{"id":524974,"date":"2022-12-23T10:15:43","date_gmt":"2022-12-23T12:15:43","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-chercheurs-mettent-en-garde-contre-les-attaques-de-phishing-kavach-2fa-ciblant-le-gouvernement-indien-officiels\/"},"modified":"2022-12-23T10:15:45","modified_gmt":"2022-12-23T12:15:45","slug":"les-chercheurs-mettent-en-garde-contre-les-attaques-de-phishing-kavach-2fa-ciblant-le-gouvernement-indien-officiels","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-chercheurs-mettent-en-garde-contre-les-attaques-de-phishing-kavach-2fa-ciblant-le-gouvernement-indien-officiels\/","title":{"rendered":"Les chercheurs mettent en garde contre les attaques de phishing Kavach 2FA ciblant le gouvernement indien.  Officiels"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberespionnage \/ Hackers pakistanais<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une nouvelle campagne de phishing cibl\u00e9e s&#8217;est concentr\u00e9e sur une solution d&#8217;authentification \u00e0 deux facteurs appel\u00e9e <b>Kavatch<\/b> qui est utilis\u00e9 par les repr\u00e9sentants du gouvernement indien.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Securonix a surnomm\u00e9 l&#8217;activit\u00e9 <strong>STEPPY # KAVACH<\/strong>l&#8217;attribuant \u00e0 un acteur mena\u00e7ant connu sous le nom de SideCopy sur la base de chevauchements tactiques avec des attaques pr\u00e9c\u00e9dentes.<\/p>\n<p>&#8220;Les fichiers .LNK sont utilis\u00e9s pour lancer l&#8217;ex\u00e9cution de code qui finit par t\u00e9l\u00e9charger et ex\u00e9cuter une charge utile C# malveillante, qui fonctionne comme un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT)&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Securonix Den Iuzvyk, Tim Peck et Oleg Kolesnikov. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/new-steppykavach-attack-campaign\/\" target=\"_blank\">m&#8217;a dit<\/a> dans un nouveau rapport.<\/p>\n<p>SideCopy, un <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2021\/12\/sidecopy-apt-connecting-lures-to-victims-payloads-to-infrastructure\" target=\"_blank\">\u00e9quipe de piratage<\/a> soup\u00e7onn\u00e9 d&#8217;\u00eatre d&#8217;origine pakistanaise et actif depuis au moins 2019, partagerait des liens avec un autre acteur appel\u00e9 Transparent Tribe (alias APT36 ou Mythic Leopard).<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671770183_323_LastPass-admet-une-grave-violation-de-donnees-et-des-coffres-forts.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il est \u00e9galement connu pour imiter les cha\u00eenes d&#8217;attaque exploit\u00e9es par SideWinder, un groupe prolifique d&#8217;\u00c9tats-nations qui cible de mani\u00e8re disproportionn\u00e9e les entit\u00e9s militaires bas\u00e9es au Pakistan, pour d\u00e9ployer son propre ensemble d&#8217;outils.<\/p>\n<p>Cela dit, ce n&#8217;est pas la premi\u00e8re fois que Kavach appara\u00eet comme une cible pour l&#8217;acteur.  En juillet 2021, Cisco Talos a d\u00e9taill\u00e9 une op\u00e9ration d&#8217;espionnage qui a \u00e9t\u00e9 entreprise pour voler les informations d&#8217;identification des employ\u00e9s du gouvernement indien.<\/p>\n<p>Les applications leurres sur le th\u00e8me du Kavach ont depuis \u00e9t\u00e9 coopt\u00e9es par Transparent Tribe dans ses attaques visant l&#8217;Inde depuis le d\u00e9but de l&#8217;ann\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671797743_319_Les-chercheurs-mettent-en-garde-contre-les-attaques-de-phishing.png\" alt=\"Attaques de phishing Kavach 2FA\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Attaques de phishing Kavach 2FA\"\/><\/div>\n<p>La derni\u00e8re s\u00e9quence d&#8217;attaque observ\u00e9e par Securonix au cours des deux derni\u00e8res semaines consiste \u00e0 utiliser des e-mails de phishing pour inciter les victimes potentielles \u00e0 ouvrir un fichier de raccourci (.LNK) afin d&#8217;ex\u00e9cuter une charge utile .HTA \u00e0 distance \u00e0 l&#8217;aide du <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1218\/005\/\" target=\"_blank\">mshta.exe<\/a> Utilitaire Windows.<\/p>\n<p>L&#8217;application HTML, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9, &#8220;a \u00e9t\u00e9 d\u00e9couverte h\u00e9berg\u00e9e sur un site Web probablement compromis, nich\u00e9e dans un obscur r\u00e9pertoire de&#8221; galerie &#8220;con\u00e7u pour stocker certaines des images du site&#8221;.<\/p>\n<p>Le site Web compromis en question est incometaxdelhi[.]org, le site Web officiel du d\u00e9partement indien de l&#8217;imp\u00f4t sur le revenu pour la r\u00e9gion de Delhi.  Le fichier malveillant n&#8217;est plus disponible sur le portail.<\/p>\n<p>Dans la phase suivante, l&#8217;ex\u00e9cution du fichier .HTA entra\u00eene l&#8217;ex\u00e9cution d&#8217;un code JavaScript obscurci con\u00e7u pour afficher un fichier image leurre comportant un <a rel=\"nofollow noopener\" href=\"https:\/\/pib.gov.in\/PressReleaseIframePage.aspx?PRID=1776739\" target=\"_blank\">annonce<\/a> du minist\u00e8re indien de la D\u00e9fense il y a un an en d\u00e9cembre 2021.<\/p>\n<p>Le code JavaScript t\u00e9l\u00e9charge en outre un ex\u00e9cutable \u00e0 partir d&#8217;un serveur distant, \u00e9tablit la persistance via les modifications du registre Windows et red\u00e9marre la machine pour lancer automatiquement le binaire apr\u00e8s le d\u00e9marrage.<\/p>\n<p>Le fichier binaire, pour sa part, fonctionne comme une porte d\u00e9rob\u00e9e qui permet \u00e0 l&#8217;auteur de la menace d&#8217;ex\u00e9cuter des commandes envoy\u00e9es depuis un domaine contr\u00f4l\u00e9 par l&#8217;attaquant, de r\u00e9cup\u00e9rer et d&#8217;ex\u00e9cuter des charges utiles suppl\u00e9mentaires, de prendre des captures d&#8217;\u00e9cran et d&#8217;exfiltrer des fichiers.<\/p>\n<p>Le composant d&#8217;exfiltration comprend \u00e9galement une option permettant de rechercher sp\u00e9cifiquement un fichier de base de donn\u00e9es (&#8220;kavach.db&#8221;) cr\u00e9\u00e9 par l&#8217;application Kavach sur le syst\u00e8me pour stocker les informations d&#8217;identification.<\/p>\n<p>Il convient de noter que la cha\u00eene d&#8217;infection susmentionn\u00e9e \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1600782520609488901\" target=\"_blank\">divulgu\u00e9<\/a> par MalwareHunterTeam dans une s\u00e9rie de tweets le 8 d\u00e9cembre 2022, d\u00e9crivant le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance comme MargulasRAT.<\/p>\n<p>&#8220;Sur la base des donn\u00e9es corr\u00e9l\u00e9es des \u00e9chantillons binaires obtenus du RAT utilis\u00e9 par les acteurs de la menace, cette campagne se poursuit contre des cibles indiennes non d\u00e9tect\u00e9es depuis un an&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/researchers-warn-of-kavach-2fa-phishing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 d\u00e9cembre 2022\ue804Ravie LakshmananCyberespionnage \/ Hackers pakistanais Une nouvelle campagne de phishing cibl\u00e9e s&#8217;est concentr\u00e9e sur une solution d&#8217;authentification \u00e0 deux facteurs appel\u00e9e Kavatch qui est utilis\u00e9 par les repr\u00e9sentants du gouvernement indien. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Securonix a surnomm\u00e9 l&#8217;activit\u00e9 STEPPY # KAVACHl&#8217;attribuant \u00e0 un acteur mena\u00e7ant connu sous le nom de SideCopy sur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":524975,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[88323,8074,12848,4175,4168,841,4158,4165,4161,525,583,8827,134267,4157,4159,4171,4170,65,4167,3915,4160,4163,4162,24303,8153,4172,4169,4166,4164],"class_list":["post-524974","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-2fa","tag-attaques","tag-chercheurs","tag-ciblant","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-garde","tag-gouvernement","tag-indien","tag-kavach","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mettent","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-officiels","tag-phishing","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/524974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=524974"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/524974\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/524975"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=524974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=524974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=524974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}