{"id":33122,"date":"2022-03-14T07:30:58","date_gmt":"2022-03-14T09:30:58","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-de-nouvelles-preuves-reliant-les-logiciels-malveillants-kwampirs-aux-pirates-apt-shamoon\/"},"modified":"2022-03-14T07:31:09","modified_gmt":"2022-03-14T09:31:09","slug":"des-chercheurs-decouvrent-de-nouvelles-preuves-reliant-les-logiciels-malveillants-kwampirs-aux-pirates-apt-shamoon","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-de-nouvelles-preuves-reliant-les-logiciels-malveillants-kwampirs-aux-pirates-apt-shamoon\/","title":{"rendered":"Des chercheurs d\u00e9couvrent de nouvelles preuves reliant les logiciels malveillants Kwampirs aux pirates APT Shamoon"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

De nouvelles d\u00e9couvertes publi\u00e9es la semaine derni\u00e8re montrent le code source et les techniques qui se chevauchent entre les op\u00e9rateurs de Shamoon<\/a> et Kwampirs<\/a>indiquant qu’ils “sont le m\u00eame groupe ou des collaborateurs tr\u00e8s proches”.<\/p>\n

“Les preuves de la recherche montrent l’identification de la co-\u00e9volution entre les familles de logiciels malveillants Shamoon et Kwampirs au cours de la chronologie connue”, Pablo Rinc\u00f3n Crespo de Cylera Labs mentionn\u00e9<\/a>.<\/p>\n

“Si Kwampirs est bas\u00e9 sur le Shamoon original, et que le code de campagne Shamoon 2 et 3 est bas\u00e9 sur Kwampirs, [\u2026] alors les auteurs de Kwampirs seraient potentiellement les m\u00eames que les auteurs de Shamoon, ou doivent avoir une relation tr\u00e8s forte, comme on l’a vu au cours de nombreuses ann\u00e9es \u00bb, a ajout\u00e9 Rinc\u00f3n Crespo.<\/p>\n

Shamoon, \u00e9galement connu sous le nom de DistTrack, fonctionne comme un logiciel malveillant de vol d’informations qui int\u00e8gre \u00e9galement un composant destructeur qui lui permet d’\u00e9craser le Master Boot Record (MBR) avec des donn\u00e9es arbitraires afin de rendre la machine infect\u00e9e inutilisable.<\/p>\n

\"Sauvegardes<\/a><\/div>\n

Le malware, d\u00e9velopp\u00e9 par l’\u00e9quipe de piratage \u00e9ponyme \u00e9galement suivi comme Magic Hound, Timberworm, COBALT GIPSY, a \u00e9t\u00e9 d’abord document\u00e9<\/a> par Symantec, propri\u00e9t\u00e9 de Broadcom, en ao\u00fbt 2012. Au moins deux versions mises \u00e0 jour de Shamoon sont apparues depuis, Shamoon 2 en 2016 et Shamoon 3 en 2018.<\/p>\n

En juillet 2021, le gouvernement am\u00e9ricain attribu\u00e9<\/a> Shamoon comme l’\u0153uvre de Acteurs parrain\u00e9s par l’\u00c9tat iranien<\/a>le liant \u00e0 des cyber-offensives ciblant les syst\u00e8mes de contr\u00f4le industriels.<\/p>\n

D’autre part, l’activit\u00e9 d’attaque impliquant le Porte d\u00e9rob\u00e9e des Kwampirs<\/a> a \u00e9t\u00e9 connect\u00e9 \u00e0 un groupe de menaces connu sous le nom d’Orangeworm, Symantec ayant divulgu\u00e9 une campagne d’intrusion visant des entit\u00e9s du secteur de la sant\u00e9 aux \u00c9tats-Unis, en Europe et en Asie.<\/p>\n\n\n\n\n
\"Hackers<\/td>\n<\/tr>\n
“Kwampirs New Campaign Building Process” expliqu\u00e9 par Cylera<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

“Identifi\u00e9 pour la premi\u00e8re fois en janvier 2015, Orangeworm a \u00e9galement men\u00e9 des attaques cibl\u00e9es contre des organisations d’industries connexes dans le cadre d’une attaque plus large de la cha\u00eene d’approvisionnement afin d’atteindre leurs victimes”, a d\u00e9clar\u00e9 Symantec. mentionn\u00e9<\/a> dans une analyse en avril 2018.<\/p>\n

La d\u00e9couverte de la connexion par Cylera Labs d\u00e9coule d’artefacts de logiciels malveillants et de composants auparavant inaper\u00e7us, dont l’un serait une version interm\u00e9diaire “tremplin”. C’est un compte-gouttes Shamoon mais sans la fonction d’essuie-glace, tout en r\u00e9utilisant simultan\u00e9ment le m\u00eame code de chargeur que Kwampirs.<\/p>\n

\"Emp\u00eacher<\/a><\/div>\n

De plus, des similitudes au niveau du code ont \u00e9t\u00e9 d\u00e9couvertes entre Kwampirs et les versions ult\u00e9rieures de Shamoon. Cela inclut la fonctionnalit\u00e9 pour r\u00e9cup\u00e9rer les m\u00e9tadonn\u00e9es du syst\u00e8me, r\u00e9cup\u00e9rer l’adresse MAC et les informations de disposition du clavier de la victime ainsi que l’utilisation de la m\u00eame InternetOuvertW<\/a> API Windows pour cr\u00e9er des requ\u00eates HTTP au serveur de commande et de contr\u00f4le (C2).<\/p>\n\n\n\n\n
\"Hackers<\/td>\n<\/tr>\n
“Processus de cr\u00e9ation de nouvelles campagnes pour Shamoon 2” expliqu\u00e9 par Cylera<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Un syst\u00e8me de mod\u00e8le commun est \u00e9galement utilis\u00e9 pour cr\u00e9er le module de reporter qui h\u00e9berge les capacit\u00e9s de t\u00e9l\u00e9chargement des informations sur l’h\u00f4te et de t\u00e9l\u00e9chargement de charges utiles suppl\u00e9mentaires \u00e0 ex\u00e9cuter \u00e0 partir de leurs serveurs C2, une fonctionnalit\u00e9 qui manquait dans la premi\u00e8re version de Shamoon.<\/p>\n

En reliant les points disparates, l’enqu\u00eate a conduit \u00e0 l’\u00e9valuation que Kwampirs est probablement bas\u00e9 sur Shamoon 1 et que Shamoon 2 a h\u00e9rit\u00e9 une partie de son code de Kwampirs, ce qui implique que les op\u00e9rateurs des deux logiciels malveillants sont diff\u00e9rents sous-groupes d’un parapluie plus large. groupes ou que c’est le travail d’un seul acteur.<\/p>\n

\"Hackers<\/div>\n

Une telle revendication n’est pas sans pr\u00e9c\u00e9dent. Pas plus tard que la semaine derni\u00e8re, Cisco Talos a d\u00e9taill\u00e9 les TTP d’un autre acteur iranien appel\u00e9 MuddyWater, notant que l’acteur de l’\u00c9tat-nation est un “conglom\u00e9rat” de plusieurs \u00e9quipes op\u00e9rant ind\u00e9pendamment plut\u00f4t qu’un seul groupe d’acteurs mena\u00e7ants.<\/p>\n

“Ces conclusions, si elles sont effectivement correctes, red\u00e9finiraient les Kwampirs comme une attaque \u00e0 grande \u00e9chelle et pluriannuelle contre les cha\u00eenes d’approvisionnement mondiales en soins de sant\u00e9 men\u00e9e par un acteur \u00e9tatique \u00e9tranger”, ont conclu les chercheurs.<\/p>\n

“Les donn\u00e9es recueillies et les syst\u00e8mes accessibles dans ces campagnes ont un large \u00e9ventail d’utilisations potentielles, y compris le vol de propri\u00e9t\u00e9 intellectuelle, la collecte de dossiers m\u00e9dicaux de cibles telles que des dissidents ou des chefs militaires, ou la reconnaissance pour aider \u00e0 la planification de futures attaques destructrices.”<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

De nouvelles d\u00e9couvertes publi\u00e9es la semaine derni\u00e8re montrent le code source et les techniques qui se chevauchent entre les op\u00e9rateurs de Shamoon et Kwampirsindiquant qu’ils “sont le m\u00eame groupe ou des collaborateurs tr\u00e8s proches”. “Les preuves de la recherche montrent l’identification de la co-\u00e9volution entre les familles de logiciels malveillants Shamoon et Kwampirs au cours […]<\/p>\n","protected":false},"author":1,"featured_media":33123,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,507,12848,4168,4158,4165,4161,3073,133,26722,4157,4159,4171,4170,65,4167,4589,4590,4160,120,4163,4162,4394,4001,26721,4172,4169,26724,4166,4164],"class_list":["post-33122","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-aux","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrent","tag-des","tag-kwampirs","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-preuves","tag-reliant","tag-securite-informatique","tag-securite-internet","tag-shamoon","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/33122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=33122"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/33122\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/33123"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=33122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=33122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=33122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}