{"id":544006,"date":"2023-01-05T11:03:23","date_gmt":"2023-01-05T13:03:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/bluebottle-cybercrime-group-sattaque-au-secteur-financier-des-pays-africains-francophones\/"},"modified":"2023-01-05T11:03:25","modified_gmt":"2023-01-05T13:03:25","slug":"bluebottle-cybercrime-group-sattaque-au-secteur-financier-des-pays-africains-francophones","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/bluebottle-cybercrime-group-sattaque-au-secteur-financier-des-pays-africains-francophones\/","title":{"rendered":"Bluebottle Cybercrime Group s&#8217;attaque au secteur financier des pays africains francophones"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybercriminalit\u00e9 \/ S\u00e9curit\u00e9 bancaire<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un groupe de cybercriminalit\u00e9 surnomm\u00e9 Bluebottle a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques cibl\u00e9es contre le secteur financier dans des pays francophones situ\u00e9s en Afrique d&#8217;au moins juillet 2022 \u00e0 septembre 2022.<\/p>\n<p>&#8220;Le groupe fait un usage intensif d&#8217;outils \u00e0 double usage vivant hors de la terre et de logiciels malveillants de base, sans aucun logiciel malveillant personnalis\u00e9 d\u00e9ploy\u00e9 dans cette campagne&#8221;, a d\u00e9clar\u00e9 Symantec, une division de Broadcom Software, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/bluebottle-banks-targeted-africa\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que les parts d&#8217;activit\u00e9 chevauchent un cluster de menaces suivi par Group-IB sous le nom d&#8217;OPERA1ER, qui a men\u00e9 des dizaines d&#8217;attaques visant des banques, des services financiers et des soci\u00e9t\u00e9s de t\u00e9l\u00e9communications en Afrique, en Asie et en Am\u00e9rique latine entre 2018 et 2022.<\/p>\n<p>L&#8217;attribution d\u00e9coule des similitudes dans l&#8217;ensemble d&#8217;outils utilis\u00e9s, l&#8217;infrastructure d&#8217;attaque, l&#8217;absence de logiciels malveillants sur mesure et le ciblage des pays francophones d&#8217;Afrique.  Trois institutions financi\u00e8res anonymes diff\u00e9rentes dans trois pays africains ont \u00e9t\u00e9 viol\u00e9es, bien que l&#8217;on ne sache pas si Bluebottle a r\u00e9ussi \u00e0 mon\u00e9tiser les attaques.<\/p>\n<p>L&#8217;adversaire financi\u00e8rement motiv\u00e9, \u00e9galement connu sous le nom de DESKTOP-GROUP, a \u00e9t\u00e9 responsable d&#8217;une s\u00e9rie de cambriolages totalisant 11 millions de dollars, avec des dommages r\u00e9els atteignant 30 millions de dollars.<\/p>\n<p>Les attaques r\u00e9centes illustrent l&#8217;\u00e9volution des tactiques du groupe, notamment l&#8217;utilisation d&#8217;un logiciel malveillant pr\u00eat \u00e0 l&#8217;emploi nomm\u00e9 GuLoader dans les premi\u00e8res \u00e9tapes de la cha\u00eene d&#8217;infection ainsi que la militarisation des pilotes du noyau pour d\u00e9sactiver les d\u00e9fenses de s\u00e9curit\u00e9.<\/p>\n<p>Symantec a d\u00e9clar\u00e9 qu&#8217;il ne pouvait pas retracer le vecteur d&#8217;intrusion initial, bien qu&#8217;il ait d\u00e9tect\u00e9 des fichiers sur le th\u00e8me de l&#8217;emploi sur les r\u00e9seaux victimes, indiquant que l&#8217;embauche de leurres de phishing li\u00e9s \u00e0 l&#8217;embauche \u00e9tait probablement utilis\u00e9e pour inciter les cibles \u00e0 ouvrir des pi\u00e8ces jointes malveillantes.<\/p>\n<p>De plus, une attaque d\u00e9tect\u00e9e \u00e0 la mi-mai 2022 impliquait la livraison d&#8217;un malware voleur d&#8217;informations sous la forme d&#8217;un fichier ZIP contenant un fichier d&#8217;\u00e9conomiseur d&#8217;\u00e9cran ex\u00e9cutable (.SCR).  En juillet 2022, on a \u00e9galement observ\u00e9 l&#8217;utilisation d&#8217;un fichier d&#8217;image de disque optique (.ISO), qui a \u00e9t\u00e9 utilis\u00e9 par de nombreux acteurs malveillants comme moyen de distribuer des logiciels malveillants.<\/p>\n<p>&#8220;Si les acteurs Bluebottle et OPERA1ER ne font qu&#8217;un, cela signifierait qu&#8217;ils ont \u00e9chang\u00e9 leurs techniques d&#8217;infection entre mai et juillet 2022&#8221;, notent les chercheurs.<\/p>\n<p>Les pi\u00e8ces jointes de harponnage ont conduit au d\u00e9ploiement de GuLoader, qui agit ensuite comme un conduit pour d\u00e9poser des charges utiles suppl\u00e9mentaires sur la machine, telles que Netwire, Quasar RAT et Cobalt Strike Beacon.  Le mouvement lat\u00e9ral est facilit\u00e9 gr\u00e2ce \u00e0 des outils comme PsExec et SharpHound.<\/p>\n<p>Une autre technique adopt\u00e9e par le groupe est l&#8217;utilisation de pilotes sign\u00e9s pour mettre fin au logiciel de s\u00e9curit\u00e9, une m\u00e9thode qui a \u00e9t\u00e9 utilis\u00e9e par plusieurs \u00e9quipes de piratage \u00e0 des fins similaires, selon les conclusions de Mandiant, SentinelOne et Sophos le mois dernier.<\/p>\n<p>Les acteurs de la menace \u00e9tant soup\u00e7onn\u00e9s d&#8217;\u00eatre francophones, il est probable que les attaques pourraient s&#8217;\u00e9tendre \u00e0 d&#8217;autres pays francophones \u00e0 travers le monde, a averti la soci\u00e9t\u00e9.<\/p>\n<p>&#8220;L&#8217;efficacit\u00e9 de ses campagnes signifie qu&#8217;il est peu probable que Bluebottle arr\u00eate cette activit\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Il semble \u00eatre tr\u00e8s concentr\u00e9 sur les pays francophones d&#8217;Afrique, les institutions financi\u00e8res de ces pays doivent donc rester en \u00e9tat d&#8217;alerte.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/bluebottle-cybercrime-group-preys-on.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 janvier 2023\ue804Ravie LakshmananCybercriminalit\u00e9 \/ S\u00e9curit\u00e9 bancaire Un groupe de cybercriminalit\u00e9 surnomm\u00e9 Bluebottle a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques cibl\u00e9es contre le secteur financier dans des pays francophones situ\u00e9s en Afrique d&#8217;au moins juillet 2022 \u00e0 septembre 2022. &#8220;Le groupe fait un usage intensif d&#8217;outils \u00e0 double usage vivant hors de la terre et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":544007,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[10518,137029,4168,4158,4165,4161,75286,133,643,48054,4555,4157,4159,4171,4170,4167,4160,4163,4162,1480,23471,3205,4172,4169,4166,4164],"class_list":["post-544006","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-africains","tag-bluebottle","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cybercrime","tag-des","tag-financier","tag-francophones","tag-group","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pays","tag-sattaque","tag-secteur","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/544006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=544006"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/544006\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/544007"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=544006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=544006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=544006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}