{"id":567737,"date":"2023-01-20T12:38:47","date_gmt":"2023-01-20T14:38:47","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-gamaredon-lance-des-cyberattaques-contre-lukraine-a-laide-de-telegram\/"},"modified":"2023-01-20T12:38:48","modified_gmt":"2023-01-20T14:38:48","slug":"le-groupe-gamaredon-lance-des-cyberattaques-contre-lukraine-a-laide-de-telegram","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-gamaredon-lance-des-cyberattaques-contre-lukraine-a-laide-de-telegram\/","title":{"rendered":"Le groupe Gamaredon lance des cyberattaques contre l&#8217;Ukraine \u00e0 l&#8217;aide de Telegram"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberguerre \/ Cyberattaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le groupe de cyberespionnage parrain\u00e9 par l&#8217;\u00c9tat russe connu sous le nom de Gamaredon a poursuivi son attaque num\u00e9rique contre l&#8217;Ukraine, avec de r\u00e9centes attaques tirant parti de l&#8217;application de messagerie populaire Telegram pour frapper les secteurs militaire et des forces de l&#8217;ordre dans le pays.<\/p>\n<p>&#8220;L&#8217;infrastructure r\u00e9seau du groupe Gamaredon s&#8217;appuie sur des comptes Telegram en plusieurs \u00e9tapes pour le profilage des victimes et la confirmation de l&#8217;emplacement g\u00e9ographique, puis conduit finalement la victime vers le serveur de la prochaine \u00e9tape pour la charge utile finale&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe BlackBerry Research and Intelligence. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2023\/01\/gamaredon-abuses-telegram-to-target-ukrainian-organizations\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.  &#8220;Ce type de technique pour infecter les syst\u00e8mes cibles est nouveau.&#8221;<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2022\/11\/gamaredon-leverages-microsoft-office-docs-to-target-ukraine-government\" target=\"_blank\">Gamaredon<\/a>\u00e9galement connu sous des noms tels que Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa et Winterflounder, est connu pour ses assauts contre des entit\u00e9s ukrainiennes depuis au moins 2013.<\/p>\n<p>Le mois dernier, l&#8217;unit\u00e9 42 de Palo Alto Networks a r\u00e9v\u00e9l\u00e9 les tentatives infructueuses de l&#8217;acteur mena\u00e7ant de s&#8217;introduire dans une soci\u00e9t\u00e9 de raffinage de p\u00e9trole anonyme dans un \u00c9tat membre de l&#8217;OTAN au milieu de la guerre russo-ukrainienne.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque mont\u00e9es par l&#8217;acteur de la menace ont utilis\u00e9 des documents Microsoft Office l\u00e9gitimes provenant d&#8217;organisations gouvernementales ukrainiennes comme leurres dans des e-mails de harponnage pour diffuser des logiciels malveillants capables de r\u00e9colter des informations sensibles.<\/p>\n<p>Ces documents, lorsqu&#8217;ils sont ouverts, chargent un mod\u00e8le malveillant \u00e0 partir d&#8217;une source distante (une technique appel\u00e9e injection de mod\u00e8le \u00e0 distance), contournant efficacement la n\u00e9cessit\u00e9 d&#8217;activer les macros afin de violer les syst\u00e8mes cibles et de propager l&#8217;infection.<\/p>\n<p>Les derni\u00e8res d\u00e9couvertes de BlackBerry d\u00e9montrent une \u00e9volution dans la tactique du groupe, dans laquelle un canal Telegram cod\u00e9 en dur est utilis\u00e9 pour r\u00e9cup\u00e9rer l&#8217;adresse IP du serveur h\u00e9bergeant le malware.  Les adresses IP sont p\u00e9riodiquement tourn\u00e9es pour voler sous le radar.<\/p>\n<p>\u00c0 cette fin, le mod\u00e8le distant est con\u00e7u pour r\u00e9cup\u00e9rer un script VBA, qui d\u00e9pose un fichier VBScript qui se connecte ensuite \u00e0 l&#8217;adresse IP sp\u00e9cifi\u00e9e dans le canal Telegram pour r\u00e9cup\u00e9rer l&#8217;\u00e9tape suivante &#8211; un script PowerShell qui, \u00e0 son tour, atteint \u00e0 une adresse IP diff\u00e9rente pour obtenir un fichier PHP.<\/p>\n<p>Ce fichier PHP est charg\u00e9 de contacter un autre canal Telegram pour r\u00e9cup\u00e9rer une troisi\u00e8me adresse IP contenant la charge utile finale, qui est un logiciel malveillant voleur d&#8217;informations qui a \u00e9t\u00e9 pr\u00e9c\u00e9demment r\u00e9v\u00e9l\u00e9 par Cisco Talos en septembre 2022.<\/p>\n<p>Il convient \u00e9galement de souligner que le script VBA fortement obscurci n&#8217;est livr\u00e9 que si l&#8217;adresse IP de la cible est situ\u00e9e en Ukraine.<\/p>\n<p>&#8220;Le groupe de menaces modifie les adresses IP de mani\u00e8re dynamique, ce qui rend encore plus difficile l&#8217;automatisation de l&#8217;analyse via des techniques de bac \u00e0 sable une fois que l&#8217;\u00e9chantillon a vieilli&#8221;, a soulign\u00e9 BlackBerry.<\/p>\n<p>&#8220;Le fait que les adresses IP suspectes ne changent que pendant les heures de travail en Europe de l&#8217;Est sugg\u00e8re fortement que l&#8217;acteur de la menace travaille \u00e0 partir d&#8217;un seul endroit et appartient tr\u00e8s probablement \u00e0 une cyber-unit\u00e9 offensive qui d\u00e9ploie des op\u00e9rations malveillantes contre l&#8217;Ukraine.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient alors que l&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) <a rel=\"nofollow noopener\" href=\"https:\/\/cip.gov.ua\/en\/news\/kiberataka-ne-zmogla-zupiniti-robotu-informaciinogo-agentstva-ukrinform\" target=\"_blank\">attribu\u00e9<\/a> un <a rel=\"nofollow noopener\" href=\"https:\/\/cip.gov.ua\/ua\/news\/ukrinform-mogli-atakuvati-khakeri-z-ugrupuvannya-sandworm-pov-yazanogo-z-rosiiskim-gru-poperedni-dani-doslidzhennya-cert-ua\" target=\"_blank\">attaque de malware destructrice<\/a> visant l&#8217;Agence nationale de presse d&#8217;Ukraine au groupe de piratage li\u00e9 \u00e0 la Russie Sandworm.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/gamaredon-group-launches-cyberattacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 janvier 2023\ue804Ravie LakshmananCyberguerre \/ Cyberattaque Le groupe de cyberespionnage parrain\u00e9 par l&#8217;\u00c9tat russe connu sous le nom de Gamaredon a poursuivi son attaque num\u00e9rique contre l&#8217;Ukraine, avec de r\u00e9centes attaques tirant parti de l&#8217;application de messagerie populaire Telegram pour frapper les secteurs militaire et des forces de l&#8217;ordre dans le pays. &#8220;L&#8217;infrastructure r\u00e9seau du [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":567738,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,841,4158,4165,4161,6124,133,109116,681,4157,4159,4171,4170,1151,1647,4167,770,4160,4163,4162,4172,4169,10787,4166,4164],"class_list":["post-567737","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberattaques","tag-des","tag-gamaredon","tag-groupe","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-laide","tag-lance","tag-logiciel-malveillant-de-ransomware","tag-lukraine","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-telegram","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/567737","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=567737"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/567737\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/567738"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=567737"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=567737"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=567737"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}