{"id":521794,"date":"2022-12-21T12:16:23","date_gmt":"2022-12-21T14:16:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/raspberry-robin-worm-frappe-a-nouveau-ciblant-les-systemes-de-telecommunications-et-gouvernementaux\/"},"modified":"2022-12-21T12:16:25","modified_gmt":"2022-12-21T14:16:25","slug":"raspberry-robin-worm-frappe-a-nouveau-ciblant-les-systemes-de-telecommunications-et-gouvernementaux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/raspberry-robin-worm-frappe-a-nouveau-ciblant-les-systemes-de-telecommunications-et-gouvernementaux\/","title":{"rendered":"Raspberry Robin Worm frappe \u00e0 nouveau, ciblant les syst\u00e8mes de t\u00e9l\u00e9communications et gouvernementaux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le <strong>Rouge-gorge Framboise<\/strong> Le ver a \u00e9t\u00e9 utilis\u00e9 dans des attaques contre les syst\u00e8mes de t\u00e9l\u00e9communications et de bureaux gouvernementaux en Am\u00e9rique latine, en Australie et en Europe depuis au moins septembre 2022.<\/p>\n<p>&#8220;La charge utile principale elle-m\u00eame contient plus de 10 couches d&#8217;obscurcissement et est capable de fournir une fausse charge utile une fois qu&#8217;elle d\u00e9tecte des outils de sandboxing et d&#8217;analyse de s\u00e9curit\u00e9&#8221;, a d\u00e9clar\u00e9 Christopher So, chercheur chez Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/l\/raspberry-robin-malware-targets-telecom-governments.html\" target=\"_blank\">m&#8217;a dit<\/a> dans une analyse technique publi\u00e9e mardi.<\/p>\n<p>La majorit\u00e9 des infections ont \u00e9t\u00e9 d\u00e9tect\u00e9es en Argentine, suivie de l&#8217;Australie, du Mexique, de la Croatie, de l&#8217;Italie, du Br\u00e9sil, de la France, de l&#8217;Inde et de la Colombie.<\/p>\n<p>Raspberry Robin, attribu\u00e9 \u00e0 un cluster d&#8217;activit\u00e9s suivi par Microsoft sous le nom de DEV-0856, est de plus en plus utilis\u00e9 par plusieurs acteurs de la menace comme m\u00e9canisme d&#8217;acc\u00e8s initial pour fournir des charges utiles telles que LockBit et Clop ransomware.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670949871_285_De-graves-attaques-auraient-pu-etre-mises-en-scene-via.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le logiciel malveillant est connu pour s&#8217;appuyer sur des cl\u00e9s USB infect\u00e9es comme vecteur de distribution pour t\u00e9l\u00e9charger un fichier d&#8217;installation MSI malveillant qui d\u00e9ploie la principale charge utile charg\u00e9e de faciliter la post-exploitation.<\/p>\n<p>Une analyse plus approfondie de Raspberry Robin r\u00e9v\u00e8le l&#8217;utilisation d&#8217;une obfuscation lourde pour emp\u00eacher l&#8217;analyse, avec le malware &#8220;compos\u00e9 de deux charges utiles int\u00e9gr\u00e9es dans un chargeur de charge utile emball\u00e9 six fois&#8221;.<\/p>\n<p>Le chargeur de charge utile, pour sa part, est orchestr\u00e9 pour charger la charge utile leurre, un logiciel publicitaire appel\u00e9 BrowserAssistant, pour contrecarrer les efforts de d\u00e9tection.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/Raspberry-Robin-Worm-frappe-a-nouveau-ciblant-les-systemes-de.png\" alt=\"Rouge-gorge Framboise\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Rouge-gorge Framboise\"\/><\/div>\n<p>Si aucun bac \u00e0 sable ni analyse n&#8217;est observ\u00e9, la charge utile l\u00e9gitime est install\u00e9e et se connecte \u00e0 une adresse .onion cod\u00e9e en dur \u00e0 l&#8217;aide d&#8217;un client TOR personnalis\u00e9 int\u00e9gr\u00e9 \u00e0 celle-ci pour attendre d&#8217;autres commandes.<\/p>\n<p>Le processus client TOR se fait passer pour des processus Windows l\u00e9gitimes tels que dllhost.exe, regsvr32.exe et rundll32.exe, soulignant une fois de plus les efforts consid\u00e9rables d\u00e9ploy\u00e9s par l&#8217;acteur mena\u00e7ant pour voler sous le radar.<\/p>\n<p>De plus, la v\u00e9ritable routine du logiciel malveillant est ex\u00e9cut\u00e9e dans <a rel=\"nofollow noopener\" href=\"https:\/\/techcommunity.microsoft.com\/t5\/ask-the-performance-team\/application-compatibility-session-0-isolation\/ba-p\/372361\" target=\"_blank\">S\u00e9ance 0<\/a>une <a rel=\"nofollow noopener\" href=\"https:\/\/techcommunity.microsoft.com\/t5\/ask-the-performance-team\/sessions-desktops-and-windows-stations\/ba-p\/372473\" target=\"_blank\">session Windows sp\u00e9cialis\u00e9e<\/a> r\u00e9serv\u00e9 aux services et autres applications utilisateur non interactives pour att\u00e9nuer les risques de s\u00e9curit\u00e9 tels que <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Shatter_attack\" target=\"_blank\">briser les attaques<\/a>.<\/p>\n<p>Trend Micro a d\u00e9clar\u00e9 avoir trouv\u00e9 des similitudes dans une escalade de privil\u00e8ges et une technique anti-d\u00e9bogage utilis\u00e9e par les ran\u00e7ongiciels Raspberry Robin et LockBit, faisant allusion \u00e0 un lien potentiel entre les deux acteurs criminels.<\/p>\n<p>&#8220;Le groupe derri\u00e8re Raspberry Robin est le fabricant de certains des outils que LockBit utilise \u00e9galement&#8221;, a th\u00e9oris\u00e9 la soci\u00e9t\u00e9, ajoutant qu&#8217;il &#8220;a fait appel aux services de l&#8217;affili\u00e9 responsable des techniques utilis\u00e9es par LockBit&#8221;.<\/p>\n<p>Cela dit, les intrusions semblent \u00eatre une op\u00e9ration de reconnaissance, car aucune donn\u00e9e n&#8217;est renvoy\u00e9e du domaine TOR, ce qui sugg\u00e8re que le groupe \u00e0 l&#8217;origine du logiciel malveillant &#8220;teste les eaux pour voir jusqu&#8217;o\u00f9 ses d\u00e9ploiements peuvent se propager&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/raspberry-robin-worm-strikes-again.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 d\u00e9cembre 2022\ue804Ravie Lakshmanan Le Rouge-gorge Framboise Le ver a \u00e9t\u00e9 utilis\u00e9 dans des attaques contre les syst\u00e8mes de t\u00e9l\u00e9communications et de bureaux gouvernementaux en Am\u00e9rique latine, en Australie et en Europe depuis au moins septembre 2022. &#8220;La charge utile principale elle-m\u00eame contient plus de 10 couches d&#8217;obscurcissement et est capable de fournir une fausse [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":521795,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4175,4168,4158,4165,4161,1986,44652,4157,4159,4171,4170,65,4167,4160,680,4163,4162,42956,4792,4172,4169,5046,34776,4166,4164,133792],"class_list":["post-521794","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-frappe","tag-gouvernementaux","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-raspberry","tag-robin","tag-securite-informatique","tag-securite-internet","tag-systemes","tag-telecommunications","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-worm"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/521794","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=521794"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/521794\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/521795"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=521794"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=521794"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=521794"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}