{"id":727732,"date":"2023-05-10T15:44:38","date_gmt":"2023-05-10T17:44:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/campagne-sophistiquee-contre-les-logiciels-malveillants-downex-ciblant-les-gouvernements-dasie-centrale\/"},"modified":"2023-05-10T15:44:41","modified_gmt":"2023-05-10T17:44:41","slug":"campagne-sophistiquee-contre-les-logiciels-malveillants-downex-ciblant-les-gouvernements-dasie-centrale","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/campagne-sophistiquee-contre-les-logiciels-malveillants-downex-ciblant-les-gouvernements-dasie-centrale\/","title":{"rendered":"Campagne sophistiqu\u00e9e contre les logiciels malveillants DownEx ciblant les gouvernements d’Asie centrale"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 mai 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Logiciels malveillants \/ cyberattaques<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Les organisations gouvernementales d’Asie centrale sont la cible d’une campagne d’espionnage sophistiqu\u00e9e qui exploite une souche de logiciels malveillants auparavant non document\u00e9e surnomm\u00e9e DownEx<\/strong>.<\/p>\n

Bitdefender, dans un rapport<\/a> partag\u00e9 avec The Hacker News, a d\u00e9clar\u00e9 que l’activit\u00e9 reste active, avec des preuves indiquant probablement l’implication d’acteurs de la menace bas\u00e9s en Russie.<\/p>\n

La soci\u00e9t\u00e9 roumaine de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 le logiciel malveillant pour la premi\u00e8re fois lors d’une attaque tr\u00e8s cibl\u00e9e visant des institutions gouvernementales \u00e9trang\u00e8res au Kazakhstan \u00e0 la fin de 2022. Par la suite, une autre attaque a \u00e9t\u00e9 observ\u00e9e en Afghanistan.<\/p>\n

L’utilisation d’un document de leurre sur le th\u00e8me des diplomates et l’accent mis par la campagne sur l’exfiltration de donn\u00e9es sugg\u00e8rent l’implication d’un groupe parrain\u00e9 par l’\u00c9tat, bien que l’identit\u00e9 exacte de l’\u00e9quipe de piratage reste ind\u00e9termin\u00e9e \u00e0 ce stade.<\/p>\n

\"La<\/a><\/center><\/div>\n

Le vecteur d’intrusion initial de la campagne est soup\u00e7onn\u00e9 d’\u00eatre un e-mail de harponnage contenant une charge utile pi\u00e9g\u00e9e, qui est un ex\u00e9cutable de chargeur qui se fait passer pour un fichier Microsoft Word.<\/p>\n

L’ouverture de la pi\u00e8ce jointe entra\u00eene l’extraction de deux fichiers, dont un document leurre qui est affich\u00e9 \u00e0 la victime tandis qu’une application HTML malveillante (.HTA) avec du code VBScript int\u00e9gr\u00e9 s’ex\u00e9cute en arri\u00e8re-plan.<\/p>\n

Le fichier HTA, pour sa part, est con\u00e7u pour \u00e9tablir un contact avec un serveur de commande et de contr\u00f4le (C2) distant afin de r\u00e9cup\u00e9rer une charge utile de l’\u00e9tape suivante. Bien que la nature exacte du logiciel malveillant ne soit pas inconnue, on dit qu’il s’agit d’une porte d\u00e9rob\u00e9e pour \u00e9tablir la persistance.<\/p>\n

\"Logiciel<\/div>\n

Les attaques se distinguent \u00e9galement par l’utilisation d’une vari\u00e9t\u00e9 d’outils personnalis\u00e9s pour mener des activit\u00e9s de post-exploitation. Ceci comprend –<\/p>\n