{"id":446952,"date":"2022-11-04T12:10:28","date_gmt":"2022-11-04T14:10:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-detaillent-une-nouvelle-campagne-de-logiciels-malveillants-ciblant-les-employes-du-gouvernement-indien\/"},"modified":"2022-11-04T12:10:30","modified_gmt":"2022-11-04T14:10:30","slug":"des-chercheurs-detaillent-une-nouvelle-campagne-de-logiciels-malveillants-ciblant-les-employes-du-gouvernement-indien","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-detaillent-une-nouvelle-campagne-de-logiciels-malveillants-ciblant-les-employes-du-gouvernement-indien\/","title":{"rendered":"Des chercheurs d\u00e9taillent une nouvelle campagne de logiciels malveillants ciblant les employ\u00e9s du gouvernement indien"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;acteur de la menace Transparent Tribe a \u00e9t\u00e9 li\u00e9 \u00e0 une nouvelle campagne destin\u00e9e aux organisations gouvernementales indiennes avec des versions trojanis\u00e9es d&#8217;une solution d&#8217;authentification \u00e0 deux facteurs appel\u00e9e <b>Kavatch<\/b>.<\/p>\n<p>&#8220;Ce groupe abuse des publicit\u00e9s Google dans le but de diffuser des publicit\u00e9s malveillantes pour distribuer des versions d\u00e9rob\u00e9es des applications Kavach multi-authentification (MFA)&#8221;, a d\u00e9clar\u00e9 Sudeep Singh, chercheur chez Zscaler ThreatLabz. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/apt-36-uses-new-ttps-and-new-tools-target-indian-governmental-organizations\" target=\"_blank\">a dit<\/a> dans une analyse jeudi.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que le groupe de menaces persistantes avanc\u00e9es a \u00e9galement men\u00e9 des attaques de collecte d&#8217;informations d&#8217;identification \u00e0 faible volume dans lesquelles des sites Web malveillants se faisant passer pour des sites Web officiels du gouvernement indien ont \u00e9t\u00e9 cr\u00e9\u00e9s pour inciter les utilisateurs involontaires \u00e0 entrer leurs mots de passe.<\/p>\n<p>Transparent Tribe, \u00e9galement connu sous les surnoms APT36, Operation C-Major et Mythic Leopard, est un collectif d&#8217;adversaires pakistanais pr\u00e9sum\u00e9 qui a l&#8217;habitude de frapper des entit\u00e9s indiennes et afghanes.<\/p>\n<p>La derni\u00e8re cha\u00eene d&#8217;attaques n&#8217;est pas la premi\u00e8re fois que l&#8217;acteur mena\u00e7ant vise Kavach (qui signifie &#8220;armure&#8221; en hindi), un <a rel=\"nofollow noopener\" href=\"https:\/\/dot.gov.in\/circulars\/mandatory-installation-two-factor-authentication-kavach-accessing-email-services\" target=\"_blank\">application obligatoire<\/a> requis par les utilisateurs avec des adresses e-mail sur les domaines @gov.in et @nic.in pour se connecter au service de messagerie en tant que deuxi\u00e8me couche d&#8217;authentification.<\/p>\n<p>Plus t\u00f4t en mars, Cisco Talos a d\u00e9couvert une campagne de piratage qui utilisait de faux installateurs Windows pour Kavach comme leurre pour infecter le personnel gouvernemental avec CrimsonRAT et d&#8217;autres artefacts.<\/p>\n<p>L&#8217;une de leurs tactiques courantes consiste \u00e0 imiter le gouvernement l\u00e9gitime, l&#8217;arm\u00e9e et les organisations connexes pour activer la cha\u00eene de destruction.  La derni\u00e8re campagne men\u00e9e par l&#8217;acteur mena\u00e7ant ne fait pas exception.<\/p>\n<p>&#8220;L&#8217;acteur de la menace a enregistr\u00e9 plusieurs nouveaux domaines h\u00e9bergeant des pages Web se faisant passer pour le portail officiel de t\u00e9l\u00e9chargement de l&#8217;application Kavach&#8221;, a d\u00e9clar\u00e9 Singh.  &#8220;Ils ont abus\u00e9 de la fonctionnalit\u00e9 de recherche payante de Google Ads pour pousser les domaines malveillants en t\u00eate des r\u00e9sultats de recherche Google pour les utilisateurs en Inde.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Employ\u00e9s du gouvernement indien\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667571028_518_Des-chercheurs-detaillent-une-nouvelle-campagne-de-logiciels-malveillants-ciblant.jpg\" title=\"Employ\u00e9s du gouvernement indien\" \/><\/div>\n<p>Depuis mai 2022, Transparent Tribe aurait \u00e9galement distribu\u00e9 des versions d\u00e9rob\u00e9es de l&#8217;application Kavach via des magasins d&#8217;applications contr\u00f4l\u00e9s par des attaquants qui pr\u00e9tendent proposer des t\u00e9l\u00e9chargements de logiciels gratuits.<\/p>\n<p>Ce site Web appara\u00eet \u00e9galement comme l&#8217;un des meilleurs r\u00e9sultats dans les recherches Google, agissant efficacement comme une passerelle pour rediriger les utilisateurs \u00e0 la recherche de l&#8217;application vers l&#8217;installateur frauduleux bas\u00e9 sur .NET.<\/p>\n<p>Le groupe, \u00e0 partir d&#8217;ao\u00fbt 2022, a \u00e9galement \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un outil d&#8217;exfiltration de donn\u00e9es pr\u00e9c\u00e9demment non document\u00e9 nomm\u00e9 LimePad, qui est con\u00e7u pour t\u00e9l\u00e9charger des fichiers d&#8217;int\u00e9r\u00eat de l&#8217;h\u00f4te infect\u00e9 vers le serveur de l&#8217;attaquant.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-divulguent-les-details-de-la-faille-RCE-critique.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Zscaler a d\u00e9clar\u00e9 avoir \u00e9galement \u206f identifi\u00e9 un domaine enregistr\u00e9 par Transparent Tribe usurpant le <a rel=\"nofollow noopener\" href=\"https:\/\/kavach.mail.gov.in\/mfid\/secureLogin_showSecureLogin.action#!\" target=\"_blank\">page de connexion de l&#8217;application Kavach<\/a> qui n&#8217;a \u00e9t\u00e9 affich\u00e9 qu&#8217;\u00e0 partir d&#8217;une adresse IP indienne, ou bien a redirig\u00e9 le visiteur vers la page d&#8217;accueil du Centre national d&#8217;informatique de l&#8217;Inde (<a rel=\"nofollow noopener\" href=\"https:\/\/www.nic.in\/\" target=\"_blank\">NIC<\/a>).<\/p>\n<p>La page, pour sa part, est \u00e9quip\u00e9e pour capturer les informations d&#8217;identification saisies par la victime et les envoyer \u00e0 un serveur distant pour mener de nouvelles attaques contre les infrastructures li\u00e9es au gouvernement.<\/p>\n<p>L&#8217;utilisation des publicit\u00e9s Google et de LimePad indique les tentatives continues de l&#8217;acteur mena\u00e7ant d&#8217;\u00e9voluer et d&#8217;affiner ses tactiques et son ensemble d&#8217;outils malveillants.<\/p>\n<p>&#8220;APT-36 continue d&#8217;\u00eatre l&#8217;un des groupes de menaces persistantes avanc\u00e9es les plus r\u00e9pandus, ax\u00e9 sur le ciblage des utilisateurs travaillant dans des organisations gouvernementales indiennes&#8221;, a d\u00e9clar\u00e9 Singh.  &#8220;Les applications utilis\u00e9es en interne dans les organisations gouvernementales indiennes sont un choix populaire de th\u00e8me d&#8217;ing\u00e9nierie sociale utilis\u00e9 par le groupe APT-36.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/researchers-detail-new-malware-campaign.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur de la menace Transparent Tribe a \u00e9t\u00e9 li\u00e9 \u00e0 une nouvelle campagne destin\u00e9e aux organisations gouvernementales indiennes avec des versions trojanis\u00e9es d&#8217;une solution d&#8217;authentification \u00e0 deux facteurs appel\u00e9e Kavatch. &#8220;Ce groupe abuse des publicit\u00e9s Google dans le but de diffuser des publicit\u00e9s malveillantes pour distribuer des versions d\u00e9rob\u00e9es des applications Kavach multi-authentification (MFA)&#8221;, a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":446953,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2930,12848,4175,4168,4158,4165,4161,133,38951,8896,583,8827,4157,4159,4171,4170,65,4167,4589,4590,4160,197,4163,4162,4172,4169,196,4166,4164],"class_list":["post-446952","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-campagne","tag-chercheurs","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-detaillent","tag-employes","tag-gouvernement","tag-indien","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/446952","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=446952"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/446952\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/446953"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=446952"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=446952"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=446952"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}