{"id":418067,"date":"2022-10-17T12:26:37","date_gmt":"2022-10-17T14:26:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/black-basta-ransomware-hackers-infiltre-les-reseaux-via-qakbot-pour-deployer-brute-ratel-c4\/"},"modified":"2022-10-17T12:26:38","modified_gmt":"2022-10-17T14:26:38","slug":"black-basta-ransomware-hackers-infiltre-les-reseaux-via-qakbot-pour-deployer-brute-ratel-c4","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/black-basta-ransomware-hackers-infiltre-les-reseaux-via-qakbot-pour-deployer-brute-ratel-c4\/","title":{"rendered":"Black Basta Ransomware Hackers infiltre les r\u00e9seaux via Qakbot pour d\u00e9ployer Brute Ratel C4"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les acteurs de la menace derri\u00e8re le Black Basta <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/f\/black-basta-ransomware-operators-expand-their-attack-arsenal-wit.html\" target=\"_blank\">famille de ran\u00e7ongiciels<\/a> ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;utiliser le cheval de Troie Qakbot pour d\u00e9ployer le framework Brute Ratel C4 en tant que charge utile de deuxi\u00e8me \u00e9tape lors d&#8217;attaques r\u00e9centes.<\/p>\n<p>Le d\u00e9veloppement marque la premi\u00e8re fois que le logiciel de simulation d&#8217;adversaire naissant est livr\u00e9 via une infection Qakbot, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trend Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/j\/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba.html\" target=\"_blank\">a dit<\/a> dans une analyse technique publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>L&#8217;intrusion, r\u00e9alis\u00e9e \u00e0 l&#8217;aide d&#8217;un e-mail de phishing contenant un lien arm\u00e9 pointant vers une archive ZIP, impliquait en outre l&#8217;utilisation de Cobalt Strike pour les mouvements lat\u00e9raux.<\/p>\n<p>Bien que ces utilitaires l\u00e9gitimes soient con\u00e7us pour mener des activit\u00e9s de test d&#8217;intrusion, leur capacit\u00e9 \u00e0 offrir un acc\u00e8s \u00e0 distance en a fait un outil lucratif entre les mains des attaquants cherchant \u00e0 sonder furtivement l&#8217;environnement compromis sans attirer l&#8217;attention pendant de longues p\u00e9riodes.<\/p>\n<p>Cela a \u00e9t\u00e9 aggrav\u00e9 par le fait qu&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.bushidotoken.net\/2022\/09\/brute-ratel-cracked-and-shared-across.html\" target=\"_blank\">version fissur\u00e9e<\/a> de Brute Ratel C4 a commenc\u00e9 \u00e0 circuler le mois dernier dans l&#8217;underground cybercriminel, incitant son d\u00e9veloppeur \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/NinjaParanoid\/status\/1575104655558049792\" target=\"_blank\">mettre \u00e0 jour l&#8217;algorithme de licence<\/a> pour le rendre plus difficile \u00e0 craquer.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Qakbot, \u00e9galement appel\u00e9 QBot et QuackBot, est un voleur d&#8217;informations et un cheval de Troie bancaire qui est connu pour \u00eatre actif depuis 2007. Mais sa conception modulaire et sa capacit\u00e9 \u00e0 agir en tant que t\u00e9l\u00e9chargeur en ont fait un candidat attrayant pour la suppression de logiciels malveillants suppl\u00e9mentaires.<\/p>\n<p>Selon Trend Micro, le fichier ZIP dans l&#8217;e-mail contient un fichier ISO, qui, \u00e0 son tour, comprend un fichier LNK qui r\u00e9cup\u00e8re la charge utile Qakbot, illustrant les tentatives d&#8217;une partie des acteurs de la menace pour <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/39537\/\" target=\"_blank\">s&#8217;adapter \u00e0 d&#8217;autres tactiques<\/a> suite \u00e0 la d\u00e9cision de Microsoft de bloquer par d\u00e9faut les macros pour les documents t\u00e9l\u00e9charg\u00e9s sur le Web.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"326\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666016797_98_Black-Basta-Ransomware-Hackers-infiltre-les-reseaux-via-Qakbot-pour.jpg\" \/><\/div>\n<p>L&#8217;infection Qakbot est suivie par la r\u00e9cup\u00e9ration de Brute Ratel et Cobalt Strike, mais pas avant d&#8217;effectuer une reconnaissance automatis\u00e9e via des outils de ligne de commande int\u00e9gr\u00e9s tels que arp, ipconfig, nslookup, netstat et whoami.<\/p>\n<p>L&#8217;attaque, cependant, a \u00e9t\u00e9 arr\u00eat\u00e9e avant qu&#8217;une action malveillante ne puisse \u00eatre entreprise par l&#8217;auteur de la menace, bien que l&#8217;on soup\u00e7onne que l&#8217;objectif final ait pu \u00eatre le d\u00e9ploiement d&#8217;un ransomware \u00e0 l&#8217;\u00e9chelle du domaine.<\/p>\n<p>Dans une autre cha\u00eene d&#8217;ex\u00e9cution Qakbot rep\u00e9r\u00e9e par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, le fichier ZIP est livr\u00e9 via une m\u00e9thode de plus en plus populaire appel\u00e9e contrebande HTML, entra\u00eenant l&#8217;ex\u00e9cution de Brute Ratel C4 en deuxi\u00e8me \u00e9tape.<\/p>\n<p>&#8220;La cha\u00eene de destruction Qakbot-to-Brute Ratel-to-Cobalt Strike est associ\u00e9e au groupe derri\u00e8re le Black Basta Ransomware&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Ceci est bas\u00e9 sur le chevauchement des TTP et de l&#8217;infrastructure observ\u00e9s dans les attaques de Black Basta.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666016797_893_Black-Basta-Ransomware-Hackers-infiltre-les-reseaux-via-Qakbot-pour.jpg\" \/><\/div>\n<p>Les r\u00e9sultats co\u00efncident avec une r\u00e9surgence des attaques Qakbot ces derniers mois au moyen d&#8217;une vari\u00e9t\u00e9 de techniques telles que <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/new-variant-of-qakbot-spread-by-phishing-emails\" target=\"_blank\">Fichiers joints HTML<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2022\/07\/21\/qakbot-resurfaces-with-new-playbook\/\" target=\"_blank\">Chargement lat\u00e9ral de DLL<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/2022\/07\/what-talos-incident-response-learned.html\" target=\"_blank\">piratage de fils de messagerie<\/a>dont le dernier impliquait de r\u00e9colter des e-mails en masse \u00e0 partir d&#8217;attaques ProxyLogon r\u00e9ussies visant les serveurs Microsoft Exchange.<\/p>\n<h3>Les acteurs d&#8217;IcedID diversifient les m\u00e9thodes de livraison<\/h3>\n<p>Qakbot est loin d&#8217;\u00eatre le seul logiciel malveillant d&#8217;acc\u00e8s en tant que service qui est de plus en plus distribu\u00e9 via ISO et d&#8217;autres formats de fichiers pour contourner les restrictions de macros, car les campagnes Emotet, IcedID et Bumblebee ont toutes suivi des trajectoires similaires.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Nouvelle-version-PHP-du-logiciel-malveillant-Ducktail-piratant-les-comptes.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Palo Alto Networks Unit 42, fin septembre 2022, <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/polyglot-file-icedid-payload\/\" target=\"_blank\">a dit<\/a> il a d\u00e9couvert un fichier Microsoft Compiled HTML Help (CHM) polyglotte malveillant utilis\u00e9 pour diffuser le malware IcedID (alias BokBot).<\/p>\n<p>D&#8217;autres m\u00e9thodes de livraison et voies d&#8217;infection importantes ont impliqu\u00e9 l&#8217;utilisation de fichiers ZIP prot\u00e9g\u00e9s par mot de passe contenant un fichier ISO, refl\u00e9tant celui de Qakbot, avec la charge utile propag\u00e9e via un service de paiement par installateur connu sous le nom de PrivateLoader, selon <a rel=\"nofollow noopener\" href=\"https:\/\/www.team-cymru.com\/post\/a-visualizza-into-recent-icedid-campaigns\" target=\"_blank\">\u00c9quipe Cymru<\/a>.<\/p>\n<p>Et, pour couronner le tout, <a rel=\"nofollow noopener\" href=\"https:\/\/thedfirreport.com\/2022\/09\/12\/dead-or-alive-an-emotet-story\/\" target=\"_blank\">\u00e9motic\u00f4ne<\/a> semble se pr\u00e9parer \u00e0 une nouvelle s\u00e9rie d&#8217;attaques apr\u00e8s une courte interruption de trois mois pour retravailler son module &#8220;systeminfo&#8221; afin &#8220;d&#8217;am\u00e9liorer le ciblage de victimes sp\u00e9cifiques et de distinguer les robots de suivi des utilisateurs r\u00e9els&#8221;, ESET <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/ESETresearch\/status\/1580242729509875712\" target=\"_blank\">divulgu\u00e9<\/a> dans une s\u00e9rie de tweets.<\/p>\n<p>&#8220;Nous n&#8217;avons pas vu <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/10\/05\/eset-threat-report-t2-2022\/\" target=\"_blank\">nouvelles vagues de spam<\/a> d&#8217;Emotet depuis juillet&#8221;, a d\u00e9clar\u00e9 Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET, \u00e0 The Hacker News. &#8220;On ne sait pas pourquoi.&#8221;<\/p>\n<p>&#8220;Ils ont fait quelques pauses dans le pass\u00e9, mais jamais aussi longtemps. Peut-\u00eatre que ce nouveau module signifie qu&#8217;ils testent des modules et seront \u00e0 nouveau actifs dans un proche avenir, mais ce n&#8217;est bien s\u00fbr que sp\u00e9culation.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/black-basta-ransomware-hackers.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les acteurs de la menace derri\u00e8re le Black Basta famille de ran\u00e7ongiciels ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;utiliser le cheval de Troie Qakbot pour d\u00e9ployer le framework Brute Ratel C4 en tant que charge utile de deuxi\u00e8me \u00e9tape lors d&#8217;attaques r\u00e9centes. Le d\u00e9veloppement marque la premi\u00e8re fois que le logiciel de simulation d&#8217;adversaire naissant est [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":418068,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[78875,416,25328,4168,4158,4165,4161,9886,6578,11420,4157,4159,4171,4170,65,4167,4160,4163,4162,185,89001,4392,117431,1769,4172,4169,4166,4164],"class_list":["post-418067","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-basta","tag-black","tag-brute","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-hackers","tag-infiltre","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-qakbot","tag-ransomware","tag-ratel","tag-reseaux","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/418067","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=418067"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/418067\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/418068"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=418067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=418067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=418067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}