{"id":351381,"date":"2022-09-06T12:38:23","date_gmt":"2022-09-06T14:38:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-ta505-utilisent-le-panneau-teslagun-pour-gerer-les-attaques-de-porte-derobee-de-servhelper\/"},"modified":"2022-09-06T12:38:24","modified_gmt":"2022-09-06T14:38:24","slug":"les-pirates-informatiques-ta505-utilisent-le-panneau-teslagun-pour-gerer-les-attaques-de-porte-derobee-de-servhelper","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-ta505-utilisent-le-panneau-teslagun-pour-gerer-les-attaques-de-porte-derobee-de-servhelper\/","title":{"rendered":"Les pirates informatiques TA505 utilisent le panneau TeslaGun pour g\u00e9rer les attaques de porte d\u00e9rob\u00e9e de ServHelper"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont offert un aper\u00e7u d&#8217;un panneau de contr\u00f4le logiciel auparavant non document\u00e9 utilis\u00e9 par un groupe de menaces \u00e0 motivation financi\u00e8re connu sous le nom de TA505.<\/p>\n<p>&#8220;Le groupe modifie fr\u00e9quemment ses strat\u00e9gies d&#8217;attaque de logiciels malveillants en r\u00e9ponse aux tendances mondiales de la cybercriminalit\u00e9&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9 PRODAFT. <a rel=\"nofollow noopener\" href=\"https:\/\/www.prodaft.com\/resource\/detail\/ta505-ta505-groups-tesla-gun-depth-analysis\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.  &#8220;Il adopte de mani\u00e8re opportuniste de nouvelles technologies afin d&#8217;avoir un effet de levier sur les victimes avant que l&#8217;industrie de la cybers\u00e9curit\u00e9 au sens large ne se propage.&#8221;<\/p>\n<p>\u00c9galement suivi sous les noms Evil Corp, Gold Drake, Dudear, Indrik Spider et SectorJ04, TA505 est un agressif <a rel=\"nofollow noopener\" href=\"https:\/\/www.truesec.com\/hub\/blog\/are-the-notorious-cyber-criminals-evil-corp-actually-russian-spies\" target=\"_blank\">Syndicat russe de la cybercriminalit\u00e9<\/a> derri\u00e8re le tristement c\u00e9l\u00e8bre cheval de Troie bancaire Dridex et qui a \u00e9t\u00e9 li\u00e9 \u00e0 un certain nombre de campagnes de ran\u00e7ongiciels ces derni\u00e8res ann\u00e9es. <\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>On dit \u00e9galement qu&#8217;il est li\u00e9 aux attaques de Raspberry Robin qui ont \u00e9merg\u00e9 en septembre 2021, avec des similitudes d\u00e9couvertes entre le malware et Dridex.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Pirates TA505\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662475103_232_Les-pirates-informatiques-TA505-utilisent-le-panneau-TeslaGun-pour-gerer.jpg\" title=\"Pirates TA505\" \/><\/div>\n<p>Parmi les autres familles de logiciels malveillants notables associ\u00e9es au groupe, citons <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.flawedammyy\" target=\"_blank\">D\u00e9fautAmmyy<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.ptsecurity.com\/ww-en\/analytics\/pt-esc-threat-intelligence\/operation-ta505\/\" target=\"_blank\">Botnet neutrino<\/a>et une porte d\u00e9rob\u00e9e portant le nom de code <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/2021\/08\/raccoon-and-amadey-install-servhelper.html\" target=\"_blank\">ServHelper<\/a>dont une variante est capable de t\u00e9l\u00e9charger un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 FlawedGrace.<\/p>\n<p>Le panneau de contr\u00f4le, appel\u00e9 TeslaGun, serait utilis\u00e9 par l&#8217;adversaire pour g\u00e9rer l&#8217;implant ServHelper, fonctionnant comme un cadre de commande et de contr\u00f4le (C2) pour r\u00e9quisitionner les machines compromises.<\/p>\n<p>De plus, le panneau offre la possibilit\u00e9 aux attaquants d&#8217;\u00e9mettre des commandes, sans parler d&#8217;envoyer une seule commande \u00e0 tous les appareils victimes en cours ou de configurer le panneau de sorte qu&#8217;une commande pr\u00e9d\u00e9finie soit automatiquement ex\u00e9cut\u00e9e lorsqu&#8217;une nouvelle victime est ajout\u00e9e au panneau.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Pirates TA505\" border=\"0\" data-original-height=\"552\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662475103_771_Les-pirates-informatiques-TA505-utilisent-le-panneau-TeslaGun-pour-gerer.jpg\" title=\"Pirates TA505\" \/><\/div>\n<p>&#8220;Le panneau TeslaGun a une conception pragmatique et minimaliste. Le tableau de bord principal ne contient que les donn\u00e9es des victimes infect\u00e9es, une section de commentaires g\u00e9n\u00e9riques pour chaque victime et plusieurs options pour filtrer les enregistrements des victimes&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>En plus d&#8217;utiliser le panneau, les acteurs de la menace sont \u00e9galement connus pour utiliser un outil de protocole de bureau \u00e0 distance (RDP) pour se connecter manuellement aux syst\u00e8mes cibl\u00e9s via <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/bypassing-network-restrictions-through-rdp-tunneling\" target=\"_blank\">Tunnels RDP<\/a>.<\/p>\n<p>L&#8217;analyse par PRODAFT des donn\u00e9es sur les victimes de TeslaGun montre que les campagnes de phishing et cibl\u00e9es du groupe ont touch\u00e9 au moins 8 160 cibles depuis juillet 2020. Une majorit\u00e9 de ces victimes se trouvent aux \u00c9tats-Unis (3 667), suivis de la Russie (647), du Br\u00e9sil (483), Roumanie (444) et Royaume-Uni (359).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Il est clair que TA505 recherche activement des utilisateurs de services bancaires ou de vente au d\u00e9tail en ligne, y compris des portefeuilles cryptographiques et des comptes de commerce \u00e9lectronique&#8221;, ont not\u00e9 les chercheurs, citant les commentaires du groupe contradictoire du panel TeslaGun.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Pirates TA505\" border=\"0\" data-original-height=\"426\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662475103_902_Les-pirates-informatiques-TA505-utilisent-le-panneau-TeslaGun-pour-gerer.jpg\" title=\"Pirates TA505\" \/><\/div>\n<p>Les conclusions interviennent \u00e9galement alors que le d\u00e9partement am\u00e9ricain de la Sant\u00e9 et des Services sociaux (HHS) a mis en garde contre les menaces importantes pos\u00e9es par le groupe au secteur de la sant\u00e9 via des attaques d&#8217;exfiltration de donn\u00e9es qui visent \u00e0 voler la propri\u00e9t\u00e9 intellectuelle et les op\u00e9rations de ransomware.<\/p>\n<p>&#8220;Evil Corp dispose d&#8217;un large \u00e9ventail d&#8217;outils hautement performants&#8221;, a d\u00e9clar\u00e9 le Centre de coordination de la cybers\u00e9curit\u00e9 du secteur de la sant\u00e9 (HC3) de l&#8217;agence. <a rel=\"nofollow noopener\" href=\"https:\/\/www.hhs.gov\/about\/agencies\/asa\/ocio\/hc3\/products\/index.html\" target=\"_blank\">a dit<\/a> dans un avis publi\u00e9 \u00e0 la fin du mois dernier.<\/p>\n<p>&#8220;Ceux-ci sont d\u00e9velopp\u00e9s et maintenus en interne, mais sont souvent utilis\u00e9s en conjonction avec des logiciels malveillants de base, des techniques de vie hors du terrain et des outils de s\u00e9curit\u00e9 courants qui ont \u00e9t\u00e9 con\u00e7us pour des \u00e9valuations de s\u00e9curit\u00e9 l\u00e9gitimes et l\u00e9gales.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/ta505-hackers-using-teslagun-panel-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont offert un aper\u00e7u d&#8217;un panneau de contr\u00f4le logiciel auparavant non document\u00e9 utilis\u00e9 par un groupe de menaces \u00e0 motivation financi\u00e8re connu sous le nom de TA505. &#8220;Le groupe modifie fr\u00e9quemment ses strat\u00e9gies d&#8217;attaque de logiciels malveillants en r\u00e9ponse aux tendances mondiales de la cybercriminalit\u00e9&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 suisse de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":351382,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,4168,4158,4165,4161,7084,14430,8154,4157,4159,4171,4170,65,4167,4160,4163,4162,15055,4394,2742,185,4172,4169,106645,106643,106644,10784,4166,4164],"class_list":["post-351381","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-gerer","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-panneau","tag-pirates","tag-porte","tag-pour","tag-securite-informatique","tag-securite-internet","tag-servhelper","tag-ta505","tag-teslagun","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/351381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=351381"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/351381\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/351382"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=351381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=351381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=351381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}