{"id":388840,"date":"2022-09-29T11:34:31","date_gmt":"2022-09-29T13:34:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-une-campagne-dattaque-secrete-ciblant-des-sous-traitants-militaires\/"},"modified":"2022-09-29T11:34:33","modified_gmt":"2022-09-29T13:34:33","slug":"des-chercheurs-decouvrent-une-campagne-dattaque-secrete-ciblant-des-sous-traitants-militaires","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-une-campagne-dattaque-secrete-ciblant-des-sous-traitants-militaires\/","title":{"rendered":"Des chercheurs d\u00e9couvrent une campagne d&#8217;attaque secr\u00e8te ciblant des sous-traitants militaires"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une nouvelle campagne d&#8217;attaques secr\u00e8tes a cibl\u00e9 plusieurs entreprises militaires et sous-traitantes en armement avec des e-mails de harponnage pour d\u00e9clencher un processus d&#8217;infection en plusieurs \u00e9tapes con\u00e7u pour d\u00e9ployer une charge utile inconnue sur des machines compromises.<\/p>\n<p>Les intrusions tr\u00e8s cibl\u00e9es, surnomm\u00e9es <strong>STEEP#MAVERICK<\/strong> par Securonix, ciblait \u00e9galement un fournisseur strat\u00e9gique de l&#8217;avion de chasse F-35 Lightning II.<\/p>\n<p>&#8220;L&#8217;attaque a \u00e9t\u00e9 men\u00e9e \u00e0 partir de la fin de l&#8217;\u00e9t\u00e9 2022 en ciblant au moins deux entreprises sous-traitantes militaires de premier plan&#8221;, a d\u00e9clar\u00e9 Den Iuzvyk, Tim Peck et Oleg Kolesnikov. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors\/\" target=\"_blank\">a dit<\/a> dans une analyse.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les cha\u00eenes d&#8217;infection commencent par un e-mail de phishing avec une pi\u00e8ce jointe d&#8217;archive ZIP contenant un fichier de raccourci qui pr\u00e9tend \u00eatre un document PDF sur &#8220;Soci\u00e9t\u00e9 et avantages&#8221;, qui est ensuite utilis\u00e9 pour r\u00e9cup\u00e9rer un stager &#8211; un binaire initial qui est utilis\u00e9 pour t\u00e9l\u00e9charger le malware souhait\u00e9 &#8212; depuis un serveur distant.<\/p>\n<p>Ce stager PowerShell pr\u00e9pare le terrain pour une &#8220;cha\u00eene robuste de stagers&#8221; qui progresse \u00e0 travers sept \u00e9tapes suppl\u00e9mentaires, lorsque le script PowerShell final ex\u00e9cute une charge utile distante &#8220;header.png&#8221; h\u00e9berg\u00e9e sur un serveur nomm\u00e9 &#8220;terma[.]application.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Attaque de logiciels malveillants ciblant les sous-traitants militaires\" border=\"0\" data-original-height=\"438\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1664458471_474_Des-chercheurs-decouvrent-une-campagne-dattaque-secrete-ciblant-des-sous-traitants.jpg\" title=\"Attaque de logiciels malveillants ciblant les sous-traitants militaires\" \/><\/div>\n<p>&#8220;Bien que nous ayons pu t\u00e9l\u00e9charger et analyser le fichier header.png, nous n&#8217;avons pas pu le d\u00e9coder car nous pensons que la campagne est termin\u00e9e et notre th\u00e9orie est que le fichier a \u00e9t\u00e9 remplac\u00e9 afin d&#8217;emp\u00eacher une analyse plus approfondie&#8221;, ont expliqu\u00e9 les chercheurs.<\/p>\n<p>&#8220;Nos tentatives de d\u00e9codage de la charge utile ne produiraient que des donn\u00e9es inutiles.&#8221;<\/p>\n<p>Ce qui est remarquable dans le modus operandi, c&#8217;est l&#8217;incorporation d&#8217;un code obscurci con\u00e7u pour contrecarrer l&#8217;analyse, en plus de rechercher la pr\u00e9sence d&#8217;un logiciel de d\u00e9bogage et d&#8217;arr\u00eater l&#8217;ex\u00e9cution si la langue du syst\u00e8me est d\u00e9finie sur le chinois ou le russe.<\/p>\n<p>Le logiciel malveillant est \u00e9galement con\u00e7u pour v\u00e9rifier la quantit\u00e9 de m\u00e9moire physique et se terminer une fois de plus s&#8217;il est inf\u00e9rieur \u00e0 4 Go.  Est \u00e9galement inclus un <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/malware-evasion-techniques-part-2-anti-vm-blog\" target=\"_blank\">Ch\u00e8que<\/a> pour l&#8217;infrastructure de virtualisation afin de d\u00e9terminer si le logiciel malveillant est ex\u00e9cut\u00e9 dans un environnement d&#8217;analyse ou un bac \u00e0 sable.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Mais si ce test \u00e9choue, plut\u00f4t que de simplement quitter l&#8217;ex\u00e9cution, le logiciel malveillant d\u00e9sactive les adaptateurs r\u00e9seau du syst\u00e8me, reconfigure le pare-feu Windows pour bloquer tout le trafic entrant et sortant, supprime de mani\u00e8re r\u00e9cursive les donn\u00e9es de tous les lecteurs et \u00e9teint l&#8217;ordinateur.<\/p>\n<p>Si toutes ces v\u00e9rifications r\u00e9ussissent, le stager PowerShell proc\u00e8de \u00e0 la d\u00e9sactivation de la journalisation, ajoute des exclusions Windows Defender pour les fichiers LNK, RAR et EXE et \u00e9tablit la persistance via une t\u00e2che planifi\u00e9e ou des modifications du registre Windows.<\/p>\n<p>&#8220;Dans l&#8217;ensemble, il est clair que cette attaque \u00e9tait relativement sophistiqu\u00e9e, l&#8217;acteur de la menace malveillante accordant une attention particuli\u00e8re \u00e0 l&#8217;opsec&#8221;, ont not\u00e9 les chercheurs.  &#8220;Bien qu&#8217;il s&#8217;agisse d&#8217;une attaque tr\u00e8s cibl\u00e9e, les tactiques et techniques utilis\u00e9es sont bien connues et il est important de rester vigilant.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/researchers-uncover-covert-attack.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle campagne d&#8217;attaques secr\u00e8tes a cibl\u00e9 plusieurs entreprises militaires et sous-traitantes en armement avec des e-mails de harponnage pour d\u00e9clencher un processus d&#8217;infection en plusieurs \u00e9tapes con\u00e7u pour d\u00e9ployer une charge utile inconnue sur des machines compromises. Les intrusions tr\u00e8s cibl\u00e9es, surnomm\u00e9es STEEP#MAVERICK par Securonix, ciblait \u00e9galement un fournisseur strat\u00e9gique de l&#8217;avion de chasse [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":388841,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2930,12848,4175,4168,4158,4165,4161,14392,3073,133,4157,4159,4171,4170,4167,4621,4160,4163,4162,15113,4172,4169,7088,196,4166,4164],"class_list":["post-388840","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-campagne","tag-chercheurs","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dattaque","tag-decouvrent","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-militaires","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-secrete","tag-securite-informatique","tag-securite-internet","tag-soustraitants","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/388840","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=388840"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/388840\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/388841"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=388840"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=388840"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=388840"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}