{"id":315632,"date":"2022-08-16T06:49:24","date_gmt":"2022-08-16T08:49:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-de-letat-russe-continuent-dattaquer-les-entites-ukrainiennes-avec-le-logiciel-malveillant-infostealer\/"},"modified":"2022-08-16T06:49:25","modified_gmt":"2022-08-16T08:49:25","slug":"les-pirates-de-letat-russe-continuent-dattaquer-les-entites-ukrainiennes-avec-le-logiciel-malveillant-infostealer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-de-letat-russe-continuent-dattaquer-les-entites-ukrainiennes-avec-le-logiciel-malveillant-infostealer\/","title":{"rendered":"Les pirates de l&#8217;\u00c9tat russe continuent d&#8217;attaquer les entit\u00e9s ukrainiennes avec le logiciel malveillant Infostealer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des acteurs parrain\u00e9s par l&#8217;\u00c9tat russe continuent de frapper des entit\u00e9s ukrainiennes avec des logiciels malveillants voleurs d&#8217;informations dans le cadre de ce qui est soup\u00e7onn\u00e9 d&#8217;\u00eatre une op\u00e9ration d&#8217;espionnage.<\/p>\n<p>Symantec, une division de Broadcom Software, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/russia-ukraine-shuckworm\" target=\"_blank\">attribu\u00e9<\/a> la campagne malveillante contre un acteur mena\u00e7ant a suivi Shuckworm, \u00e9galement connu sous le nom d&#8217;Actinium, Armageddon, Gamaredon, Primitive Bear et Trident Ursa.  Les d\u00e9couvertes ont \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/971405\" target=\"_blank\">corrobor\u00e9<\/a> par l&#8217;\u00e9quipe ukrainienne d&#8217;intervention en cas d&#8217;urgence informatique (CERT-UA).<\/p>\n<p>L&#8217;acteur mena\u00e7ant, actif depuis au moins 2013, est connu pour distinguer explicitement les entit\u00e9s publiques et priv\u00e9es en Ukraine.  Les attaques se sont depuis intensifi\u00e9es \u00e0 la suite de l&#8217;invasion militaire russe fin 2022.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La derni\u00e8re s\u00e9rie d&#8217;attaques aurait commenc\u00e9 le 15 juillet 2022 et se poursuivrait aussi r\u00e9cemment que le 8 ao\u00fbt, les cha\u00eenes d&#8217;infection tirant parti des e-mails de phishing d\u00e9guis\u00e9s en newsletters et ordres de combat, conduisant finalement au d\u00e9ploiement d&#8217;un malware voleur PowerShell appel\u00e9 GammaLoad. .PS1_v2.<\/p>\n<p>Deux portes d\u00e9rob\u00e9es nomm\u00e9es Giddome et Pterodo sont \u00e9galement livr\u00e9es aux machines compromises, qui sont toutes deux des outils de marque Shuckworm qui ont \u00e9t\u00e9 continuellement red\u00e9velopp\u00e9s par les attaquants dans le but de garder une longueur d&#8217;avance sur la d\u00e9tection.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant voleur d'informations\" border=\"0\" data-original-height=\"544\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660639763_550_Les-pirates-de-lEtat-russe-continuent-dattaquer-les-entites-ukrainiennes.jpg\" title=\"Logiciel malveillant voleur d'informations\" \/><\/div>\n<p>En son coeur, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/shuckworm-intense-campaign-ukraine\" target=\"_blank\">Pt\u00e9rodo<\/a> est un programme malveillant de compte-gouttes Visual Basic Script (VBS) capable d&#8217;ex\u00e9cuter des scripts PowerShell, d&#8217;utiliser des t\u00e2ches planifi\u00e9es (shtasks.exe) pour maintenir la persistance et de t\u00e9l\u00e9charger du code suppl\u00e9mentaire \u00e0 partir d&#8217;un serveur de commande et de contr\u00f4le.<\/p>\n<p>L&#8217;implant Giddome, d&#8217;autre part, offre plusieurs fonctionnalit\u00e9s, notamment l&#8217;enregistrement audio, la capture de captures d&#8217;\u00e9cran, l&#8217;enregistrement des frappes au clavier, ainsi que la r\u00e9cup\u00e9ration et l&#8217;ex\u00e9cution d&#8217;ex\u00e9cutables arbitraires sur les h\u00f4tes infect\u00e9s.<\/p>\n<p>Les intrusions, qui se produisent par le biais d&#8217;e-mails distribu\u00e9s \u00e0 partir de comptes compromis, exploitent davantage des logiciels l\u00e9gitimes comme Ammyy Admin et AnyDesk pour faciliter l&#8217;acc\u00e8s \u00e0 distance.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les d\u00e9couvertes surviennent alors que l&#8217;acteur de Gamaredon a \u00e9t\u00e9 li\u00e9 \u00e0 un <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/1229152\" target=\"_blank\">s\u00e9rie d&#8217;attaques d&#8217;ing\u00e9nierie sociale<\/a> visant \u00e0 lancer la cha\u00eene de livraison GammaLoad.PS1, permettant \u00e0 l&#8217;auteur de la menace de voler des fichiers et des informations d&#8217;identification stock\u00e9s dans les navigateurs Web.<\/p>\n<p>&#8220;Alors que l&#8217;invasion russe de l&#8217;Ukraine approche de la barre des six mois, l&#8217;attention de longue date de Shuckworm sur le pays semble se poursuivre sans rel\u00e2che&#8221;, a not\u00e9 Symantec.<\/p>\n<p>&#8220;Bien que Shuckworm ne soit pas n\u00e9cessairement le groupe d&#8217;espionnage le plus sophistiqu\u00e9 sur le plan tactique, il compense cela par sa concentration et sa persistance \u00e0 cibler sans rel\u00e2che les organisations ukrainiennes.&#8221;<\/p>\n<p>Les conclusions font suite \u00e0 une alerte du CERT-UA, qui <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/955924\" target=\"_blank\">mis en garde<\/a> d&#8217;attaques de phishing &#8220;syst\u00e9matiques, massives et g\u00e9ographiquement dispers\u00e9es&#8221; impliquant l&#8217;utilisation d&#8217;un t\u00e9l\u00e9chargeur .NET appel\u00e9 RelicRace pour ex\u00e9cuter des charges utiles telles que Formbook et Snake Keylogger.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/russian-state-hackers-continue-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des acteurs parrain\u00e9s par l&#8217;\u00c9tat russe continuent de frapper des entit\u00e9s ukrainiennes avec des logiciels malveillants voleurs d&#8217;informations dans le cadre de ce qui est soup\u00e7onn\u00e9 d&#8217;\u00eatre une op\u00e9ration d&#8217;espionnage. Symantec, une division de Broadcom Software, attribu\u00e9 la campagne malveillante contre un acteur mena\u00e7ant a suivi Shuckworm, \u00e9galement connu sous le nom d&#8217;Actinium, Armageddon, Gamaredon, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":315633,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,4168,6252,4158,4165,4161,21334,32776,42656,4157,4159,4171,4170,65,251,6816,4167,7733,98340,4163,4162,4394,236,4172,4169,3809,4166,4164],"class_list":["post-315632","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-comment-pirater","tag-continuent","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dattaquer","tag-entites","tag-infostealer","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-letat","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-russe","tag-securite-informatique","tag-securite-internet","tag-ukrainiennes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/315632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=315632"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/315632\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/315633"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=315632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=315632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=315632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}