{"id":612333,"date":"2023-02-17T11:04:28","date_gmt":"2023-02-17T13:04:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/entites-armeniennes-touchees-par-la-nouvelle-version-de-loutil-despionnage-oxtarat\/"},"modified":"2023-02-17T11:04:30","modified_gmt":"2023-02-17T13:04:30","slug":"entites-armeniennes-touchees-par-la-nouvelle-version-de-loutil-despionnage-oxtarat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/entites-armeniennes-touchees-par-la-nouvelle-version-de-loutil-despionnage-oxtarat\/","title":{"rendered":"Entit\u00e9s arm\u00e9niennes touch\u00e9es par la nouvelle version de l&#8217;outil d&#8217;espionnage OxtaRAT"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybermenace \/ Surveillanceware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des entit\u00e9s en Arm\u00e9nie ont subi une cyberattaque en utilisant une version mise \u00e0 jour d&#8217;une porte d\u00e9rob\u00e9e appel\u00e9e <strong>OxtaRAT<\/strong> qui permet l&#8217;acc\u00e8s \u00e0 distance et la surveillance du bureau.<\/p>\n<p>&#8220;Les capacit\u00e9s de l&#8217;outil incluent la recherche et l&#8217;exfiltration de fichiers de la machine infect\u00e9e, l&#8217;enregistrement de la vid\u00e9o \u00e0 partir de la cam\u00e9ra Web et du bureau, le contr\u00f4le \u00e0 distance de la machine compromise avec TightVNC, l&#8217;installation d&#8217;un shell Web, l&#8217;analyse des ports, etc.&#8221;, Check Point Research <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/operation-silent-watch-desktop-surveillance-in-azerbaijan-and-armenia\/\" target=\"_blank\">a dit<\/a> dans un rapport.<\/p>\n<p>La derni\u00e8re campagne aurait commenc\u00e9 en novembre 2022 et marque la premi\u00e8re fois que les acteurs de la menace derri\u00e8re l&#8217;activit\u00e9 ont \u00e9tendu leur champ d&#8217;action au-del\u00e0 de l&#8217;Azerba\u00efdjan.<\/p>\n<p>&#8220;Les acteurs de la menace derri\u00e8re ces attaques ciblent les organisations de d\u00e9fense des droits de l&#8217;homme, les dissidents et les m\u00e9dias ind\u00e9pendants en Azerba\u00efdjan depuis plusieurs ann\u00e9es&#8221;, a not\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, appelant la campagne Operation Silent Watch.<\/p>\n<p>Les intrusions de fin 2022 sont importantes, notamment en raison des changements dans la cha\u00eene d&#8217;infection, des mesures prises pour am\u00e9liorer la s\u00e9curit\u00e9 op\u00e9rationnelle et \u00e9quiper la porte d\u00e9rob\u00e9e de plus de munitions.<\/p>\n<p>Le point de d\u00e9part de la s\u00e9quence d&#8217;attaque est une archive auto-extractible qui imite un fichier PDF et porte une ic\u00f4ne PDF.  Le lancement du pr\u00e9tendu &#8220;document&#8221; ouvre un fichier leurre tout en ex\u00e9cutant furtivement un code malveillant cach\u00e9 dans une image.<\/p>\n<p>Un fichier polyglotte qui combine un script AutoIT compil\u00e9 et une image, OxtaRAT propose des commandes qui permettent \u00e0 l&#8217;auteur de la menace d&#8217;ex\u00e9cuter des commandes et des fichiers suppl\u00e9mentaires, de r\u00e9colter des informations sensibles, d&#8217;effectuer une reconnaissance et une surveillance via une cam\u00e9ra Web, et m\u00eame de pivoter vers d&#8217;autres. <\/p>\n<p>OxtaRAT a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.qurium.org\/alerts\/phishing-attack-against-azerbaijani-political-and-human-right-activities\/\" target=\"_blank\">mettre \u00e0 profit<\/a> par le <a rel=\"nofollow noopener\" href=\"https:\/\/www.qurium.org\/alerts\/azerbaijan\/yet-another-targeted-malware-against-azerbajani-political-activists\/\" target=\"_blank\">adversaire<\/a> d\u00e8s juin 2021, bien qu&#8217;avec des fonctionnalit\u00e9s consid\u00e9rablement r\u00e9duites, ce qui indique une tentative de mettre \u00e0 jour constamment son ensemble d&#8217;outils et de le transformer en un malware de couteau suisse.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676639068_314_Entites-armeniennes-touchees-par-la-nouvelle-version-de-loutil-despionnage.png\" alt=\"\" border=\"0\" data-original-height=\"414\" data-original-width=\"728\"\/><\/div>\n<p>L&#8217;attaque de novembre 2022 se d\u00e9marque \u00e9galement pour un certain nombre de raisons.  La premi\u00e8re est que les fichiers .SCR qui activent la cha\u00eene de destruction contiennent d\u00e9j\u00e0 l&#8217;implant OxtaRAT au lieu d&#8217;agir comme un t\u00e9l\u00e9chargeur pour r\u00e9cup\u00e9rer le malware.<\/p>\n<p>&#8220;Cela \u00e9vite aux acteurs d&#8217;avoir \u00e0 faire des demandes suppl\u00e9mentaires de fichiers binaires au serveur C&#038;C et d&#8217;attirer une attention inutile, tout en emp\u00eachant le principal logiciel malveillant d&#8217;\u00eatre facilement d\u00e9couvert sur la machine infect\u00e9e, car il ressemble \u00e0 une image normale et contourne les sp\u00e9cificit\u00e9s de type. protections \u00bb, a expliqu\u00e9 Check Point.<\/p>\n<p>Le deuxi\u00e8me aspect frappant est le g\u00e9orep\u00e9rage des domaines de commande et de contr\u00f4le (C2) qui h\u00e9bergent les outils auxiliaires des adresses IP arm\u00e9niennes.<\/p>\n<p>Il convient \u00e9galement de noter la capacit\u00e9 d&#8217;OxtaRAT \u00e0 ex\u00e9cuter des commandes pour l&#8217;analyse des ports et \u00e0 tester la vitesse d&#8217;une connexion Internet, cette derni\u00e8re \u00e9tant probablement utilis\u00e9e comme un moyen de masquer l&#8217;exfiltration &#8220;\u00e9tendue&#8221; des donn\u00e9es.<\/p>\n<p>&#8220;OxtaRAT, qui disposait auparavant principalement de capacit\u00e9s de reconnaissance et de surveillance locales, peut d\u00e9sormais \u00eatre utilis\u00e9 comme pivot pour la reconnaissance active d&#8217;autres appareils&#8221;, a d\u00e9clar\u00e9 Check Point.<\/p>\n<p>&#8220;Cela peut indiquer que les acteurs de la menace se pr\u00e9parent \u00e0 \u00e9tendre leur principal vecteur d&#8217;attaque, qui est actuellement l&#8217;ing\u00e9nierie sociale, aux attaques bas\u00e9es sur les infrastructures. Cela pourrait \u00e9galement \u00eatre un signe que les acteurs passent du ciblage des individus au ciblage d&#8217;environnements plus complexes ou d&#8217;entreprise. .&#8221;<\/p>\n<p>&#8220;Les acteurs de la menace sous-jacente ont maintenu le d\u00e9veloppement de logiciels malveillants bas\u00e9s sur Auto-IT au cours des sept derni\u00e8res ann\u00e9es et les utilisent dans des campagnes de surveillance dont les cibles sont compatibles avec les int\u00e9r\u00eats azerba\u00efdjanais.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/armenian-entities-hit-by-new-version-of.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 f\u00e9vrier 2023\ue804Ravie LakshmananCybermenace \/ Surveillanceware Des entit\u00e9s en Arm\u00e9nie ont subi une cyberattaque en utilisant une version mise \u00e0 jour d&#8217;une porte d\u00e9rob\u00e9e appel\u00e9e OxtaRAT qui permet l&#8217;acc\u00e8s \u00e0 distance et la surveillance du bureau. &#8220;Les capacit\u00e9s de l&#8217;outil incluent la recherche et l&#8217;exfiltration de fichiers de la machine infect\u00e9e, l&#8217;enregistrement de la vid\u00e9o [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":612334,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[146507,4168,4158,4165,4161,10729,32776,4157,4159,4171,4170,4167,5665,4160,197,4163,4162,146508,164,4172,4169,4257,971,4166,4164],"class_list":["post-612333","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-armeniennes","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-despionnage","tag-entites","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-loutil","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-oxtarat","tag-par","tag-securite-informatique","tag-securite-internet","tag-touchees","tag-version","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/612333","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=612333"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/612333\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/612334"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=612333"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=612333"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=612333"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}