{"id":40543,"date":"2022-03-18T06:31:53","date_gmt":"2022-03-18T08:31:53","guid":{"rendered":"https:\/\/teknomers.com\/fr\/google-decouvre-un-courtier-dacces-initial-travaillant-avec-conti-ransomware-gang\/"},"modified":"2022-03-18T06:31:59","modified_gmt":"2022-03-18T08:31:59","slug":"google-decouvre-un-courtier-dacces-initial-travaillant-avec-conti-ransomware-gang","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/google-decouvre-un-courtier-dacces-initial-travaillant-avec-conti-ransomware-gang\/","title":{"rendered":"Google d\u00e9couvre un “courtier d’acc\u00e8s initial” travaillant avec Conti Ransomware Gang"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Le Threat Analysis Group (TAG) de Google a d\u00e9voil\u00e9 un nouveau courtier d’acc\u00e8s initial qui, selon lui, est \u00e9troitement affili\u00e9 \u00e0 un gang russe de cybercriminalit\u00e9 connu pour ses op\u00e9rations de ransomware Conti et Diavol.<\/p>\n

Surnomm\u00e9 Exotic Lily, l’acteur mena\u00e7ant \u00e0 motivation financi\u00e8re a \u00e9t\u00e9 observ\u00e9 en train d’exploiter une faille critique d\u00e9sormais corrig\u00e9e dans la plate-forme Microsoft Windows MSHTML (CVE-2021-40444) dans le cadre de campagnes de phishing \u00e0 grande \u00e9chelle qui impliquaient l’envoi de pas moins de 5 000 e-mails sur le th\u00e8me des propositions commerciales. par jour \u00e0 650 organisations cibl\u00e9es dans le monde.<\/p>\n

“Les courtiers en acc\u00e8s initial sont les serruriers opportunistes du monde de la s\u00e9curit\u00e9, et c’est un travail \u00e0 temps plein”, ont d\u00e9clar\u00e9 Vlad Stolyarov et Vlad Stolyarov, chercheurs du TAG. mentionn\u00e9<\/a>. “Ces groupes se sp\u00e9cialisent dans la violation d’une cible afin d’ouvrir les portes – ou les fen\u00eatres – \u00e0 l’acteur malveillant avec l’offre la plus \u00e9lev\u00e9e.”<\/p>\n

\"Sauvegardes<\/a><\/div>\n

Exotic Lily, rep\u00e9r\u00e9e pour la premi\u00e8re fois en septembre 2021, aurait \u00e9t\u00e9 impliqu\u00e9e dans l’exfiltration de donn\u00e9es et le d\u00e9ploiement des souches de ransomware Conti et Diavol exploit\u00e9es par l’homme, qui partagent toutes deux des chevauchements avec le syndicat cybercriminel russe appel\u00e9 Wizard Spider, \u00e9galement connu pour l’exploitation de TrickBot. , BazarBackdoor et Anchor.<\/p>\n

\"\"<\/div>\n

Les leurres d’ing\u00e9nierie sociale de l’acteur mena\u00e7ant, envoy\u00e9s \u00e0 partir de comptes de messagerie usurp\u00e9s, ont sp\u00e9cifiquement cibl\u00e9 les secteurs de l’informatique, de la cybers\u00e9curit\u00e9 et de la sant\u00e9, bien qu’apr\u00e8s novembre 2021, les attaques soient devenues plus aveugles, ciblant une grande vari\u00e9t\u00e9 d’organisations et d’industries.<\/p>\n

En plus d’utiliser des soci\u00e9t\u00e9s et des identit\u00e9s fictives comme moyen de renforcer la confiance avec les entit\u00e9s cibl\u00e9es, Exotic Lily a tir\u00e9 parti de services de partage de fichiers l\u00e9gitimes tels que WeTransfer, TransferNow et OneDrive pour fournir Charges utiles BazarBackdoor<\/a> dans le but d’\u00e9chapper aux m\u00e9canismes de d\u00e9tection.<\/p>\n

\"\"<\/div>\n

Les personnages voyous se faisaient souvent passer pour des employ\u00e9s d’entreprises telles qu’Amazon, avec des profils de r\u00e9seaux sociaux frauduleux sur LinkedIn qui comportaient de fausses images de profil g\u00e9n\u00e9r\u00e9es par l’IA. Le groupe se serait \u00e9galement fait passer pour de vrais employ\u00e9s de l’entreprise en collectant leurs donn\u00e9es personnelles des m\u00e9dias sociaux et des bases de donn\u00e9es commerciales comme RocketReach et CrunchBase.<\/p>\n

\"Emp\u00eacher<\/a><\/div>\n

“Au stade final, l’attaquant t\u00e9l\u00e9chargerait la charge utile sur un service public de partage de fichiers (TransferNow, TransferXL, WeTransfer ou OneDrive), puis utiliserait une fonction de notification par e-mail int\u00e9gr\u00e9e pour partager le fichier avec la cible, permettant \u00e0 l’e-mail final provenir de l’adresse e-mail d’un service de partage de fichiers l\u00e9gitime et non de l’e-mail de l’attaquant, ce qui pr\u00e9sente des d\u00e9fis de d\u00e9tection suppl\u00e9mentaires \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

\u00c9galement livr\u00e9 \u00e0 l’aide de l’exploit MHTML, un chargeur personnalis\u00e9 appel\u00e9 Bumblebee est orchestr\u00e9 pour collecter et exfiltrer les informations syst\u00e8me vers un serveur distant, qui r\u00e9pond aux commandes pour ex\u00e9cuter le shellcode et ex\u00e9cuter les ex\u00e9cutables de la prochaine \u00e9tape, y compris Cobalt Strike.<\/p>\n

Une analyse de l’activit\u00e9 de communication d’Exotic Lily indique que les acteurs de la menace ont un “travail typique de 9 \u00e0 5” en semaine et peuvent \u00e9ventuellement travailler \u00e0 partir d’un fuseau horaire d’Europe centrale ou orientale.<\/p>\n

“EXOTIC LILY semble fonctionner comme une entit\u00e9 distincte, se concentrant sur l’acquisition d’un acc\u00e8s initial par le biais de campagnes par e-mail, avec des activit\u00e9s de suivi qui incluent le d\u00e9ploiement des ran\u00e7ongiciels Conti et Diavol, qui sont effectu\u00e9s par un ensemble diff\u00e9rent d’acteurs”, ont conclu les chercheurs.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Le Threat Analysis Group (TAG) de Google a d\u00e9voil\u00e9 un nouveau courtier d’acc\u00e8s initial qui, selon lui, est \u00e9troitement affili\u00e9 \u00e0 un gang russe de cybercriminalit\u00e9 connu pour ses op\u00e9rations de ransomware Conti et Diavol. Surnomm\u00e9 Exotic Lily, l’acteur mena\u00e7ant \u00e0 motivation financi\u00e8re a \u00e9t\u00e9 observ\u00e9 en train d’exploiter une faille critique d\u00e9sormais corrig\u00e9e dans […]<\/p>\n","protected":false},"author":1,"featured_media":40544,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,4168,4670,30348,4158,4165,4161,7192,12680,4584,7755,30349,4157,4159,4171,4170,4167,4160,4163,4162,4392,4172,4169,26406,4166,4164],"class_list":["post-40543","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-comment-pirater","tag-conti","tag-courtier","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dacces","tag-decouvre","tag-gang","tag-google","tag-initial","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-travaillant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/40543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=40543"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/40543\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/40544"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=40543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=40543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=40543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}