{"id":319771,"date":"2022-08-18T12:47:23","date_gmt":"2022-08-18T14:47:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-bumblebee-loader-pour-compromettre-les-services-active-directory\/"},"modified":"2022-08-18T12:47:24","modified_gmt":"2022-08-18T14:47:24","slug":"les-pirates-utilisent-bumblebee-loader-pour-compromettre-les-services-active-directory","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-bumblebee-loader-pour-compromettre-les-services-active-directory\/","title":{"rendered":"Les pirates utilisent Bumblebee Loader pour compromettre les services Active Directory"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le chargeur de logiciels malveillants connu sous le nom de Bumblebee est de plus en plus coopt\u00e9 par les acteurs de la menace associ\u00e9s \u00e0 BazarLoader, TrickBot et IcedID dans leurs campagnes visant \u00e0 violer les r\u00e9seaux cibles pour les activit\u00e9s de post-exploitation.<\/p>\n<p>&#8220;Les op\u00e9rateurs de Bumblebee m\u00e8nent des activit\u00e9s de reconnaissance intensives et redirigent la sortie des commandes ex\u00e9cut\u00e9es vers des fichiers pour exfiltration&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Cybereason, Meroujan Antonyan et Alon Laufer. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/threat-analysis-report-bumblebee-loader-the-high-road-to-enterprise-domain-control\" target=\"_blank\">a dit<\/a> dans une r\u00e9daction technique.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Bumblebee est apparu pour la premi\u00e8re fois en mars 2022 lorsque le Threat Analysis Group (TAG) de Google a d\u00e9masqu\u00e9 les activit\u00e9s d&#8217;un premier courtier d&#8217;acc\u00e8s surnomm\u00e9 Exotic Lily, li\u00e9 au TrickBot et aux plus grands collectifs Conti.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Chargeur de logiciels malveillants Bumblebee\" border=\"0\" data-original-height=\"293\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660834043_171_Les-pirates-utilisent-Bumblebee-Loader-pour-compromettre-les-services-Active.jpg\" title=\"Chargeur de logiciels malveillants Bumblebee\" \/><\/div>\n<p>G\u00e9n\u00e9ralement fourni via un acc\u00e8s initial acquis via des campagnes de harponnage, le mode op\u00e9ratoire a depuis \u00e9t\u00e9 modifi\u00e9 en \u00e9vitant les documents contenant des macros au profit des fichiers ISO et LNK, principalement en r\u00e9ponse \u00e0 la d\u00e9cision de Microsoft de bloquer les macros par d\u00e9faut.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Chargeur de logiciels malveillants Bumblebee\" border=\"0\" data-original-height=\"357\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660834043_410_Les-pirates-utilisent-Bumblebee-Loader-pour-compromettre-les-services-Active.jpg\" title=\"Chargeur de logiciels malveillants Bumblebee\" \/><\/div>\n<p>&#8220;La distribution du malware se fait par des e-mails de phishing avec une pi\u00e8ce jointe ou un lien vers une archive malveillante contenant Bumblebee&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;L&#8217;ex\u00e9cution initiale repose sur l&#8217;ex\u00e9cution de l&#8217;utilisateur final qui doit extraire l&#8217;archive, monter un fichier image ISO et cliquer sur un fichier de raccourci Windows (LNK).&#8221;<\/p>\n<p>Le fichier LNK, pour sa part, contient la commande pour lancer le chargeur Bumblebee, qui est ensuite utilis\u00e9 comme conduit pour les actions de l&#8217;\u00e9tape suivante telles que la persistance, l&#8217;\u00e9l\u00e9vation des privil\u00e8ges, la reconnaissance et le vol d&#8217;informations d&#8217;identification.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660741232_673_La-nouvelle-vulnerabilite-Zero-Day-de-Google-Chrome-est-exploitee-a.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le cadre de simulation d&#8217;adversaire Cobalt Strike est \u00e9galement utilis\u00e9 lors de l&#8217;attaque lors de l&#8217;obtention de privil\u00e8ges \u00e9lev\u00e9s sur les terminaux infect\u00e9s, permettant \u00e0 l&#8217;acteur de la menace de se d\u00e9placer lat\u00e9ralement sur le r\u00e9seau.  La persistance est obtenue en d\u00e9ployant le logiciel de bureau \u00e0 distance AnyDesk.<\/p>\n<p>Dans l&#8217;incident analys\u00e9 par Cybereason, les informations d&#8217;identification vol\u00e9es d&#8217;un utilisateur hautement privil\u00e9gi\u00e9 ont ensuite \u00e9t\u00e9 utilis\u00e9es pour prendre le contr\u00f4le du <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/identity\/ad-ds\/get-started\/virtual-dc\/active-directory-domain-services-overview\" target=\"_blank\">Active Directory<\/a>sans oublier de cr\u00e9er un compte utilisateur local pour l&#8217;exfiltration de donn\u00e9es.<\/p>\n<p>&#8220;Le temps qu&#8217;il a fallu entre l&#8217;acc\u00e8s initial et la compromission d&#8217;Active Directory \u00e9tait de moins de deux jours&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.  &#8220;Les attaques impliquant Bumblebee doivent \u00eatre trait\u00e9es comme critiques, [&#8230;] et ce chargeur est connu pour la livraison de ransomwares.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/hackers-using-bumblebee-loader-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le chargeur de logiciels malveillants connu sous le nom de Bumblebee est de plus en plus coopt\u00e9 par les acteurs de la menace associ\u00e9s \u00e0 BazarLoader, TrickBot et IcedID dans leurs campagnes visant \u00e0 violer les r\u00e9seaux cibles pour les activit\u00e9s de post-exploitation. &#8220;Les op\u00e9rateurs de Bumblebee m\u00e8nent des activit\u00e9s de reconnaissance intensives et redirigent [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":319772,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[9261,57278,4168,76338,4158,4165,4161,70523,4157,4159,4171,4170,65,38953,4167,4160,4163,4162,4394,185,4172,4169,3831,10784,4166,4164],"class_list":["post-319771","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-active","tag-bumblebee","tag-comment-pirater","tag-compromettre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-directory","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-loader","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-services","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/319771","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=319771"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/319771\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/319772"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=319771"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=319771"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=319771"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}