{"id":295940,"date":"2022-08-04T18:09:29","date_gmt":"2022-08-04T20:09:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-logiciel-malveillant-woody-rat-est-utilise-pour-cibler-les-organisations-russes\/"},"modified":"2022-08-04T18:09:30","modified_gmt":"2022-08-04T20:09:30","slug":"le-nouveau-logiciel-malveillant-woody-rat-est-utilise-pour-cibler-les-organisations-russes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-logiciel-malveillant-woody-rat-est-utilise-pour-cibler-les-organisations-russes\/","title":{"rendered":"Le nouveau logiciel malveillant Woody RAT est utilis\u00e9 pour cibler les organisations russes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur malveillant inconnu cible des entit\u00e9s russes avec un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance r\u00e9cemment d\u00e9couvert appel\u00e9 <b>RAT bois\u00e9<\/b> pendant au moins un an dans le cadre d&#8217;une campagne de harponnage.<\/p>\n<p>La porte d\u00e9rob\u00e9e personnalis\u00e9e avanc\u00e9e est cens\u00e9e \u00eatre livr\u00e9e via l&#8217;une des deux m\u00e9thodes suivantes\u00a0: les fichiers d&#8217;archive et les documents Microsoft Office exploitant la vuln\u00e9rabilit\u00e9 de l&#8217;outil de diagnostic de support &#8220;Follina&#8221; d\u00e9sormais corrig\u00e9e (CVE-2022-30190) dans Windows.<\/p>\n<p>Comme d&#8217;autres implants con\u00e7us pour des op\u00e9rations ax\u00e9es sur l&#8217;espionnage, Woody RAT propose un large \u00e9ventail de fonctionnalit\u00e9s qui permettent \u00e0 l&#8217;auteur de la menace de r\u00e9quisitionner \u00e0 distance et de voler des informations sensibles des syst\u00e8mes infect\u00e9s.<\/p>\n<p>&#8220;Les premi\u00e8res versions de ce RAT \u00e9taient g\u00e9n\u00e9ralement archiv\u00e9es dans un fichier ZIP pr\u00e9tendant \u00eatre un document sp\u00e9cifique \u00e0 un groupe russe&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Malwarebytes Ankur Saini et Hossein Jazi. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.malwarebytes.com\/threat-intelligence\/2022\/08\/woody-rat-a-new-feature-rich-malware-spotted-in-the-wild\/\" target=\"_blank\">a dit<\/a> dans un rapport de mercredi.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Lorsque la vuln\u00e9rabilit\u00e9 Follina a \u00e9t\u00e9 connue du monde entier, l&#8217;acteur de la menace s&#8217;y est tourn\u00e9 pour distribuer la charge utile.&#8221;<\/p>\n<p>Dans un cas, le groupe de piratage a tent\u00e9 de frapper une entit\u00e9 russe de l&#8217;a\u00e9rospatiale et de la d\u00e9fense connue sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/www.uacrussia.ru\/en\/\" target=\"_blank\">CH\u00caNE<\/a> sur la base de preuves glan\u00e9es sur un faux domaine enregistr\u00e9 \u00e0 cet effet.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant Woody RAT\" border=\"0\" data-original-height=\"618\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1659643769_356_Le-nouveau-logiciel-malveillant-Woody-RAT-est-utilise-pour-cibler.jpg\" title=\"Logiciel malveillant Woody RAT\" \/><\/div>\n<p>Les attaques exploitant la faille Windows dans le cadre de cette campagne ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es pour la premi\u00e8re fois le 7 juin 2022, lorsque des chercheurs de MalwareHunterTeam <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1534184385313923072\" target=\"_blank\">divulgu\u00e9<\/a> l&#8217;utilisation d&#8217;un document nomm\u00e9 &#8220;\u041f\u0430\u043c\u044f\u0442\u043a\u0430.docx&#8221; (qui se traduit par &#8220;Memo.docx&#8221;) pour fournir une charge utile CSS contenant le cheval de Troie.<\/p>\n<p>Le document propose pr\u00e9tendument les meilleures pratiques de s\u00e9curit\u00e9 pour les mots de passe et les informations confidentielles, entre autres, tout en agissant comme un leurre pour laisser tomber la porte d\u00e9rob\u00e9e.<\/p>\n<p>En plus de crypter ses communications avec un serveur distant, Woody RAT est \u00e9quip\u00e9 de capacit\u00e9s pour \u00e9crire des fichiers arbitraires sur la machine, ex\u00e9cuter des logiciels malveillants suppl\u00e9mentaires, supprimer des fichiers, \u00e9num\u00e9rer des r\u00e9pertoires, capturer des captures d&#8217;\u00e9cran et rassembler une liste des processus en cours d&#8217;ex\u00e9cution.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Deux biblioth\u00e8ques bas\u00e9es sur .NET, nomm\u00e9es WoodySharpExecutor et WoodyPowerSession, peuvent \u00e9galement \u00eatre utilis\u00e9es pour ex\u00e9cuter le code .NET et les commandes PowerShell re\u00e7ues du serveur, respectivement.<\/p>\n<p>De plus, le logiciel malveillant utilise le <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\">technique de creusement de processus<\/a> pour s&#8217;injecter dans un processus Bloc-notes suspendu et se supprimer du disque pour \u00e9chapper \u00e0 la d\u00e9tection du logiciel de s\u00e9curit\u00e9 install\u00e9 sur l&#8217;h\u00f4te compromis.<\/p>\n<p>Malwarebytes n&#8217;a pas encore attribu\u00e9 les attaques \u00e0 un acteur mena\u00e7ant sp\u00e9cifique, citant un manque d&#8217;indicateurs solides reliant la campagne \u00e0 un groupe d\u00e9j\u00e0 connu, bien que des collectifs d&#8217;\u00c9tats-nations chinois et nord-cor\u00e9ens aient cibl\u00e9 la Russie dans le pass\u00e9.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/new-woody-rat-malware-being-used-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur malveillant inconnu cible des entit\u00e9s russes avec un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance r\u00e9cemment d\u00e9couvert appel\u00e9 RAT bois\u00e9 pendant au moins un an dans le cadre d&#8217;une campagne de harponnage. La porte d\u00e9rob\u00e9e personnalis\u00e9e avanc\u00e9e est cens\u00e9e \u00eatre livr\u00e9e via l&#8217;une des deux m\u00e9thodes suivantes\u00a0: les fichiers d&#8217;archive et les documents Microsoft [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":295941,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11338,4168,4158,4165,4161,40,4157,4159,4171,4170,65,6816,4167,7733,4160,680,4163,4162,12070,185,46743,248,4172,4169,1282,4166,4164,79494],"class_list":["post-295940","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-est","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-organisations","tag-pour","tag-rat","tag-russes","tag-securite-informatique","tag-securite-internet","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-woody"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/295940","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=295940"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/295940\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/295941"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=295940"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=295940"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=295940"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}