e9l\u00e9chargement de fichiers, l&#8217;ex\u00e9cution de commandes arbitraires et l&#8217;utilisation de l&#8217;ancrage initial pour se propager \u00e0 d&#8217;autres r\u00e9seaux et syst\u00e8mes via ce qui est appel\u00e9 un <a rel=\"nofollow noopener\" href=\"https:\/\/www.tenable.com\/blog\/daisy-chaining-how-vulnerabilities-can-be-greater-than-the-sum-of-their-parts\" target=\"_blank\">guirlande<\/a>.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Une autre caract\u00e9ristique notable de l&#8217;implant est sa capacit\u00e9 \u00e0 ex\u00e9cuter des t\u00e2ches planifi\u00e9es en utilisant <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Cron\" target=\"_blank\">cron<\/a>.  Alors que le code d&#8217;origine est configur\u00e9 pour ex\u00e9cuter des t\u00e2ches cron une fois par heure, la version modifi\u00e9e de la porte d\u00e9rob\u00e9e utilis\u00e9e dans l&#8217;attaque est con\u00e7ue pour s&#8217;ex\u00e9cuter toutes les deux secondes et v\u00e9rifier si le logiciel malveillant est connect\u00e9 \u00e0 un serveur de commande et de contr\u00f4le.<\/p>\n<p>&#8220;La majorit\u00e9 des attaques que nous avons vues r\u00e9cemment sont li\u00e9es \u00e0 l&#8217;acc\u00e8s, soit directement, soit via l&#8217;acquisition d&#8217;informations d&#8217;identification&#8221;, a d\u00e9clar\u00e9 Biasini.  &#8220;C&#8217;est un autre exemple de cela avec GoMet d\u00e9ploy\u00e9 en tant que porte d\u00e9rob\u00e9e.&#8221;<\/p>\n<p>&#8220;Une fois l&#8217;acc\u00e8s \u00e9tabli, des reconnaissances suppl\u00e9mentaires et des op\u00e9rations plus approfondies peuvent suivre. Nous nous effor\u00e7ons de tuer les attaques avant qu&#8217;elles n&#8217;atteignent ce stade, il est donc difficile de pr\u00e9dire les types d&#8217;attaques ult\u00e9rieures.&#8221;<\/p>\n<p>Les d\u00e9couvertes arrivent alors que le Cyber \u200b\u200b\u200b\u200bCommand am\u00e9ricain mercredi <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/CNMF_CyberAlert\/status\/1549764857972621322\" target=\"_blank\">partag\u00e9<\/a> les indicateurs de compromission (IoC) relatifs \u00e0 diff\u00e9rents types de logiciels malveillants tels que GrimPlant, GraphSteel, Cobalt Strike Beacon et MicroBackdoor ciblant les r\u00e9seaux ukrainiens ces derniers mois.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Mandiant a depuis <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/spear-phish-ukrainian-entities\" target=\"_blank\">attribu\u00e9<\/a> les attaques de phishing contre deux acteurs d&#8217;espionnage suivis sous les noms UNC1151 (alias Ghostwriter) et UNC2589, ce dernier \u00e9tant soup\u00e7onn\u00e9 &#8220;d&#8217;agir en faveur des int\u00e9r\u00eats du gouvernement russe et de mener une vaste collecte d&#8217;espionnage en Ukraine&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/hackers-target-ukrainian-software.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une grande soci\u00e9t\u00e9 de d\u00e9veloppement de logiciels dont les logiciels sont utilis\u00e9s par diff\u00e9rentes entit\u00e9s \u00e9tatiques en Ukraine a \u00e9t\u00e9 la cible d&#8217;un logiciel malveillant &#8220;peu commun&#8221;, selon une nouvelle \u00e9tude. Le malware, observ\u00e9 pour la premi\u00e8re fois le matin du 19 mai 2022, est une variante personnalis\u00e9e de la porte d\u00e9rob\u00e9e open source connue [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":270549,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5863,4168,4158,4165,4161,7084,133,92093,8154,4157,4159,4171,4170,1151,4167,4589,4160,4163,4162,4394,2742,4172,4169,3827,1131,196,4166,4164],"class_list":["post-270548","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-des","tag-gomet","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-laide","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-porte","tag-securite-informatique","tag-securite-internet","tag-societe","tag-ukrainienne","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/270548","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=270548"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/270548\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/270549"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=270548"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=270548"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=270548"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}