{"id":343788,"date":"2022-09-01T17:13:23","date_gmt":"2022-09-01T19:13:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/infra-utilise-dans-cisco-hack-egalement-une-solution-de-gestion-de-la-main-doeuvre-ciblee\/"},"modified":"2022-09-01T17:13:25","modified_gmt":"2022-09-01T19:13:25","slug":"infra-utilise-dans-cisco-hack-egalement-une-solution-de-gestion-de-la-main-doeuvre-ciblee","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/infra-utilise-dans-cisco-hack-egalement-une-solution-de-gestion-de-la-main-doeuvre-ciblee\/","title":{"rendered":"Infra utilis\u00e9 dans Cisco Hack \u00e9galement une solution de gestion de la main-d&#8217;\u0153uvre cibl\u00e9e"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;infrastructure d&#8217;attaque utilis\u00e9e pour cibler Cisco lors de l&#8217;incident de mai 2022 a \u00e9galement \u00e9t\u00e9 utilis\u00e9e contre une tentative de compromission d&#8217;une soci\u00e9t\u00e9 holding anonyme de solutions de gestion des effectifs un mois plus t\u00f4t en avril 2022.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sentire, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/security-advisories\/hacker-infrastructure-used-in-cisco-breach-discovered-attacking-a-top-workforce-management-corporation-russias-evil-corp-gang-suspected-reports-esentire\" target=\"_blank\">divulgu\u00e9<\/a> les conclusions, ont soulev\u00e9 la possibilit\u00e9 que les intrusions puissent \u00eatre l&#8217;\u0153uvre d&#8217;un acteur criminel connu sous le nom de mx1r, qui serait membre du groupe affili\u00e9 Evil Corp surnomm\u00e9 UNC2165.<\/p>\n<p>Evil Corp, les anc\u00eatres du tristement c\u00e9l\u00e8bre cheval de Troie bancaire Dridex, ont, au fil des ans, affin\u00e9 leur modus operandi pour ex\u00e9cuter une s\u00e9rie d&#8217;op\u00e9rations de ransomware afin de contourner les sanctions impos\u00e9es par le Tr\u00e9sor am\u00e9ricain en d\u00e9cembre 2019.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;acc\u00e8s initial au r\u00e9seau informatique de l&#8217;entreprise a \u00e9t\u00e9 rendu possible gr\u00e2ce \u00e0 l&#8217;utilisation d&#8217;identifiants de r\u00e9seau priv\u00e9 virtuel (VPN) vol\u00e9s, puis \u00e0 l&#8217;utilisation d&#8217;outils pr\u00eats \u00e0 l&#8217;emploi pour le d\u00e9placement lat\u00e9ral et l&#8217;obtention d&#8217;un acc\u00e8s plus approfondi \u00e0 l&#8217;environnement de la victime.<\/p>\n<p>&#8220;Gr\u00e2ce \u00e0 Cobalt Strike, les attaquants ont pu prendre pied et les actions pratiques ont \u00e9t\u00e9 imm\u00e9diates et rapides \u00e0 partir du moment de l&#8217;acc\u00e8s initial jusqu&#8217;au moment o\u00f9 l&#8217;attaquant a pu enregistrer sa propre machine virtuelle sur le r\u00e9seau VPN de la victime&#8221;, eSentire c&#8217;est not\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Solution de gestion des effectifs\" border=\"0\" data-original-height=\"280\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662059603_330_Infra-utilise-dans-Cisco-Hack-egalement-une-solution-de-gestion.jpg\" title=\"Solution de gestion des effectifs\" \/><\/div>\n<p>Les liens de mx1r avec UNC2165 d\u00e9coulent de chevauchements de tactiques et de techniques avec ceux de UNC2165, y compris la mise en sc\u00e8ne d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/cybersecurity-101\/kerberoasting\/\" target=\"_blank\">Attaque Kerberoasting<\/a> contre le service Active Directory et l&#8217;utilisation de l&#8217;acc\u00e8s Remote Desktop Protocol (RDP) pour se propager au sein du r\u00e9seau de l&#8217;entreprise.<\/p>\n<p>Nonobstant les connexions, l&#8217;infrastructure Cobalt Strike &#8220;HiveStrike&#8221; utilis\u00e9e pour monter l&#8217;attaque correspondrait \u00e0 celle d&#8217;un affili\u00e9 Conti ransomware pr\u00e9c\u00e9demment connu pour d\u00e9ployer <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/conti-affiliate-exposed-new-domain-names-ip-addresses-and-email-addresses-uncovered-by-esentire\" target=\"_blank\">Ruche et Yanluowang<\/a> souches, ce dernier ayant depuis publi\u00e9 des fichiers vol\u00e9s lors de la br\u00e8che de Cisco fin mai 2022 sur son site de fuite de donn\u00e9es.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le fabricant d&#8217;\u00e9quipements r\u00e9seau a attribu\u00e9 l&#8217;incident \u00e0 un courtier d&#8217;acc\u00e8s initial (IAB) avec des liens vers trois collectifs diff\u00e9rents\u00a0: UNC2447, LAPSUS$ et <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/yanluowang-ransomware-attacks-continue\" target=\"_blank\">Ran\u00e7ongiciel Yanluowang<\/a>.<\/p>\n<p>&#8220;Il semble peu probable &#8211; mais pas impossible &#8211; que Conti pr\u00eate son infrastructure \u00e0 Evil Corp&#8221;, a d\u00e9clar\u00e9 eSentire.  \u00c0 la lumi\u00e8re du r\u00e9cent pivot d&#8217;UNC2165 vers le ran\u00e7ongiciel LockBit, la soci\u00e9t\u00e9 a d\u00e9clar\u00e9 &#8220;qu&#8217;il est plus plausible que la filiale d&#8217;Evil Corp\/UNC2165 puisse travailler avec l&#8217;une des nouvelles filiales de Conti&#8221;.<\/p>\n<p>&#8220;Il est \u00e9galement possible que l&#8217;acc\u00e8s initial ait \u00e9t\u00e9 n\u00e9goci\u00e9 par une filiale d&#8217;Evil Corp mais qu&#8217;il ait finalement \u00e9t\u00e9 vendu aux op\u00e9rateurs de Hive et \u00e0 ses filiales&#8221;, a-t-il ajout\u00e9.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/infra-used-in-cisco-hack-also-targeted.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;infrastructure d&#8217;attaque utilis\u00e9e pour cibler Cisco lors de l&#8217;incident de mai 2022 a \u00e9galement \u00e9t\u00e9 utilis\u00e9e contre une tentative de compromission d&#8217;une soci\u00e9t\u00e9 holding anonyme de solutions de gestion des effectifs un mois plus t\u00f4t en avril 2022. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sentire, qui divulgu\u00e9 les conclusions, ont soulev\u00e9 la possibilit\u00e9 que les intrusions puissent [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":343789,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[20947,5859,4168,4158,4165,4161,429,1909,8945,18630,71467,4157,4159,4171,4170,4167,27679,4160,4163,4162,4172,4169,7189,196,1282,4166,4164],"class_list":["post-343788","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblee","tag-cisco","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-egalement","tag-gestion","tag-hack","tag-infra","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-maindoeuvre","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-solution","tag-une","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/343788","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=343788"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/343788\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/343789"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=343788"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=343788"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=343788"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}