{"id":503341,"date":"2022-12-09T15:55:28","date_gmt":"2022-12-09T17:55:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-variante-de-logiciel-malveillant-truebot-tirant-parti-du-bogue-netwrix-auditor-et-du-ver-raspberry-robin\/"},"modified":"2022-12-09T15:55:29","modified_gmt":"2022-12-09T17:55:29","slug":"nouvelle-variante-de-logiciel-malveillant-truebot-tirant-parti-du-bogue-netwrix-auditor-et-du-ver-raspberry-robin","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-variante-de-logiciel-malveillant-truebot-tirant-parti-du-bogue-netwrix-auditor-et-du-ver-raspberry-robin\/","title":{"rendered":"Nouvelle variante de logiciel malveillant Truebot tirant parti du bogue Netwrix Auditor et du ver Raspberry Robin"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont signal\u00e9 une augmentation <strong>VraiBot<\/strong> infections, ciblant principalement le Mexique, le Br\u00e9sil, le Pakistan et les \u00c9tats-Unis<\/p>\n<p>Cisco Talos a d\u00e9clar\u00e9 que les attaquants \u00e0 l&#8217;origine de l&#8217;op\u00e9ration sont pass\u00e9s de l&#8217;utilisation d&#8217;e-mails malveillants \u00e0 des m\u00e9thodes de livraison alternatives telles que l&#8217;exploitation d&#8217;une faille d&#8217;ex\u00e9cution de code \u00e0 distance (RCE) d\u00e9sormais corrig\u00e9e dans l&#8217;auditeur Netwrix ainsi que le ver Raspberry Robin.<\/p>\n<p>&#8220;L&#8217;activit\u00e9 post-compromis comprenait le vol de donn\u00e9es et l&#8217;ex\u00e9cution du ran\u00e7ongiciel Clop&#8221;, a d\u00e9clar\u00e9 Tiago Pereira, chercheur en s\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/breaking-the-silence-recent-truebot-activity\/\" target=\"_blank\">a dit<\/a> dans un rapport jeudi.<\/p>\n<p>TrueBot est un t\u00e9l\u00e9chargeur de logiciels malveillants Windows attribu\u00e9 \u00e0 un acteur malveillant suivi par Group-IB sous le nom de Silence, une \u00e9quipe russophone cens\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.telekom.com\/en\/blog\/group\/article\/cybersecurity-ta505-s-box-of-chocolate-597672\" target=\"_blank\">partager des associations<\/a> avec Evil Corp (alias DEV-0243) et <a rel=\"nofollow noopener\" href=\"https:\/\/outpost24.com\/blog\/Introducing-GraceWrapper-TA505s-sophisticated-post-exploitation-enabler\" target=\"_blank\">TA505<\/a>.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le module de la premi\u00e8re \u00e9tape fonctionne comme un point d&#8217;entr\u00e9e pour les activit\u00e9s de post-exploitation ult\u00e9rieures, y compris le vol d&#8217;informations \u00e0 l&#8217;aide d&#8217;un utilitaire d&#8217;exfiltration de donn\u00e9es personnalis\u00e9 jusqu&#8217;ici inconnu appel\u00e9 Teleport, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n<p>L&#8217;utilisation de Raspberry Robin &#8211; un ver se propageant principalement via des cl\u00e9s USB infect\u00e9es &#8211; comme vecteur de livraison pour TrueBot a \u00e9t\u00e9 r\u00e9cemment mise en \u00e9vidence par Microsoft, qui, selon elle, fait partie d&#8217;un &#8220;\u00e9cosyst\u00e8me de logiciels malveillants complexe et interconnect\u00e9&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Logiciel malveillant Truebot\" border=\"0\" data-original-height=\"329\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670608527_983_Nouvelle-variante-de-logiciel-malveillant-Truebot-tirant-parti-du-bogue.png\" title=\"Logiciel malveillant Truebot\"\/><\/div>\n<p>Dans ce qui est un autre signe de collaboration \u00e9troite avec d&#8217;autres familles de logiciels malveillants, Raspberry Robin a \u00e9galement \u00e9t\u00e9 observ\u00e9 en train de d\u00e9ployer <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/part-1-socgholish-very-real-threat-very-fake-update\" target=\"_blank\">FakeUpdates<\/a> (alias SocGholish) sur des syst\u00e8mes compromis, conduisant finalement \u00e0 un comportement de type ran\u00e7ongiciel li\u00e9 \u00e0 Evil Corp.<\/p>\n<p>Microsoft suit les op\u00e9rateurs du logiciel malveillant bas\u00e9 sur USB sous le nom de DEV-0856 et les attaques de ransomware Clop qui se produisent via Raspberry Robin et TrueBot sous le cluster de menaces \u00e9mergentes DEV-0950.<\/p>\n<p>&#8220;DEV-0950 utilise traditionnellement le phishing pour acqu\u00e9rir la majorit\u00e9 de ses victimes, donc ce passage notable \u00e0 l&#8217;utilisation de Raspberry Robin leur permet de fournir des charges utiles aux infections existantes et de faire passer leurs campagnes plus rapidement aux stades des ransomwares&#8221;, a not\u00e9 le fabricant de Windows en octobre 2022.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Logiciel malveillant Truebot\" border=\"0\" data-original-height=\"449\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670608528_714_Nouvelle-variante-de-logiciel-malveillant-Truebot-tirant-parti-du-bogue.png\" title=\"Logiciel malveillant Truebot\"\/><\/div>\n<p>Les derni\u00e8res d\u00e9couvertes de Cisco Talos montrent que Silence APT a men\u00e9 une petite s\u00e9rie d&#8217;attaques entre la mi-ao\u00fbt et septembre 2022 en abusant d&#8217;une vuln\u00e9rabilit\u00e9 RCE critique dans l&#8217;auditeur Netwrix (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-31199\" target=\"_blank\">CVE-2022-31199<\/a>score CVSS\u00a0: 9,8) pour t\u00e9l\u00e9charger et ex\u00e9cuter TrueBot.<\/p>\n<p>Le fait que le bogue ait \u00e9t\u00e9 militaris\u00e9 un mois seulement apr\u00e8s sa r\u00e9v\u00e9lation publique par l&#8217;\u00e9v\u00eaque Fox \u00e0 la mi-juillet 2022 sugg\u00e8re que &#8220;les attaquants ne sont pas seulement \u00e0 la recherche de nouveaux vecteurs d&#8217;infection, mais sont \u00e9galement capables de les tester rapidement et de les incorporer dans leur flux de travail \u00bb, a d\u00e9clar\u00e9 Pereira.<\/p>\n<p>Cependant, les infections TrueBot en octobre impliquaient l&#8217;utilisation d&#8217;un vecteur d&#8217;attaque diff\u00e9rent \u2013 \u200b\u200bc&#8217;est-\u00e0-dire Raspberry Robin \u2013 soulignant l&#8217;\u00e9valuation de Microsoft sur le r\u00f4le central du ver USB en tant que plate-forme de distribution de logiciels malveillants. <\/p>\n<p>La fonction principale de TrueBot est de collecter des informations aupr\u00e8s de l&#8217;h\u00f4te et de d\u00e9ployer les charges utiles de la prochaine \u00e9tape telles que Cobalt Strike, FlawedGrace et Teleport.  Ceci est suivi par l&#8217;ex\u00e9cution du binaire du ran\u00e7ongiciel apr\u00e8s avoir collect\u00e9 les informations pertinentes.<\/p>\n<p>L&#8217;outil d&#8217;exfiltration de donn\u00e9es Teleport se distingue \u00e9galement par sa capacit\u00e9 \u00e0 limiter les vitesses de t\u00e9l\u00e9chargement et la taille des fichiers, emp\u00eachant ainsi les transmissions d&#8217;\u00eatre d\u00e9tect\u00e9es par le logiciel de surveillance.  En plus de cela, il peut effacer sa propre pr\u00e9sence de la machine.<\/p>\n<p>Un examen plus approfondi des commandes \u00e9mises via Teleport r\u00e9v\u00e8le que le programme est exclusivement utilis\u00e9 pour collecter des fichiers \u00e0 partir des dossiers OneDrive et T\u00e9l\u00e9chargements ainsi que les messages \u00e9lectroniques Outlook de la victime.<\/p>\n<p>&#8220;La livraison de Raspberry Robin a conduit \u00e0 la cr\u00e9ation d&#8217;un botnet de plus de 1 000 syst\u00e8mes distribu\u00e9s dans le monde entier, mais avec un accent particulier sur le Mexique, le Br\u00e9sil et le Pakistan&#8221;, a d\u00e9clar\u00e9 Pereira.<\/p>\n<p>Les attaquants, cependant, semblent \u00eatre pass\u00e9s \u00e0 un m\u00e9canisme de distribution TrueBot inconnu \u00e0 partir de novembre, le vecteur r\u00e9ussissant \u00e0 coopter plus de 500 serveurs Windows connect\u00e9s \u00e0 Internet situ\u00e9s aux \u00c9tats-Unis, au Canada et au Br\u00e9sil dans un botnet.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/new-truebot-malware-variant-leveraging.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 d\u00e9cembre 2022\ue804Ravie Lakshmanan Les chercheurs en cybers\u00e9curit\u00e9 ont signal\u00e9 une augmentation VraiBot infections, ciblant principalement le Mexique, le Br\u00e9sil, le Pakistan et les \u00c9tats-Unis Cisco Talos a d\u00e9clar\u00e9 que les attaquants \u00e0 l&#8217;origine de l&#8217;op\u00e9ration sont pass\u00e9s de l&#8217;utilisation d&#8217;e-mails malveillants \u00e0 des m\u00e9thodes de livraison alternatives telles que l&#8217;exploitation d&#8217;une faille d&#8217;ex\u00e9cution de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":503342,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[90230,6813,4168,4158,4165,4161,4157,4159,4171,4170,6816,4167,7733,4160,90229,197,4163,4162,35,42956,4792,4172,4169,44437,130847,25900,23248,4166,4164],"class_list":["post-503341","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-auditor","tag-bogue","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-netwrix","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-parti","tag-raspberry","tag-robin","tag-securite-informatique","tag-securite-internet","tag-tirant","tag-truebot","tag-variante","tag-ver","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/503341","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=503341"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/503341\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/503342"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=503341"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=503341"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=503341"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}