{"id":724675,"date":"2023-05-08T19:58:25","date_gmt":"2023-05-08T21:58:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/sidecopy-utilise-action-rat-et-allakore-rat-pour-infiltrer-les-organisations-indiennes\/"},"modified":"2023-05-08T19:58:28","modified_gmt":"2023-05-08T21:58:28","slug":"sidecopy-utilise-action-rat-et-allakore-rat-pour-infiltrer-les-organisations-indiennes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/sidecopy-utilise-action-rat-et-allakore-rat-pour-infiltrer-les-organisations-indiennes\/","title":{"rendered":"SideCopy utilise Action RAT et AllaKore RAT pour infiltrer les organisations indiennes"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>08 mai 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cyber \u200b\u200bespionnage \/ Threat Intel<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

L’acteur mena\u00e7ant align\u00e9 sur le Pakistan connu sous le nom de Copie lat\u00e9rale<\/strong> a \u00e9t\u00e9 observ\u00e9 en train d’exploiter des th\u00e8mes li\u00e9s \u00e0 l’organisation de recherche militaire indienne dans le cadre d’une campagne de phishing en cours.<\/p>\n

Cela implique l’utilisation d’un leurre d’archive ZIP appartenant \u00e0 l’Organisation indienne de recherche et de d\u00e9veloppement pour la d\u00e9fense (DRDO<\/a>) pour fournir une charge utile malveillante capable de r\u00e9colter des informations sensibles, Fortinet FortiGuard Labs a dit<\/a> dans un nouveau rapport.<\/p>\n

Le groupe de cyberespionnage, dont les activit\u00e9s remontent au moins \u00e0 2019, cible des entit\u00e9s qui s’alignent sur les int\u00e9r\u00eats du gouvernement pakistanais. On pense qu’il partage des chevauchements avec une autre \u00e9quipe de piratage pakistanaise appel\u00e9e Transparent Tribe.<\/p>\n

\"La<\/a><\/center><\/div>\n

L’utilisation par SideCopy de leurres li\u00e9s \u00e0 DRDO pour la distribution de logiciels malveillants a d\u00e9j\u00e0 \u00e9t\u00e9 signal\u00e9e par Cyble et la soci\u00e9t\u00e9 chinoise de cybers\u00e9curit\u00e9 QiAnXin<\/a> en mars 2023, et \u00e0 nouveau par \u00c9quipe Cymru<\/a> le mois dernier.<\/p>\n

Fait int\u00e9ressant, les m\u00eames cha\u00eenes d’attaque ont \u00e9t\u00e9 observ\u00e9es pour charger et ex\u00e9cuter Action RAT ainsi qu’un cheval de Troie d’acc\u00e8s \u00e0 distance open source connu sous le nom d’AllaKore RAT.<\/p>\n

La derni\u00e8re s\u00e9quence d’infection document\u00e9e par Fortinet n’est pas diff\u00e9rente, conduisant au d\u00e9ploiement d’une souche non sp\u00e9cifi\u00e9e de RAT capable de communiquer avec un serveur distant et de lancer des charges utiles suppl\u00e9mentaires.<\/p>\n

Le d\u00e9veloppement est une indication que SideCopy a continu\u00e9 \u00e0 mener des attaques par e-mail de harponnage qui utilisent des leurres d’ing\u00e9nierie sociale li\u00e9s au gouvernement indien et aux forces de d\u00e9fense pour supprimer un large \u00e9ventail de logiciels malveillants.<\/p>\n\n\n\n\n
\"Pirates<\/td>\n<\/tr>\n
Source : \u00c9quipe Cymru<\/i><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Une analyse plus approfondie de l’infrastructure de commande et de contr\u00f4le (C2) d’Action RAT par l’\u00e9quipe Cymru a identifi\u00e9 des connexions sortantes de l’une des adresses IP du serveur C2 vers une autre adresse. 66.219.22[.]252<\/a>qui est g\u00e9olocalis\u00e9 au Pakistan.<\/p>\n

La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a \u00e9galement d\u00e9clar\u00e9 avoir observ\u00e9 “des communications provenant de 17 adresses IP distinctes attribu\u00e9es \u00e0 des fournisseurs de t\u00e9l\u00e9phonie mobile pakistanais et de quatre n\u0153uds VPN Proton”, notant des connexions entrantes vers l’adresse IP \u00e0 partir d’adresses IP attribu\u00e9es \u00e0 des FAI indiens.<\/p>\n

WEBINAIRE \u00c0 VENIR<\/span><\/p>\n

Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n

Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n

Sauvez ma place\u00a0!<\/a><\/div>\n

Au total, jusqu’\u00e0 18 victimes distinctes en Inde ont \u00e9t\u00e9 d\u00e9tect\u00e9es comme se connectant \u00e0 des serveurs C2 associ\u00e9s \u00e0 Action RAT et 236 victimes uniques, \u00e0 nouveau situ\u00e9es en Inde, se connectant \u00e0 des serveurs C2 associ\u00e9s \u00e0 AllaKore RAT.<\/p>\n

Les derni\u00e8res d\u00e9couvertes donnent du cr\u00e9dit aux liens de SideCopy au Pakistan, sans oublier de souligner le fait que la campagne a r\u00e9ussi \u00e0 cibler les utilisateurs indiens.<\/p>\n

“L’infrastructure d’Action RAT, connect\u00e9e \u00e0 SideCopy, est g\u00e9r\u00e9e par des utilisateurs acc\u00e9dant \u00e0 Internet depuis le Pakistan”, a d\u00e9clar\u00e9 l’\u00e9quipe Cymru. “L’activit\u00e9 des victimes a pr\u00e9c\u00e9d\u00e9 le rapport public de cette campagne, dans certains cas de plusieurs mois.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n