{"id":723686,"date":"2023-05-08T07:13:26","date_gmt":"2023-05-08T09:13:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/cert-ua-met-en-garde-contre-les-attaques-de-logiciels-malveillants-smokeloader-et-roarbat-contre-lukraine\/"},"modified":"2023-05-08T07:13:29","modified_gmt":"2023-05-08T09:13:29","slug":"cert-ua-met-en-garde-contre-les-attaques-de-logiciels-malveillants-smokeloader-et-roarbat-contre-lukraine","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/cert-ua-met-en-garde-contre-les-attaques-de-logiciels-malveillants-smokeloader-et-roarbat-contre-lukraine\/","title":{"rendered":"CERT-UA met en garde contre les attaques de logiciels malveillants SmokeLoader et RoarBAT contre l&#8217;Ukraine"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">08 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ S\u00e9curit\u00e9 des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une campagne de phishing en cours avec des leurres sur le th\u00e8me des factures est utilis\u00e9e pour distribuer le malware SmokeLoader sous la forme d&#8217;un fichier polyglotte, selon l&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA).<\/p>\n<p>Les e-mails, selon le <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4555802\" target=\"_blank\">agence<\/a>sont envoy\u00e9s via des comptes compromis et sont accompagn\u00e9s d&#8217;une archive ZIP qui, en r\u00e9alit\u00e9, est un fichier polyglotte contenant un document leurre et un fichier JavaScript.<\/p>\n<p>Le code JavaScript est ensuite utilis\u00e9 pour lancer un ex\u00e9cutable qui ouvre la voie \u00e0 l&#8217;ex\u00e9cution du malware SmokeLoader.  SmokeLoader, d\u00e9tect\u00e9 pour la premi\u00e8re fois en 2011, est un <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.smokeloader\" target=\"_blank\">chargeur<\/a> dont l&#8217;objectif principal est de t\u00e9l\u00e9charger ou de charger un logiciel malveillant plus furtif ou plus efficace sur les syst\u00e8mes infect\u00e9s.<\/p>\n<p>Le CERT-UA a attribu\u00e9 l&#8217;activit\u00e9 \u00e0 un acteur mena\u00e7ant qu&#8217;il appelle UAC-0006 et l&#8217;a qualifi\u00e9e d&#8217;op\u00e9ration \u00e0 motivation financi\u00e8re men\u00e9e dans le but de voler des informations d&#8217;identification et d&#8217;effectuer des transferts de fonds non autoris\u00e9s.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tractivethreatsstatic-inside-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682946326_927_Decouverte-de-la-nouvelle-boite-a-outils-de-logiciels-malveillants.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dans un avis connexe, l&#8217;autorit\u00e9 ukrainienne de la cybers\u00e9curit\u00e9 a \u00e9galement r\u00e9v\u00e9l\u00e9 les d\u00e9tails d&#8217;attaques destructrices orchestr\u00e9es par un groupe connu sous le nom d&#8217;UAC-0165 contre des organisations du secteur public.<\/p>\n<p>L&#8217;attaque, qui visait une organisation d&#8217;\u00c9tat anonyme, impliquait l&#8217;utilisation d&#8217;un nouveau logiciel malveillant d&#8217;effacement bas\u00e9 sur un script batch appel\u00e9 RoarBAT qui effectue une recherche r\u00e9cursive de fichiers avec une liste sp\u00e9cifique d&#8217;extensions et les supprime irr\u00e9vocablement \u00e0 l&#8217;aide de l&#8217;utilitaire WinRAR l\u00e9gitime.<\/p>\n<p>Ceci, \u00e0 son tour, a \u00e9t\u00e9 r\u00e9alis\u00e9 en archivant les fichiers identifi\u00e9s \u00e0 l&#8217;aide du <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.help\/WinRAR\/HELPSwDF.htm\" target=\"_blank\">Option de ligne de commande &#8220;-df&#8221;<\/a> et ensuite purger les archives cr\u00e9\u00e9es.  Le script batch a \u00e9t\u00e9 ex\u00e9cut\u00e9 au moyen d&#8217;une t\u00e2che planifi\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683537206_363_CERT-UA-met-en-garde-contre-les-attaques-de-logiciels-malveillants.png\" alt=\"Logiciel malveillant RoarBAT\" border=\"0\" data-original-height=\"475\" data-original-width=\"728\" title=\"Logiciel malveillant RoarBAT\"\/><\/div>\n<p>Simultan\u00e9ment, les syst\u00e8mes Linux ont \u00e9t\u00e9 compromis \u00e0 l&#8217;aide d&#8217;un script bash qui exploitait le <a rel=\"nofollow noopener\" href=\"https:\/\/www.baeldung.com\/linux\/dd-command\" target=\"_blank\">utilitaire jj<\/a> pour \u00e9craser les fichiers avec z\u00e9ro octet, \u00e9vitant efficacement la d\u00e9tection par un logiciel de s\u00e9curit\u00e9.<\/p>\n<p>&#8220;Il a \u00e9t\u00e9 constat\u00e9 que l&#8217;op\u00e9rabilit\u00e9 des ordinateurs \u00e9lectroniques (\u00e9quipement serveur, postes de travail automatis\u00e9s pour les utilisateurs, syst\u00e8mes de stockage de donn\u00e9es) \u00e9tait alt\u00e9r\u00e9e en raison de l&#8217;impact destructeur effectu\u00e9 avec l&#8217;utilisation de logiciels appropri\u00e9s&#8221;, CERT-UA <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4501891\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;L&#8217;acc\u00e8s \u00e0 la cible ICS de l&#8217;attaque serait obtenu en se connectant \u00e0 un VPN \u00e0 l&#8217;aide de donn\u00e9es d&#8217;authentification compromises. La mise en \u0153uvre r\u00e9ussie de l&#8217;attaque a \u00e9t\u00e9 facilit\u00e9e par l&#8217;absence d&#8217;authentification multifacteur lors des connexions \u00e0 distance au VPN.&#8221;<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>L&#8217;agence a en outre attribu\u00e9 l&#8217;UAC-0165 avec une confiance mod\u00e9r\u00e9e au c\u00e9l\u00e8bre groupe Sandworm (alias FROZENBARENTS, Seashell Blizzard ou Voodoo Bear), qui a l&#8217;habitude de d\u00e9clencher des attaques d&#8217;essuie-glace depuis le d\u00e9but de la guerre russo-ukrainienne l&#8217;ann\u00e9e derni\u00e8re.<\/p>\n<p>Le lien avec Sandworm d\u00e9coule de chevauchements importants avec une autre attaque destructrice qui a frapp\u00e9 l&#8217;agence de presse d&#8217;\u00c9tat ukrainienne Ukrinform en janvier 2023, qui \u00e9tait li\u00e9e au collectif contradictoire.<\/p>\n<p>Les alertes surviennent une semaine apr\u00e8s que le CERT-UA a mis en garde contre les attaques de phishing men\u00e9es par le groupe APT28, parrain\u00e9 par l&#8217;\u00c9tat russe, ciblant les entit\u00e9s gouvernementales du pays avec de fausses notifications de mise \u00e0 jour de Windows.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/cert-ua-warns-of-smokeloader-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80208 mai 2023\ue804Ravie LakshmananCyberattaque \/ S\u00e9curit\u00e9 des donn\u00e9es Une campagne de phishing en cours avec des leurres sur le th\u00e8me des factures est utilis\u00e9e pour distribuer le malware SmokeLoader sous la forme d&#8217;un fichier polyglotte, selon l&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA). Les e-mails, selon le agencesont envoy\u00e9s via des comptes compromis et sont accompagn\u00e9s [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":723687,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,144388,4168,841,4158,4165,4161,525,4157,4159,4171,4170,65,4167,4589,770,4590,4955,4160,4163,4162,161093,4172,4169,93735,4166,4164],"class_list":["post-723686","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-certua","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-garde","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-lukraine","tag-malveillants","tag-met","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-roarbat","tag-securite-informatique","tag-securite-internet","tag-smokeloader","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/723686","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=723686"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/723686\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/723687"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=723686"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=723686"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=723686"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}