{"id":514228,"date":"2022-12-16T14:22:42","date_gmt":"2022-12-16T16:22:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/programme-dinstallation-de-windows-10-infecte-par-un-cheval-de-troie-utilise-dans-des-cyberattaques-contre-des-entites-gouvernementales-ukrainiennes\/"},"modified":"2022-12-16T14:22:44","modified_gmt":"2022-12-16T16:22:44","slug":"programme-dinstallation-de-windows-10-infecte-par-un-cheval-de-troie-utilise-dans-des-cyberattaques-contre-des-entites-gouvernementales-ukrainiennes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/programme-dinstallation-de-windows-10-infecte-par-un-cheval-de-troie-utilise-dans-des-cyberattaques-contre-des-entites-gouvernementales-ukrainiennes\/","title":{"rendered":"Programme d&#8217;installation de Windows 10 infect\u00e9 par un cheval de Troie utilis\u00e9 dans des cyberattaques contre des entit\u00e9s gouvernementales ukrainiennes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des entit\u00e9s gouvernementales en Ukraine ont \u00e9t\u00e9 viol\u00e9es dans le cadre d&#8217;une nouvelle campagne qui a exploit\u00e9 des versions trojanis\u00e9es des fichiers d&#8217;installation de Windows 10 pour mener des activit\u00e9s de post-exploitation.<\/p>\n<p>Mandiant, qui a d\u00e9couvert l&#8217;attaque de la cha\u00eene d&#8217;approvisionnement vers la mi-juillet 2022, a d\u00e9clar\u00e9 que les fichiers ISO malveillants avaient \u00e9t\u00e9 distribu\u00e9s via des sites Web Torrent en ukrainien et en russe.  Il suit le cluster de menaces comme <strong>UNC4166<\/strong>.<\/p>\n<p>&#8220;Lors de l&#8217;installation du logiciel compromis, le logiciel malveillant recueille des informations sur le syst\u00e8me compromis et les exfiltre&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/trojanized-windows-installers-ukrainian-government\" target=\"_blank\">m&#8217;a dit<\/a> dans une plong\u00e9e technique approfondie publi\u00e9e jeudi.<\/p>\n<p>Bien que la provenance du collectif contradictoire soit inconnue, les intrusions auraient cibl\u00e9 des organisations qui avaient \u00e9t\u00e9 auparavant victimes d&#8217;attaques d&#8217;essuie-glace perturbatrices attribu\u00e9es \u00e0 APT28, un acteur parrain\u00e9 par l&#8217;\u00c9tat russe.<\/p>\n<p>Le fichier ISO, par la soci\u00e9t\u00e9 de renseignement sur les menaces appartenant \u00e0 Google, a \u00e9t\u00e9 con\u00e7u pour d\u00e9sactiver la transmission des donn\u00e9es de t\u00e9l\u00e9m\u00e9trie de l&#8217;ordinateur infect\u00e9 \u00e0 Microsoft, installer des portes d\u00e9rob\u00e9es PowerShell, ainsi que bloquer les mises \u00e0 jour automatiques et la v\u00e9rification des licences.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670949871_285_De-graves-attaques-auraient-pu-etre-mises-en-scene-via.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;objectif principal de l&#8217;op\u00e9ration semble avoir \u00e9t\u00e9 la collecte d&#8217;informations, avec des implants suppl\u00e9mentaires d\u00e9ploy\u00e9s sur les machines, mais seulement apr\u00e8s avoir effectu\u00e9 une reconnaissance initiale de l&#8217;environnement compromis pour d\u00e9terminer s&#8217;il contient l&#8217;intelligence de valeur.<\/p>\n<p>Ceux-ci comprenaient <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ph4ntonn\/Stowaway\/blob\/master\/README_EN.md\" target=\"_blank\">Passager clandestin<\/a>un outil proxy open source, Cobalt Strike Beacon, et SPAREPART, une porte d\u00e9rob\u00e9e l\u00e9g\u00e8re programm\u00e9e en C, permettant \u00e0 l&#8217;auteur de la menace d&#8217;ex\u00e9cuter des commandes, de r\u00e9colter des donn\u00e9es, de capturer des frappes et des captures d&#8217;\u00e9cran, et d&#8217;exporter les informations vers un serveur distant.<\/p>\n<p>Dans certains cas, l&#8217;adversaire a tent\u00e9 de t\u00e9l\u00e9charger le navigateur d&#8217;anonymat TOR sur l&#8217;appareil de la victime.  Bien que la raison exacte de cette action ne soit pas claire, on soup\u00e7onne qu&#8217;elle a pu servir de voie d&#8217;exfiltration alternative.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671207762_153_Programme-dinstallation-de-Windows-10-infecte-par-un-cheval-de.png\" alt=\"Programme d'installation de Windows 10\" border=\"0\" data-original-height=\"440\" data-original-width=\"728\" title=\"Programme d'installation de Windows 10\"\/><\/div>\n<p>SPAREPART, comme son nom l&#8217;indique, est consid\u00e9r\u00e9 comme un logiciel malveillant redondant d\u00e9ploy\u00e9 pour maintenir l&#8217;acc\u00e8s \u00e0 distance au syst\u00e8me en cas d&#8217;\u00e9chec des autres m\u00e9thodes.  Il est \u00e9galement fonctionnellement identique aux portes d\u00e9rob\u00e9es PowerShell abandonn\u00e9es au d\u00e9but de la cha\u00eene d&#8217;attaque.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;ISO contenant des chevaux de Troie est nouvelle dans les op\u00e9rations d&#8217;espionnage et les capacit\u00e9s anti-d\u00e9tection incluses indiquent que les acteurs derri\u00e8re cette activit\u00e9 sont soucieux de la s\u00e9curit\u00e9 et patients, car l&#8217;op\u00e9ration aurait n\u00e9cessit\u00e9 un temps et des ressources importants pour d\u00e9velopper et attendre que l&#8217;ISO soit install\u00e9 sur un r\u00e9seau d&#8217;int\u00e9r\u00eat \u00bb, a d\u00e9clar\u00e9 Mandiant.<\/p>\n<h3>Cloud Atlas frappe la Russie et la Bi\u00e9lorussie<\/h3>\n<p>Les d\u00e9couvertes arrivent comme <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2022\/cloud-atlas-targets-entities-in-russia-and-belarus-amid-the-ongoing-war-in-ukraine\/\" target=\"_blank\">Point de contr\u00f4le<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.ptsecurity.com\/ww-en\/analytics\/pt-esc-threat-intelligence\/apt-cloud-atlas-unbroken-threat\/\" target=\"_blank\">Technologies positives<\/a> divulgu\u00e9 des attaques mises en sc\u00e8ne par un groupe d&#8217;espionnage surnomm\u00e9 <strong>Atlas des nuages<\/strong> contre le secteur gouvernemental en Russie, en Bi\u00e9lorussie, en Azerba\u00efdjan, en Turquie et en Slov\u00e9nie dans le cadre d&#8217;une campagne persistante.<\/p>\n<p>L&#8217;\u00e9quipe de piratage, active depuis 2014, a un historique d&#8217;attaques contre des entit\u00e9s en Europe de l&#8217;Est et en Asie centrale.  Mais depuis le d\u00e9clenchement de la guerre russo-ukrainienne, on l&#8217;a observ\u00e9 ciblant principalement des entit\u00e9s en Russie, en Bi\u00e9lorussie et en Transnistrie.<\/p>\n<p>&#8220;Les acteurs maintiennent \u00e9galement leur concentration sur les r\u00e9gions annex\u00e9es par la Russie de la p\u00e9ninsule de Crim\u00e9e, de Lougansk et de Donetsk&#8221;, a d\u00e9clar\u00e9 Check Point dans une analyse la semaine derni\u00e8re.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/recent-cloud-atlas-activity\/92016\/\" target=\"_blank\">Atlas des nuages<\/a>\u00e9galement appel\u00e9 Clean Ursa, Inception et Oxygen, <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/top-10-unattributed-apt-mysteries\/107676\/\" target=\"_blank\">reste non attribu\u00e9<\/a> \u00e0 ce jour, rejoignant les go\u00fbts d&#8217;autres APT comme TajMahal, DarkUniverse et Metador.  Le groupe tire son nom de sa d\u00e9pendance \u00e0 l&#8217;\u00e9gard de services cloud comme OpenDrive pour h\u00e9berger des logiciels malveillants et pour la commande et le contr\u00f4le (C2).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671207762_890_Programme-dinstallation-de-Windows-10-infecte-par-un-cheval-de.png\" alt=\"Programme d'installation de Windows 10\" border=\"0\" data-original-height=\"409\" data-original-width=\"728\" title=\"Programme d'installation de Windows 10\"\/><\/div>\n<p>Les cha\u00eenes d&#8217;attaque orchestr\u00e9es par l&#8217;adversaire utilisent g\u00e9n\u00e9ralement des e-mails de phishing contenant des pi\u00e8ces jointes leurres comme vecteur d&#8217;intrusion initial, ce qui conduit finalement \u00e0 la livraison d&#8217;une charge utile malveillante via une s\u00e9quence complexe en plusieurs \u00e9tapes.<\/p>\n<p>Le logiciel malveillant entre ensuite en contact avec un serveur C2 contr\u00f4l\u00e9 par un acteur pour r\u00e9cup\u00e9rer des portes d\u00e9rob\u00e9es suppl\u00e9mentaires capables de voler des fichiers avec des extensions sp\u00e9cifiques \u00e0 partir des terminaux pirat\u00e9s.<\/p>\n<p>Les attaques observ\u00e9es par Check Point, en revanche, aboutissent \u00e0 une porte d\u00e9rob\u00e9e bas\u00e9e sur PowerShell appel\u00e9e PowerShower, qui a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/unit42-inception-attackers-target-europe-year-old-office-vulnerability\/\" target=\"_blank\">d&#8217;abord document\u00e9<\/a> par Palo Alto Networks Unit 42 en novembre 2018.<\/p>\n<p>Certaines de ces intrusions en juin 2022 se sont \u00e9galement av\u00e9r\u00e9es fructueuses, permettant \u00e0 l&#8217;acteur mena\u00e7ant d&#8217;obtenir un acc\u00e8s complet au r\u00e9seau et d&#8217;utiliser des outils comme Chocolatey, AnyDesk et PuTTY pour approfondir leur implantation.<\/p>\n<p>&#8220;Avec l&#8217;escalade du conflit entre la Russie et l&#8217;Ukraine, ils se sont concentr\u00e9s l&#8217;ann\u00e9e derni\u00e8re sur la Russie et la Bi\u00e9lorussie et leurs secteurs diplomatique, gouvernemental, \u00e9nerg\u00e9tique et technologique, ainsi que sur les r\u00e9gions annex\u00e9es de l&#8217;Ukraine&#8221;, a ajout\u00e9 Check Point.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/trojanized-windows-10-installer-used-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des entit\u00e9s gouvernementales en Ukraine ont \u00e9t\u00e9 viol\u00e9es dans le cadre d&#8217;une nouvelle campagne qui a exploit\u00e9 des versions trojanis\u00e9es des fichiers d&#8217;installation de Windows 10 pour mener des activit\u00e9s de post-exploitation. Mandiant, qui a d\u00e9couvert l&#8217;attaque de la cha\u00eene d&#8217;approvisionnement vers la mi-juillet 2022, a d\u00e9clar\u00e9 que les fichiers ISO malveillants avaient \u00e9t\u00e9 distribu\u00e9s [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":514229,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[7968,4168,841,4158,4165,4161,6124,429,133,32778,32776,34519,16220,4157,4159,4171,4170,4167,4160,4163,4162,164,4802,4172,4169,8915,3809,1282,4166,4164,45020],"class_list":["post-514228","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cheval","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberattaques","tag-dans","tag-des","tag-dinstallation","tag-entites","tag-gouvernementales","tag-infecte","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-programme","tag-securite-informatique","tag-securite-internet","tag-troie","tag-ukrainiennes","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/514228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=514228"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/514228\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/514229"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=514228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=514228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=514228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}