{"id":433003,"date":"2022-10-26T23:20:25","date_gmt":"2022-10-27T01:20:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-acteurs-inconnus-deploient-romcom-rat-pour-cibler-larmee-ukrainienne\/"},"modified":"2022-10-26T23:20:26","modified_gmt":"2022-10-27T01:20:26","slug":"des-acteurs-inconnus-deploient-romcom-rat-pour-cibler-larmee-ukrainienne","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-acteurs-inconnus-deploient-romcom-rat-pour-cibler-larmee-ukrainienne\/","title":{"rendered":"Des acteurs inconnus d\u00e9ploient RomCom RAT pour cibler l&#8217;arm\u00e9e ukrainienne"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;acteur mena\u00e7ant derri\u00e8re un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 RomCom RAT a \u00e9t\u00e9 observ\u00e9 ciblant des institutions militaires ukrainiennes dans le cadre d&#8217;une nouvelle campagne de harponnage qui a d\u00e9but\u00e9 le 21 octobre 2022. <\/p>\n<p>Le d\u00e9veloppement marque un changement dans le mode op\u00e9ratoire de l&#8217;attaquant, qui \u00e9tait auparavant attribu\u00e9 \u00e0 l&#8217;usurpation d&#8217;applications l\u00e9gitimes comme Advanced IP Scanner et pdfFiller pour supprimer des portes d\u00e9rob\u00e9es sur des syst\u00e8mes compromis.<\/p>\n<p>&#8220;La campagne initiale&#8221; Advanced IP Scanner &#8220;a eu lieu le 23 juillet 2022&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe de recherche et de renseignement de BlackBerry. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2022\/10\/unattributed-romcom-threat-actor-spoofing-popular-apps-now-hits-ukrainian-militaries\" target=\"_blank\">a dit<\/a>.  \u00ab\u00a0Une fois que la victime a install\u00e9 un ensemble contenant un cheval de Troie, il d\u00e9pose RomCom RAT sur le syst\u00e8me.\u00a0\u00bb<\/p>\n<p>Alors que les pr\u00e9c\u00e9dentes it\u00e9rations de la campagne impliquaient l&#8217;utilisation d&#8217;Advanced IP Scanner, un cheval de Troie, le collectif contradictoire non identifi\u00e9 est depuis pass\u00e9 \u00e0 pdfFiller \u00e0 partir du 20 octobre, indiquant une tentative active de la part de l&#8217;adversaire d&#8217;affiner les tactiques et de contrecarrer la d\u00e9tection.<\/p>\n<p>Ces sites Web similaires h\u00e9bergent un package d&#8217;installation malveillant qui entra\u00eene le d\u00e9ploiement du RomCom RAT, capable de collecter des informations et de capturer des captures d&#8217;\u00e9cran, le tout \u00e9tant export\u00e9 vers un serveur distant.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Versions malveillantes d'applications populaires\" border=\"0\" data-original-height=\"465\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666833625_467_Des-acteurs-inconnus-deploient-RomCom-RAT-pour-cibler-larmee-ukrainienne.jpg\" title=\"Versions malveillantes d'applications populaires\" \/><\/div>\n<p>La derni\u00e8re activit\u00e9 de l&#8217;adversaire dirig\u00e9e contre l&#8217;arm\u00e9e ukrainienne est un d\u00e9part en ce sens qu&#8217;elle utilise un e-mail de phishing avec un lien int\u00e9gr\u00e9 comme vecteur d&#8217;infection initial, conduisant \u00e0 un faux site Web laissant tomber le t\u00e9l\u00e9chargeur de la prochaine \u00e9tape.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Les-chercheurs-detaillent-les-vulnerabilites-du-journal-des-evenements-Windows.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Ce t\u00e9l\u00e9chargeur, sign\u00e9 \u00e0 l&#8217;aide d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/office\/digital-signatures-and-certificates-8186cd15-e7ac-4a16-8597-22bd163e8e96\" target=\"_blank\">certificat num\u00e9rique valide<\/a> de &#8220;Blythe Consulting sp. z oo&#8221; pour une couche suppl\u00e9mentaire d&#8217;\u00e9vasion, est ensuite utilis\u00e9 pour extraire et ex\u00e9cuter le malware RomCom RAT.  BlackBerry a d\u00e9clar\u00e9 que le m\u00eame signataire est utilis\u00e9 par la version l\u00e9gitime de pdfFiller.<\/p>\n<p>Outre l&#8217;arm\u00e9e ukrainienne, les autres cibles de la campagne comprennent les entreprises informatiques, les courtiers en alimentation et les entit\u00e9s de fabrication d&#8217;aliments aux \u00c9tats-Unis, au Br\u00e9sil et aux Philippines.<\/p>\n<p>&#8220;Cette campagne est un bon exemple de la ligne floue entre les acteurs de la menace motiv\u00e9e par la cybercriminalit\u00e9 et les acteurs de la menace d&#8217;attaque cibl\u00e9e&#8221;, a d\u00e9clar\u00e9 Dmitry Bestuzhev, chercheur sur les menaces chez BlackBerry, \u00e0 The Hacker News.<\/p>\n<p>&#8220;Dans le pass\u00e9, les deux groupes agissaient ind\u00e9pendamment, en s&#8217;appuyant sur des outils diff\u00e9rents. Aujourd&#8217;hui, les acteurs des attaques cibl\u00e9es s&#8217;appuient davantage sur les outils traditionnels, ce qui rend l&#8217;attribution plus difficile.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/romcom-hackers-circulating-malicious.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur mena\u00e7ant derri\u00e8re un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 RomCom RAT a \u00e9t\u00e9 observ\u00e9 ciblant des institutions militaires ukrainiennes dans le cadre d&#8217;une nouvelle campagne de harponnage qui a d\u00e9but\u00e9 le 21 octobre 2022. Le d\u00e9veloppement marque un changement dans le mode op\u00e9ratoire de l&#8217;attaquant, qui \u00e9tait auparavant attribu\u00e9 \u00e0 l&#8217;usurpation d&#8217;applications l\u00e9gitimes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":433004,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3178,11338,4168,4158,4165,4161,16028,133,36881,4157,4159,4171,4170,1570,4167,4160,4163,4162,185,46743,100490,4172,4169,1131,4166,4164],"class_list":["post-433003","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acteurs","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deploient","tag-des","tag-inconnus","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-larmee","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-rat","tag-romcom","tag-securite-informatique","tag-securite-internet","tag-ukrainienne","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/433003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=433003"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/433003\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/433004"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=433003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=433003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=433003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}