Un acteur de la menace bi\u00e9lorusse connu sous le nom de Ghostwriter (alias UNC1151) a \u00e9t\u00e9 rep\u00e9r\u00e9 en train d’utiliser la technique du navigateur dans le navigateur (BitB) r\u00e9cemment divulgu\u00e9e dans le cadre de ses campagnes de phishing d’informations d’identification exploitant le conflit russo-ukrainien en cours.<\/p>\n
La m\u00e9thode, qui se fait passer pour un domaine l\u00e9gitime en simulant une fen\u00eatre de navigateur dans le navigateur, permet de monter des campagnes d’ing\u00e9nierie sociale convaincantes.<\/p>\n
“Les acteurs de Ghostwriter ont rapidement adopt\u00e9 cette nouvelle technique, en la combinant avec une technique pr\u00e9c\u00e9demment observ\u00e9e, en h\u00e9bergeant des pages de destination de phishing d’informations d’identification sur des sites compromis”, a d\u00e9clar\u00e9 le groupe d’analyse des menaces (TAG) de Google. mentionn\u00e9<\/a> dans un nouveau rapport, en l’utilisant pour siphonner les informations d’identification saisies par des victimes insoup\u00e7onn\u00e9es vers un serveur distant.<\/p>\n Parmi les autres groupes utilisant la guerre comme leurre dans des campagnes de phishing et de logiciels malveillants pour tromper les cibles en ouvrant des e-mails ou des liens frauduleux, citons Mustang Panda et Scarab ainsi que des acteurs \u00e9tatiques d’Iran, de Cor\u00e9e du Nord et de Russie.<\/p>\n Curious Gorge, une \u00e9quipe de piratage que TAG a attribu\u00e9e \u00e0 la Force de soutien strat\u00e9gique de l’Arm\u00e9e populaire de lib\u00e9ration de Chine (PLASSF), qui a orchestr\u00e9 des attaques contre des organisations gouvernementales et militaires en Ukraine, en Russie, au Kazakhstan et en Mongolie, figure \u00e9galement sur la liste.<\/p>\n Une troisi\u00e8me s\u00e9rie d’attaques observ\u00e9es au cours des deux derni\u00e8res semaines provenait du groupe de piratage bas\u00e9 en Russie connu sous le nom de COLDRIVER (alias Calisto). TAG a d\u00e9clar\u00e9 que l’acteur avait organis\u00e9 des campagnes de phishing d’informations d’identification ciblant plusieurs ONG et groupes de r\u00e9flexion bas\u00e9s aux \u00c9tats-Unis, l’arm\u00e9e d’un pays des Balkans et un entrepreneur de la d\u00e9fense ukrainien anonyme.<\/p>\n “Cependant, pour la premi\u00e8re fois, TAG a observ\u00e9 des campagnes COLDRIVER ciblant les militaires de plusieurs pays d’Europe de l’Est, ainsi qu’un centre d’excellence de l’OTAN”, a d\u00e9clar\u00e9 Billy Leonard, chercheur au TAG. “Ces campagnes ont \u00e9t\u00e9 envoy\u00e9es \u00e0 l’aide de comptes Gmail nouvellement cr\u00e9\u00e9s \u00e0 des comptes autres que Google, de sorte que le taux de r\u00e9ussite de ces campagnes est inconnu.”<\/p>\n La divulgation intervient alors que la soci\u00e9t\u00e9 de t\u00e9l\u00e9communications am\u00e9ricaine Viasat a d\u00e9voil\u00e9 les d\u00e9tails d’une cyberattaque “multiforme et d\u00e9lib\u00e9r\u00e9e” contre son r\u00e9seau KA-SAT le 24 f\u00e9vrier 2022, co\u00efncidant avec l’invasion militaire de l’Ukraine par la Russie.<\/p>\n L’attaque contre le service haut d\u00e9bit par satellite a d\u00e9connect\u00e9 des dizaines de milliers de modems du r\u00e9seau, affectant plusieurs clients en Ukraine et dans toute l’Europe et affectant la exploitation de 5 800 \u00e9oliennes<\/a> appartenant \u00e0 la soci\u00e9t\u00e9 allemande Enercon en Europe centrale.<\/p>\n “Nous pensons que le but de l’attaque \u00e9tait d’interrompre le service”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. expliqu\u00e9<\/a>. “Il n’y a aucune preuve que les donn\u00e9es de l’utilisateur final ont \u00e9t\u00e9 consult\u00e9es ou compromises, ni que l’\u00e9quipement personnel du client (PC, appareils mobiles, etc.) n’a pas \u00e9t\u00e9 consult\u00e9 de mani\u00e8re inappropri\u00e9e, ni aucune preuve que le satellite KA-SAT lui-m\u00eame ou son satellite de support au sol l’infrastructure elle-m\u00eame ont \u00e9t\u00e9 directement impliqu\u00e9es, alt\u00e9r\u00e9es ou compromises.”<\/p>\n Viasat a li\u00e9 l’attaque \u00e0 une “intrusion de r\u00e9seau au sol” qui a exploit\u00e9 une mauvaise configuration dans un appareil VPN pour obtenir un acc\u00e8s \u00e0 distance au r\u00e9seau KA-SAT et ex\u00e9cuter des commandes destructrices sur les modems qui “ont \u00e9cras\u00e9 les donn\u00e9es cl\u00e9s dans la m\u00e9moire flash”, les rendant temporairement incapable d’acc\u00e9der au r\u00e9seau.<\/p>\n Les attaques incessantes sont les derni\u00e8res d’une longue liste de cyberactivit\u00e9s malveillantes qui ont \u00e9merg\u00e9 \u00e0 la suite du conflit persistant en Europe de l’Est, les r\u00e9seaux gouvernementaux et commerciaux souffrant d’une s\u00e9rie d’infections perturbatrices d’effacement de donn\u00e9es ainsi que d’une s\u00e9rie d’attaques distribu\u00e9es en cours. attaques par d\u00e9ni de service (DDoS).<\/p>\n Cela a \u00e9galement pris la forme de compromettre des sites WordPress l\u00e9gitimes pour injecter du code JavaScript malveillant dans le but de mener des attaques DDoS contre des domaines ukrainiens, selon des chercheurs<\/a> de l’\u00e9quipe MalwareHunter.<\/p>\n Mais il n’y a pas que l’Ukraine. Malwarebytes Labs a pr\u00e9sent\u00e9 cette semaine les d\u00e9tails d’une nouvelle campagne de harponnage ciblant les citoyens russes et les entit\u00e9s gouvernementales dans le but de d\u00e9ployer des charges utiles pernicieuses sur des syst\u00e8mes compromis.<\/p>\n “Les e-mails de spear phishing avertissent les personnes qui utilisent des sites Web, des r\u00e9seaux sociaux, des messageries instantan\u00e9es et des services VPN qui ont \u00e9t\u00e9 interdits par le gouvernement russe et que des accusations criminelles seront port\u00e9es”, Hossein Jazi mentionn\u00e9<\/a>. “Les victimes sont incit\u00e9es \u00e0 ouvrir une pi\u00e8ce jointe ou un lien malveillant pour en savoir plus, pour ensuite \u00eatre infect\u00e9es par Cobalt Strike.”<\/p>\n Les documents RTF contenant des logiciels malveillants contiennent un exploit pour la vuln\u00e9rabilit\u00e9 d’ex\u00e9cution de code \u00e0 distance MSHTML largement abus\u00e9e (CVE-2021-40444), conduisant \u00e0 l’ex\u00e9cution d’un code JavaScript qui g\u00e9n\u00e8re une commande PowerShell pour t\u00e9l\u00e9charger et ex\u00e9cuter une balise Cobalt Strike r\u00e9cup\u00e9r\u00e9e \u00e0 partir d’un serveur distant.<\/p>\n Un autre groupe d’activit\u00e9s concerne potentiellement un acteur de la menace russe suivi sous le nom de Carbon Spider (alias FIN7), qui a utilis\u00e9 un leurre maldoc similaire con\u00e7u pour supprimer une porte d\u00e9rob\u00e9e bas\u00e9e sur PowerShell capable de r\u00e9cup\u00e9rer et d’ex\u00e9cuter un ex\u00e9cutable de la prochaine \u00e9tape.<\/p>\n Malwarebytes a \u00e9galement d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 une “augmentation significative du nombre de familles de logiciels malveillants utilis\u00e9s dans l’intention de voler des informations ou d’acc\u00e9der d’une autre mani\u00e8re en Ukraine”, notamment Hacktool.LOIC<\/a>, Ver Ainslot<\/a>FFDroider, Formulaire<\/a>, Remcos<\/a>et RAT QUASAR<\/a>.<\/p>\n “Bien que ces familles soient toutes relativement courantes dans le monde de la cybers\u00e9curit\u00e9, le fait que nous ayons assist\u00e9 \u00e0 des pics presque exactement lorsque les troupes russes ont franchi la fronti\u00e8re ukrainienne rend ces d\u00e9veloppements int\u00e9ressants et inhabituels”, a d\u00e9clar\u00e9 Adam Kujawa, directeur de Malwarebytes Labs, dans un communiqu\u00e9 partag\u00e9 avec Les nouvelles des pirates.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Le-celebre-gang-de-logiciels-malveillants-TrickBot-ferme-son-infrastructure.png\")
<\/a><\/div>\nViasat d\u00e9compose l’attaque du 24 f\u00e9vrier<\/h3>\n
![\"Cyberattaques](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648737545_206_Les-pirates-utilisent-de-plus-en-plus-la-technique-du.jpg\" "\\"Cyberattaques")
<\/div>\nLes dissidents russes vis\u00e9s par Cobalt Strike<\/h3>\n
<\/a><\/div>\n