{"id":406971,"date":"2022-10-10T16:34:30","date_gmt":"2022-10-10T18:34:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-nouveau-rapport-revele-les-techniques-de-livraison-et-devasion-demotet-utilisees-dans-les-attaques-recentes\/"},"modified":"2022-10-10T16:34:31","modified_gmt":"2022-10-10T18:34:31","slug":"un-nouveau-rapport-revele-les-techniques-de-livraison-et-devasion-demotet-utilisees-dans-les-attaques-recentes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-nouveau-rapport-revele-les-techniques-de-livraison-et-devasion-demotet-utilisees-dans-les-attaques-recentes\/","title":{"rendered":"Un nouveau rapport r\u00e9v\u00e8le les techniques de livraison et d&#8217;\u00e9vasion d&#8217;Emotet utilis\u00e9es dans les attaques r\u00e9centes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Selon une nouvelle \u00e9tude de VMware, les acteurs de la menace associ\u00e9s au c\u00e9l\u00e8bre malware Emotet modifient continuellement leurs tactiques et leur infrastructure de commande et de contr\u00f4le (C2) pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa20-280a\" target=\"_blank\">\u00e9motic\u00f4ne<\/a> est l&#8217;\u0153uvre d&#8217;un acteur mena\u00e7ant suivi sous le nom de Mummy Spider (alias TA542), \u00e9mergeant en juin 2014 comme un cheval de Troie bancaire avant de se transformer en un chargeur polyvalent en 2016 capable de fournir des charges utiles de deuxi\u00e8me \u00e9tape telles que des ransomwares.<\/p>\n<p>Alors que l&#8217;infrastructure du botnet a \u00e9t\u00e9 supprim\u00e9e dans le cadre d&#8217;une op\u00e9ration coordonn\u00e9e d&#8217;application de la loi en janvier 2021, Emotet a rebondi en novembre 2021 gr\u00e2ce \u00e0 un autre malware connu sous le nom de TrickBot.<\/p>\n<p>La r\u00e9surrection d&#8217;Emotet, orchestr\u00e9e par l&#8217;\u00e9quipe Conti aujourd&#8217;hui disparue, a depuis ouvert la voie aux infections de Cobalt Strike et, plus r\u00e9cemment, aux attaques de ran\u00e7ongiciels impliquant Quantum et BlackCat.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;L&#8217;adaptation continue de la cha\u00eene d&#8217;ex\u00e9cution d&#8217;Emotet est l&#8217;une des raisons pour lesquelles le malware a r\u00e9ussi pendant si longtemps&#8221;, ont d\u00e9clar\u00e9 des chercheurs de l&#8217;unit\u00e9 d&#8217;analyse des menaces (TAU) de VMware dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Les flux d&#8217;attaques Emotet se caract\u00e9risent \u00e9galement par l&#8217;utilisation de diff\u00e9rents vecteurs d&#8217;attaque dans le but de rester cach\u00e9s pendant de longues p\u00e9riodes.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"386\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665426870_646_Un-nouveau-rapport-revele-les-techniques-de-livraison-et-devasion.jpg\" \/><\/div>\n<p>Ces intrusions reposent g\u00e9n\u00e9ralement sur des vagues de messages de spam qui fournissent des documents contenant des logiciels malveillants ou des URL int\u00e9gr\u00e9es, qui, lorsqu&#8217;ils sont ouverts ou cliqu\u00e9s, conduisent au d\u00e9ploiement du logiciel malveillant.<\/p>\n<p>Rien qu&#8217;en janvier 2022, VMware a d\u00e9clar\u00e9 avoir observ\u00e9 trois s\u00e9ries d&#8217;attaques diff\u00e9rentes dans lesquelles la charge utile Emotet \u00e9tait livr\u00e9e via une macro Excel 4.0 (XL4), une macro XL4 avec PowerShell et une macro Visual Basic Application (VBA) avec PowerShell.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"404\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665426870_506_Un-nouveau-rapport-revele-les-techniques-de-livraison-et-devasion.jpg\" \/><\/div>\n<p>Certains de ces cycles de vie d&#8217;infection se sont \u00e9galement distingu\u00e9s par l&#8217;abus d&#8217;un ex\u00e9cutable l\u00e9gitime appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1218\/005\/\" target=\"_blank\">mshta.exe<\/a> pour lancer un fichier HTA malveillant, puis d\u00e9posez le malware Emotet.<\/p>\n<p>&#8220;Des outils tels que mshta et PowerShell, qui sont parfois appel\u00e9s binaires vivant hors de la terre (LOLBIN), sont tr\u00e8s populaires parmi les acteurs de la menace car ils sont sign\u00e9s par Microsoft et approuv\u00e9s par Windows&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Cela permet \u00e0 l&#8217;attaquant d&#8217;effectuer une attaque adjointe confuse, dans laquelle des outils l\u00e9gitimes sont tromp\u00e9s pour ex\u00e9cuter des actions malveillantes.&#8221;<\/p>\n<p>Une analyse plus approfondie de pr\u00e8s de 25 000 artefacts DLL Emotet uniques montre que 26,7 % d&#8217;entre eux ont \u00e9t\u00e9 supprim\u00e9s par des documents Excel.  Pas moins de 139 cha\u00eenes de programmes distinctes ont \u00e9t\u00e9 identifi\u00e9es.<\/p>\n<p>La r\u00e9\u00e9mergence d&#8217;Emotet a \u00e9galement \u00e9t\u00e9 marqu\u00e9e par un changement dans l&#8217;infrastructure C2, l&#8217;acteur mena\u00e7ant exploitant deux nouveaux clusters de botnets baptis\u00e9s <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/emotet-malware-summary-epoch-4-5\/\" target=\"_blank\">\u00c9poques 4 et 5<\/a>.  Avant le retrait, l&#8217;op\u00e9ration Emotet fonctionnait sur trois botnets distincts appel\u00e9s <a rel=\"nofollow noopener\" href=\"https:\/\/heimdalsecurity.com\/blog\/emotet-malware-history\/\" target=\"_blank\">\u00c9poques 1, 2 et 3<\/a>.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>En plus de cela, 10 235 charges utiles Emotet d\u00e9tect\u00e9es dans la nature entre le 15 mars 2022 et le 18 juin 2022 ont r\u00e9utilis\u00e9 des serveurs C2 appartenant \u00e0 l&#8217;\u00e9poque 5.<\/p>\n<p>Mis \u00e0 part les changements apport\u00e9s aux cha\u00eenes d&#8217;ex\u00e9cution et aux adresses IP C2, Emotet a \u00e9galement \u00e9t\u00e9 rep\u00e9r\u00e9 en train de distribuer deux nouveaux plugins, l&#8217;un con\u00e7u pour capturer les donn\u00e9es de carte de cr\u00e9dit du navigateur Google Chrome, et un module d&#8217;\u00e9pandage qui utilise le protocole SMB pour le mouvement lat\u00e9ral.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"376\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665426870_615_Un-nouveau-rapport-revele-les-techniques-de-livraison-et-devasion.jpg\" \/><\/div>\n<p>D&#8217;autres composants importants incluent un module de spam et des voleurs de compte pour les clients de messagerie Microsoft Outlook et Thunderbird.<\/p>\n<p>La majorit\u00e9 des adresses IP utilis\u00e9es pour h\u00e9berger les serveurs se trouvaient aux \u00c9tats-Unis, en Allemagne et en France.  En revanche, la plupart des modules Emotet \u00e9taient h\u00e9berg\u00e9s en Inde, en Cor\u00e9e, en Tha\u00eflande, au Ghana, en France et \u00e0 Singapour.<\/p>\n<p>Pour se prot\u00e9ger contre les menaces comme Emotet, il est recommand\u00e9 de mettre en \u0153uvre la segmentation du r\u00e9seau, d&#8217;appliquer un mod\u00e8le Zero Trust et de remplacer les m\u00e9canismes d&#8217;authentification par d\u00e9faut par des alternatives plus solides.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/new-report-uncovers-emotets-delivery.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Selon une nouvelle \u00e9tude de VMware, les acteurs de la menace associ\u00e9s au c\u00e9l\u00e8bre malware Emotet modifient continuellement leurs tactiques et leur infrastructure de commande et de contr\u00f4le (C2) pour \u00e9chapper \u00e0 la d\u00e9tection. \u00e9motic\u00f4ne est l&#8217;\u0153uvre d&#8217;un acteur mena\u00e7ant suivi sous le nom de Mummy Spider (alias TA542), \u00e9mergeant en juin 2014 comme un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":406972,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,4168,4158,4165,4161,429,23284,53591,4157,4159,4171,4170,65,2480,4167,4160,680,4163,4162,1883,4991,2178,4172,4169,7447,19022,4166,4164],"class_list":["post-406971","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-demotet","tag-devasion","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-livraison","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-rapport","tag-recentes","tag-revele","tag-securite-informatique","tag-securite-internet","tag-techniques","tag-utilisees","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/406971","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=406971"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/406971\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/406972"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=406971"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=406971"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=406971"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}