{"id":576489,"date":"2023-01-26T03:48:24","date_gmt":"2023-01-26T05:48:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-agences-federales-americaines-sont-victimes-dune-cyberattaque-utilisant-un-logiciel-rmm-legitime\/"},"modified":"2023-01-26T03:48:25","modified_gmt":"2023-01-26T05:48:25","slug":"les-agences-federales-americaines-sont-victimes-dune-cyberattaque-utilisant-un-logiciel-rmm-legitime","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-agences-federales-americaines-sont-victimes-dune-cyberattaque-utilisant-un-logiciel-rmm-legitime\/","title":{"rendered":"Les agences f\u00e9d\u00e9rales am\u00e9ricaines sont victimes d&#8217;une cyberattaque utilisant un logiciel RMM l\u00e9gitime"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybermenace \/ Hame\u00e7onnage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Aux \u00c9tats-Unis, au moins deux agences f\u00e9d\u00e9rales ont \u00e9t\u00e9 victimes d&#8217;une \u00ab cybercampagne g\u00e9n\u00e9ralis\u00e9e \u00bb qui impliquait l&#8217;utilisation d&#8217;un logiciel l\u00e9gitime de surveillance et de gestion \u00e0 distance (RMM) pour perp\u00e9tuer une escroquerie par hame\u00e7onnage.<\/p>\n<p>&#8220;Plus pr\u00e9cis\u00e9ment, les cybercriminels ont envoy\u00e9 des e-mails de phishing qui ont conduit au t\u00e9l\u00e9chargement de logiciels RMM l\u00e9gitimes &#8211; ScreenConnect (maintenant ConnectWise Control) et AnyDesk &#8211; que les acteurs ont utilis\u00e9s dans une escroquerie de remboursement pour voler de l&#8217;argent sur les comptes bancaires des victimes&#8221;, ont d\u00e9clar\u00e9 les autorit\u00e9s am\u00e9ricaines de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa23-025a\" target=\"_blank\">m&#8217;a dit<\/a>.<\/p>\n<p>L&#8217;avis conjoint provient de la Cybersecurity and Infrastructure Security Agency (CISA), de la National Security Agency (NSA) et du Multi-State Information Sharing and Analysis Center (MS-ISAC).<\/p>\n<p>Les attaques, qui ont eu lieu \u00e0 la mi-juin et \u00e0 la mi-septembre 2022, ont des motivations financi\u00e8res, bien que les acteurs de la menace puissent militariser l&#8217;acc\u00e8s non autoris\u00e9 pour mener un large \u00e9ventail d&#8217;activit\u00e9s, y compris la vente de cet acc\u00e8s \u00e0 d&#8217;autres \u00e9quipes de piratage.<\/p>\n<p>L&#8217;utilisation de logiciels distants par des groupes criminels est depuis longtemps une pr\u00e9occupation car elle offre une voie efficace pour \u00e9tablir l&#8217;acc\u00e8s des utilisateurs locaux sur un h\u00f4te sans avoir besoin d&#8217;\u00e9lever les privil\u00e8ges ou d&#8217;obtenir un pied par d&#8217;autres moyens.<\/p>\n<p>Dans un cas, les acteurs de la menace ont envoy\u00e9 un e-mail de phishing contenant un num\u00e9ro de t\u00e9l\u00e9phone \u00e0 l&#8217;adresse e-mail gouvernementale d&#8217;un employ\u00e9, invitant l&#8217;individu \u00e0 acc\u00e9der \u00e0 un domaine malveillant.  Les e-mails, a d\u00e9clar\u00e9 la CISA, font partie d&#8217;attaques d&#8217;ing\u00e9nierie sociale sur le th\u00e8me du service d&#8217;assistance orchestr\u00e9es par les acteurs de la menace depuis au moins juin 2022 ciblant les employ\u00e9s f\u00e9d\u00e9raux.<\/p>\n<p>Les missives li\u00e9es \u00e0 l&#8217;abonnement contiennent soit un domaine escroc de &#8220;premi\u00e8re \u00e9tape&#8221;, soit s&#8217;engagent dans une tactique connue sous le nom de phishing de rappel pour inciter les destinataires \u00e0 appeler un num\u00e9ro de t\u00e9l\u00e9phone contr\u00f4l\u00e9 par un acteur pour visiter le m\u00eame domaine.<\/p>\n<p>Quelle que soit l&#8217;approche utilis\u00e9e, le domaine malveillant d\u00e9clenche le t\u00e9l\u00e9chargement d&#8217;un binaire qui se connecte ensuite \u00e0 un domaine de second \u00e9tage pour r\u00e9cup\u00e9rer le logiciel RMM sous forme d&#8217;ex\u00e9cutables portables.<\/p>\n<p>L&#8217;objectif final est de tirer parti du logiciel RMM pour lancer une arnaque au remboursement.  Ceci est r\u00e9alis\u00e9 en demandant aux victimes de se connecter \u00e0 leurs comptes bancaires, apr\u00e8s quoi les acteurs modifient le r\u00e9sum\u00e9 du compte bancaire pour donner l&#8217;impression que l&#8217;individu a \u00e9t\u00e9 rembours\u00e9 par erreur d&#8217;une somme d&#8217;argent exc\u00e9dentaire.<\/p>\n<p>Dans la derni\u00e8re \u00e9tape, les op\u00e9rateurs d&#8217;escroquerie exhortent les destinataires des e-mails \u00e0 rembourser le montant suppl\u00e9mentaire, les escroquant ainsi de leurs fonds.<\/p>\n<p>La CISA a attribu\u00e9 l&#8217;activit\u00e9 \u00e0 une &#8220;grande op\u00e9ration de cheval de Troie&#8221; <a rel=\"nofollow noopener\" href=\"https:\/\/www.silentpush.com\/blog\/silent-push-uncovers-a-large-phishing-operation-featuring-amazon-geek-squad-mcafee-microsoft-norton-and-paypal-domains\" target=\"_blank\">divulgu\u00e9<\/a> par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Silent Push en octobre 2022. Cela dit, des m\u00e9thodes similaires de diffusion d&#8217;attaques par t\u00e9l\u00e9phone ont \u00e9t\u00e9 adopt\u00e9es par d&#8217;autres acteurs, dont Luna Moth (alias Silent Ransom).<\/p>\n<p>&#8220;Cette campagne met en \u00e9vidence la menace d&#8217;une cyberactivit\u00e9 malveillante associ\u00e9e \u00e0 un logiciel RMM l\u00e9gitime\u00a0: apr\u00e8s avoir obtenu l&#8217;acc\u00e8s au r\u00e9seau cible via le phishing ou d&#8217;autres techniques, les cyberacteurs malveillants &#8211; des cybercriminels aux APT parrain\u00e9s par l&#8217;\u00c9tat national &#8211; sont connus pour utiliser un logiciel RMM l\u00e9gitime comme une porte d\u00e9rob\u00e9e pour la persistance et\/ou le commandement et le contr\u00f4le (C2)&#8221;, ont averti les agences.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/us-federal-agencies-fall-victim-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 janvier 2023\ue804Ravie LakshmananCybermenace \/ Hame\u00e7onnage Aux \u00c9tats-Unis, au moins deux agences f\u00e9d\u00e9rales ont \u00e9t\u00e9 victimes d&#8217;une \u00ab cybercampagne g\u00e9n\u00e9ralis\u00e9e \u00bb qui impliquait l&#8217;utilisation d&#8217;un logiciel l\u00e9gitime de surveillance et de gestion \u00e0 distance (RMM) pour perp\u00e9tuer une escroquerie par hame\u00e7onnage. &#8220;Plus pr\u00e9cis\u00e9ment, les cybercriminels ont envoy\u00e9 des e-mails de phishing qui ont conduit au [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":576490,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5462,1076,4168,4158,4165,4161,2786,1326,50311,4157,4159,4171,4170,54287,65,6816,4167,4160,4163,4162,141574,4172,4169,317,20349,1884,4166,4164],"class_list":["post-576489","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-agences","tag-americaines","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberattaque","tag-dune","tag-federales","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-legitime","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-rmm","tag-securite-informatique","tag-securite-internet","tag-sont","tag-utilisant","tag-victimes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/576489","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=576489"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/576489\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/576490"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=576489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=576489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=576489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}