{"id":713006,"date":"2023-05-01T16:12:28","date_gmt":"2023-05-01T18:12:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/apt28-cible-les-entites-gouvernementales-ukrainiennes-avec-un-faux-windows-update-e-mails\/"},"modified":"2023-05-01T16:12:31","modified_gmt":"2023-05-01T18:12:31","slug":"apt28-cible-les-entites-gouvernementales-ukrainiennes-avec-un-faux-windows-update-e-mails","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/apt28-cible-les-entites-gouvernementales-ukrainiennes-avec-un-faux-windows-update-e-mails\/","title":{"rendered":"APT28 cible les entit\u00e9s gouvernementales ukrainiennes avec un faux &quot;Windows Update&quot; E-mails"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Analyse des menaces \/ Cyberattaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) a mis en garde contre les cyberattaques perp\u00e9tr\u00e9es par des pirates informatiques russes ciblant divers organismes gouvernementaux du pays.<\/p>\n<p>L&#8217;agence <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4492467\" target=\"_blank\">attribu\u00e9<\/a> la campagne de phishing contre APT28, \u00e9galement connue sous les noms de Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit et Sofacy.<\/p>\n<p>Les e-mails sont livr\u00e9s avec la ligne d&#8217;objet &#8220;Windows Update&#8221; et contiennent pr\u00e9tendument des instructions en ukrainien pour ex\u00e9cuter une commande PowerShell sous pr\u00e9texte de mises \u00e0 jour de s\u00e9curit\u00e9.<\/p>\n<p>L&#8217;ex\u00e9cution du script charge et ex\u00e9cute un script PowerShell de l&#8217;\u00e9tape suivante con\u00e7u pour collecter des informations syst\u00e8me de base via des commandes telles que <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/tasklist\" target=\"_blank\">liste de t\u00e2ches<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/systeminfo\" target=\"_blank\">information syst\u00e8me<\/a>et exfiltrer les d\u00e9tails via une requ\u00eate HTTP vers un <a rel=\"nofollow noopener\" href=\"https:\/\/designer.mocky.io\/design\" target=\"_blank\">API factice<\/a>.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tractivethreatsstatic-inside-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682946326_927_Decouverte-de-la-nouvelle-boite-a-outils-de-logiciels-malveillants.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Pour inciter les cibles \u00e0 ex\u00e9cuter la commande, les e-mails se sont fait passer pour les administrateurs syst\u00e8me des entit\u00e9s gouvernementales cibl\u00e9es en utilisant de faux comptes de messagerie Microsoft Outlook cr\u00e9\u00e9s avec les vrais noms et initiales des employ\u00e9s.<\/p>\n<p>Le CERT-UA recommande aux organisations de restreindre la capacit\u00e9 des utilisateurs \u00e0 ex\u00e9cuter des scripts PowerShell et \u00e0 surveiller les connexions r\u00e9seau \u00e0 l&#8217;API Mocky.<\/p>\n<p>La divulgation intervient des semaines apr\u00e8s que l&#8217;APT28 a \u00e9t\u00e9 li\u00e9 \u00e0 des attaques exploitant des failles de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9es dans l&#8217;\u00e9quipement r\u00e9seau pour effectuer une reconnaissance et d\u00e9ployer des logiciels malveillants contre des cibles s\u00e9lectionn\u00e9es.<\/p>\n<p>Le groupe d&#8217;analyse des menaces (TAG) de Google, dans un avis publi\u00e9 le mois dernier, a d\u00e9taill\u00e9 une op\u00e9ration de collecte d&#8217;informations d&#8217;identification men\u00e9e par l&#8217;acteur de la menace pour rediriger les visiteurs des sites Web du gouvernement ukrainien vers des domaines de phishing.<\/p>\n<p>Des \u00e9quipes de piratage bas\u00e9es en Russie ont \u00e9galement \u00e9t\u00e9 li\u00e9es \u00e0 l&#8217;exploitation d&#8217;une faille critique d&#8217;escalade de privil\u00e8ges dans Microsoft Outlook (CVE-2023-23397, score CVSS\u00a0: 9,8) lors d&#8217;intrusions dirig\u00e9es contre les secteurs gouvernemental, des transports, de l&#8217;\u00e9nergie et militaire en Europe.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>Le d\u00e9veloppement vient \u00e9galement en tant que Fortinet FortiGuard Labs <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/malware-disguised-as-document-ukraine-energoatom-delivers-havoc-demon-backdoor\" target=\"_blank\">d\u00e9couvert<\/a> une attaque de phishing en plusieurs \u00e9tapes qui exploite un document Word \u00e0 macro-lacets cens\u00e9 provenir d&#8217;Energoatom en Ukraine comme leurre pour fournir le cadre de post-exploitation open source Havoc.<\/p>\n<p>&#8220;Il reste tr\u00e8s probable que les services de renseignement, militaires et d&#8217;application de la loi russes aient une entente tacite de longue date avec les acteurs de la menace cybercriminelle&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Recorded Future. <a rel=\"nofollow noopener\" href=\"https:\/\/www.recordedfuture.com\/dark-covenant-2-cybercrime-russian-state-war-ukraine\" target=\"_blank\">a dit<\/a> dans un rapport plus t\u00f4t cette ann\u00e9e.<\/p>\n<p>&#8220;Dans certains cas, il est presque certain que ces agences entretiennent une relation \u00e9tablie et syst\u00e9matique avec les acteurs de la menace cybercriminelle, soit par collaboration indirecte, soit via le recrutement.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/apt28-targets-ukrainian-government.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 mai 2023\ue804Ravie LakshmananAnalyse des menaces \/ Cyberattaque L&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA) a mis en garde contre les cyberattaques perp\u00e9tr\u00e9es par des pirates informatiques russes ciblant divers organismes gouvernementaux du pays. L&#8217;agence attribu\u00e9 la campagne de phishing contre APT28, \u00e9galement connue sous les noms de Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":713007,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[159784,84,7087,4168,4158,4165,4161,29530,32776,5971,34519,4157,4159,4171,4170,65,4167,4160,4163,4162,159785,4172,4169,3809,159786,4166,4164],"class_list":["post-713006","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt28","tag-avec","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-emails","tag-entites","tag-faux","tag-gouvernementales","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-quotwindows","tag-securite-informatique","tag-securite-internet","tag-ukrainiennes","tag-updatequot","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/713006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=713006"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/713006\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/713007"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=713006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=713006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=713006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}