{"id":353254,"date":"2022-09-07T14:17:30","date_gmt":"2022-09-07T16:17:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/certains-membres-du-groupe-conti-ciblent-lukraine-dans-des-attaques-a-motivation-financiere\/"},"modified":"2022-09-07T14:17:31","modified_gmt":"2022-09-07T16:17:31","slug":"certains-membres-du-groupe-conti-ciblent-lukraine-dans-des-attaques-a-motivation-financiere","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/certains-membres-du-groupe-conti-ciblent-lukraine-dans-des-attaques-a-motivation-financiere\/","title":{"rendered":"Certains membres du groupe Conti ciblent l&#8217;Ukraine dans des attaques \u00e0 motivation financi\u00e8re"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>D&#8217;anciens membres du cartel de la cybercriminalit\u00e9 Conti ont \u00e9t\u00e9 impliqu\u00e9s dans cinq campagnes diff\u00e9rentes ciblant l&#8217;Ukraine d&#8217;avril \u00e0 ao\u00fbt 2022.<\/p>\n<p>Les conclusions, qui proviennent du Threat Analysis Group (TAG) de Google, s&#8217;appuient sur un rapport ant\u00e9rieur publi\u00e9 en juillet 2022, d\u00e9taillant la cyberactivit\u00e9 continue visant la nation d&#8217;Europe de l&#8217;Est au milieu de la guerre russo-ukrainienne en cours.<\/p>\n<p>&#8220;UAC-0098 est un acteur mena\u00e7ant qui a historiquement livr\u00e9 le cheval de Troie bancaire IcedID, conduisant \u00e0 des attaques de ran\u00e7ongiciels op\u00e9r\u00e9s par l&#8217;homme&#8221;, a d\u00e9clar\u00e9 Pierre-Marc Bureau, chercheur au TAG. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.google\/threat-analysis-group\/initial-access-broker-repurposing-techniques-in-targeted-attacks-against-ukraine\/\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;L&#8217;attaquant s&#8217;est r\u00e9cemment concentr\u00e9 sur les organisations ukrainiennes, le gouvernement ukrainien et les organisations humanitaires et \u00e0 but non lucratif europ\u00e9ennes.&#8221;<\/p>\n<p>On pense que l&#8217;UAC-0098 a fonctionn\u00e9 comme un courtier d&#8217;acc\u00e8s initial pour les groupes de ran\u00e7ongiciels tels que Quantum et Conti (alias FIN12, Gold Ulrick ou Wizard Spiker), dont le premier a \u00e9t\u00e9 repris par Conti en avril 2022.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Attaques \u00e0 motivation financi\u00e8re\" border=\"0\" data-original-height=\"699\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662567450_939_Certains-membres-du-groupe-Conti-ciblent-lUkraine-dans-des-attaques.jpg\" title=\"Attaques \u00e0 motivation financi\u00e8re\" \/><\/div>\n<p>L&#8217;une des principales campagnes entreprises par le groupe en juin 2022 impliquait l&#8217;abus de la vuln\u00e9rabilit\u00e9 Follina (CVE-2022-30190) dans le syst\u00e8me d&#8217;exploitation Windows pour d\u00e9ployer CrescentImp et Cobalt Strike Beacons sur des h\u00f4tes cibl\u00e9s dans les m\u00e9dias et les infrastructures critiques.<\/p>\n<p>Mais cela semble faire partie d&#8217;une s\u00e9rie d&#8217;attaques qui ont commenc\u00e9 fin avril 2022, lorsque le groupe a men\u00e9 une campagne de phishing par e-mail pour fournir AnchorMail (alias LackeyBuilder), une variante de l&#8217;implant AnchorDNS du groupe TrickBot qui utilise SMTP pour la commande. -et-contr\u00f4le.<\/p>\n<p>Des campagnes de phishing ult\u00e9rieures distribuant IcedID et Cobalt Strike ont \u00e9t\u00e9 dirig\u00e9es contre des organisations ukrainiennes, frappant \u00e0 plusieurs reprises le secteur de l&#8217;h\u00f4tellerie, dont certaines se sont fait passer pour la National Cyber \u200b\u200bPolice d&#8217;Ukraine ou des repr\u00e9sentants d&#8217;Elon Musk et de StarLink.<\/p>\n<p>Vers la mi-mai, l&#8217;UAC-0098 aurait \u00e9galement exploit\u00e9 le compte compromis d&#8217;un h\u00f4tel en Inde pour envoyer des pi\u00e8ces jointes contenant des logiciels malveillants \u00e0 des organisations travaillant dans l&#8217;industrie h\u00f4teli\u00e8re en Ukraine, avant de s&#8217;\u00e9tendre aux ONG humanitaires en Italie.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Des attaques similaires ont \u00e9galement \u00e9t\u00e9 observ\u00e9es contre des entit\u00e9s des secteurs de la technologie, de la vente au d\u00e9tail et du gouvernement, le binaire IcedID \u00e9tant dissimul\u00e9 en tant que mise \u00e0 jour Microsoft pour d\u00e9clencher l&#8217;infection.  Les \u00e9tapes de post-exploitation r\u00e9alis\u00e9es suite \u00e0 une compromission r\u00e9ussie n&#8217;ont pas \u00e9t\u00e9 identifi\u00e9es.<\/p>\n<p>UAC-0098 est loin d&#8217;\u00eatre le seul groupe de piratage affili\u00e9 \u00e0 Conti \u00e0 avoir jet\u00e9 son d\u00e9volu sur l&#8217;Ukraine depuis le d\u00e9but de la guerre.  En juillet 2022, IBM Security X-Force a r\u00e9v\u00e9l\u00e9 que le gang TrickBot avait orchestr\u00e9 six campagnes diff\u00e9rentes pour cibler syst\u00e9matiquement le pays avec une pl\u00e9thore de logiciels malveillants.<\/p>\n<p>&#8220;Les activit\u00e9s de l&#8217;UAC-0098 sont des exemples repr\u00e9sentatifs de lignes floues entre des groupes motiv\u00e9s financi\u00e8rement et soutenus par le gouvernement en Europe de l&#8217;Est, illustrant une tendance des acteurs de la menace \u00e0 modifier leur ciblage pour s&#8217;aligner sur les int\u00e9r\u00eats g\u00e9opolitiques r\u00e9gionaux&#8221;, a d\u00e9clar\u00e9 Bureau.<\/p>\n<p>&#8220;Le groupe d\u00e9montre un vif int\u00e9r\u00eat \u00e0 violer les entreprises op\u00e9rant dans l&#8217;industrie h\u00f4teli\u00e8re en Ukraine, allant jusqu&#8217;\u00e0 lancer plusieurs campagnes distinctes contre les m\u00eames cha\u00eenes h\u00f4teli\u00e8res.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/some-members-of-conti-group-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>D&#8217;anciens membres du cartel de la cybercriminalit\u00e9 Conti ont \u00e9t\u00e9 impliqu\u00e9s dans cinq campagnes diff\u00e9rentes ciblant l&#8217;Ukraine d&#8217;avril \u00e0 ao\u00fbt 2022. Les conclusions, qui proviennent du Threat Analysis Group (TAG) de Google, s&#8217;appuient sur un rapport ant\u00e9rieur publi\u00e9 en juillet 2022, d\u00e9taillant la cyberactivit\u00e9 continue visant la nation d&#8217;Europe de l&#8217;Est au milieu de la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":353255,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,5935,5863,4168,4670,4158,4165,4161,429,133,3493,681,4157,4159,4171,4170,4167,770,7072,4160,13275,4163,4162,4172,4169,4166,4164],"class_list":["post-353254","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-certains","tag-ciblent","tag-comment-pirater","tag-conti","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-financiere","tag-groupe","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-lukraine","tag-membres","tag-mises-a-jour-de-la-cybersecurite","tag-motivation","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/353254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=353254"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/353254\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/353255"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=353254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=353254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=353254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}