Une \u00e9quipe de ransomware russophone a probablement cibl\u00e9 une entit\u00e9 anonyme dans le secteur des jeux de hasard et d’argent en Europe et en Am\u00e9rique centrale en r\u00e9affectant des outils personnalis\u00e9s d\u00e9velopp\u00e9s par d’autres groupes APT comme MuddyWater en Iran, selon une nouvelle \u00e9tude.<\/p>\n
La cha\u00eene d’attaque inhabituelle impliquait l’abus d’informations d’identification vol\u00e9es pour obtenir un acc\u00e8s non autoris\u00e9 au r\u00e9seau de la victime, conduisant finalement au d\u00e9ploiement de charges utiles Cobalt Strike sur des actifs compromis, mentionn\u00e9<\/a> Felipe Duarte et Ido Naor, chercheurs de la soci\u00e9t\u00e9 isra\u00e9lienne de r\u00e9ponse aux incidents Security Joes, dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n Bien que l’infection ait \u00e9t\u00e9 contenue \u00e0 ce stade, les chercheurs ont qualifi\u00e9 la compromission de cas d’attaque suspect\u00e9e par un ransomware.<\/p>\n L’intrusion aurait eu lieu en f\u00e9vrier 2022, les attaquants utilisant des outils de post-exploitation tels que ADFid<\/a>NetScan, SoftPerfect<\/a>et LaZagne<\/a>. Un ex\u00e9cutable AccountRestore est \u00e9galement utilis\u00e9 pour forcer les informations d’identification de l’administrateur et une version fourchue d’un outil de tunnellisation invers\u00e9e appel\u00e9 Ligolo.<\/p>\n Appel\u00e9e Sockbot, la variante modifi\u00e9e est un binaire Golang con\u00e7u pour exposer les actifs internes d’un r\u00e9seau compromis \u00e0 Internet de mani\u00e8re furtive et s\u00e9curis\u00e9e. Les modifications apport\u00e9es au malware suppriment la n\u00e9cessit\u00e9 d’utiliser des param\u00e8tres de ligne de commande et incluent plusieurs contr\u00f4les d’ex\u00e9cution pour \u00e9viter d’ex\u00e9cuter plusieurs instances.<\/p>\n \u00c9tant donn\u00e9 que Ligolo est un outil principal de choix pour le groupe d’\u00c9tat-nation iranien MuddyWater, l’utilisation d’une fourchette Ligolo a soulev\u00e9 la possibilit\u00e9 que les attaquants prennent des outils utilis\u00e9s par d’autres groupes et incorporent leurs propres signatures dans une tentative probable de confondre l’attribution. .<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Les-logiciels-malveillants-piratant-les-medias-sociaux-se-propagent-via.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647287555_977_Russian-Ransomware-Gang-Retool-Outils-de-piratage-personnalises-dautres-groupes.jpeg\")
<\/div>\n
![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n