{"id":828865,"date":"2023-07-13T15:07:37","date_gmt":"2023-07-13T17:07:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/logiciel-malveillant-picassoloader-utilise-dans-les-attaques-en-cours-contre-lukraine-et-la-pologne\/"},"modified":"2023-07-13T15:07:41","modified_gmt":"2023-07-13T17:07:41","slug":"logiciel-malveillant-picassoloader-utilise-dans-les-attaques-en-cours-contre-lukraine-et-la-pologne","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/logiciel-malveillant-picassoloader-utilise-dans-les-attaques-en-cours-contre-lukraine-et-la-pologne\/","title":{"rendered":"Logiciel malveillant PicassoLoader utilis\u00e9 dans les attaques en cours contre l&#8217;Ukraine et la Pologne"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Cyber-attaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des entit\u00e9s gouvernementales, des organisations militaires et des utilisateurs civils en Ukraine et en Pologne ont \u00e9t\u00e9 cibl\u00e9s dans le cadre d&#8217;une s\u00e9rie de campagnes con\u00e7ues pour voler des donn\u00e9es sensibles et obtenir un acc\u00e8s \u00e0 distance persistant aux syst\u00e8mes infect\u00e9s.<\/p>\n<p>L&#8217;ensemble d&#8217;intrusions, qui s&#8217;\u00e9tend d&#8217;avril 2022 \u00e0 juillet 2023, exploite des leurres de phishing et des documents leurres pour d\u00e9ployer un logiciel malveillant de t\u00e9l\u00e9chargement appel\u00e9 PicassoLoader, qui agit comme un conduit pour lancer Cobalt Strike Beacon et njRAT.<\/p>\n<p>&#8220;Les attaques ont utilis\u00e9 une cha\u00eene d&#8217;infection en plusieurs \u00e9tapes initi\u00e9e avec des documents Microsoft Office malveillants, utilisant le plus souvent les formats de fichiers Microsoft Excel et PowerPoint&#8221;, a d\u00e9clar\u00e9 Vanja Svajcer, chercheuse chez Cisco Talos. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/malicious-campaigns-target-entities-in-ukraine-poland\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport.  &#8220;Cela a \u00e9t\u00e9 suivi par un t\u00e9l\u00e9chargeur ex\u00e9cutable et une charge utile dissimul\u00e9s dans un fichier image, susceptibles de rendre sa d\u00e9tection plus difficile.&#8221;<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4905718\" target=\"_blank\">Quelques<\/a> de la <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/5098518\" target=\"_blank\">activit\u00e9s<\/a> ont \u00e9t\u00e9 attribu\u00e9s \u00e0 un acteur mena\u00e7ant appel\u00e9 GhostWriter (alias UAC-0057 ou UNC1151), dont les priorit\u00e9s s&#8217;aligneraient sur celles du gouvernement bi\u00e9lorusse.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Il convient de noter qu&#8217;un sous-ensemble de ces attaques a d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9 au cours de l&#8217;ann\u00e9e \u00e9coul\u00e9e par l&#8217;\u00e9quipe ukrainienne d&#8217;intervention d&#8217;urgence informatique (CERT-UA) et Fortinet FortiGuard Labs, dont l&#8217;un a utilis\u00e9 des documents PowerPoint charg\u00e9s de macros pour livrer le malware Agent Tesla en juillet 2022. .<\/p>\n<p>Les cha\u00eenes d&#8217;infection visent \u00e0 convaincre les victimes d&#8217;activer les macros, avec la macro VBA con\u00e7ue pour d\u00e9poser un t\u00e9l\u00e9chargeur de DLL connu sous le nom de PicassoLoader qui s&#8217;adresse ensuite \u00e0 un site contr\u00f4l\u00e9 par un attaquant pour r\u00e9cup\u00e9rer la charge utile de l&#8217;\u00e9tape suivante, un fichier image l\u00e9gitime qui int\u00e8gre la finale logiciels malveillants.<\/p>\n<p>La divulgation intervient alors que CERT-UA a d\u00e9taill\u00e9 un <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4755642\" target=\"_blank\">nombre<\/a> de <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4555802\" target=\"_blank\">Hame\u00e7onnage<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/5158006\" target=\"_blank\">op\u00e9rations<\/a> distribuant le malware SmokeLoader ainsi qu&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4789582\" target=\"_blank\">attaque par fracas<\/a> con\u00e7u pour obtenir un contr\u00f4le non autoris\u00e9 des comptes Telegram des cibles.<\/p>\n<p>Le mois dernier, le CERT-UA a divulgu\u00e9 un <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/4818341\" target=\"_blank\">campagne de cyberespionnage<\/a> destin\u00e9 aux organisations \u00e9tatiques et aux repr\u00e9sentants des m\u00e9dias en Ukraine qui utilisent le courrier \u00e9lectronique et les messageries instantan\u00e9es pour distribuer des fichiers, ce qui, une fois lanc\u00e9, entra\u00eene l&#8217;ex\u00e9cution d&#8217;un script PowerShell appel\u00e9 LONEPAGE pour r\u00e9cup\u00e9rer le voleur de navigateur (THUMBCHOP) et l&#8217;enregistreur de frappe (CLOGFLAG ) charges utiles.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>GhostWriter est l&#8217;un des nombreux acteurs mena\u00e7ants qui ont jet\u00e9 leur d\u00e9volu sur l&#8217;Ukraine.  Cela inclut \u00e9galement le groupe d&#8217;\u00c9tats-nations russe APT28, qui a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/5105791\" target=\"_blank\">observ\u00e9<\/a> l&#8217;utilisation de pi\u00e8ces jointes HTML dans des e-mails de phishing qui invitent les destinataires \u00e0 modifier leur UKR.NET et Yahoo!  mots de passe en raison d&#8217;une activit\u00e9 suspecte d\u00e9tect\u00e9e dans leurs comptes afin de les rediriger vers de fausses pages de destination qui volent finalement leurs informations d&#8217;identification.<\/p>\n<p>Le d\u00e9veloppement fait \u00e9galement suite \u00e0 l&#8217;adoption d&#8217;un &#8220;livre de jeu standard en cinq phases&#8221; par des pirates informatiques associ\u00e9s au renseignement militaire russe (GRU) dans leurs op\u00e9rations perturbatrices contre l&#8217;Ukraine dans un &#8220;effort d\u00e9lib\u00e9r\u00e9 pour augmenter la vitesse, l&#8217;\u00e9chelle et l&#8217;intensit\u00e9&#8221; de leurs attaques. .<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689268057_946_Logiciel-malveillant-PicassoLoader-utilise-dans-les-attaques-en-cours-contre.jpg\" alt=\"\" border=\"0\" data-original-height=\"351\" data-original-width=\"728\"\/><\/div>\n<p>Cela consiste \u00e0 tirer parti de l&#8217;infrastructure de vie \u00e0 la pointe pour obtenir un acc\u00e8s initial, en utilisant des techniques de vie hors du terrain pour effectuer des reconnaissances, des mouvements lat\u00e9raux et le vol d&#8217;informations afin de limiter leur empreinte de logiciels malveillants et d&#8217;\u00e9chapper \u00e0 la d\u00e9tection, cr\u00e9ant un acc\u00e8s persistant et privil\u00e9gi\u00e9. via des objets de strat\u00e9gie de groupe (GPO), en d\u00e9ployant des essuie-glaces et en t\u00e9l\u00e9graphiant leurs actes via des personnages hacktivistes sur Telegram.<\/p>\n<p>&#8220;Les avantages offerts par le playbook sont particuli\u00e8rement adapt\u00e9s \u00e0 un environnement op\u00e9rationnel rapide et tr\u00e8s contest\u00e9, ce qui indique que les objectifs de guerre de la Russie ont probablement guid\u00e9 les plans d&#8217;action tactiques choisis par le GRU&#8221;, a d\u00e9clar\u00e9 Mandiant, propri\u00e9t\u00e9 de Google. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/gru-disruptive-playbook\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/picassoloader-malware-used-in-ongoing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 juil. 2023\ue804THNCyber-attaque Des entit\u00e9s gouvernementales, des organisations militaires et des utilisateurs civils en Ukraine et en Pologne ont \u00e9t\u00e9 cibl\u00e9s dans le cadre d&#8217;une s\u00e9rie de campagnes con\u00e7ues pour voler des donn\u00e9es sensibles et obtenir un acc\u00e8s \u00e0 distance persistant aux syst\u00e8mes infect\u00e9s. L&#8217;ensemble d&#8217;intrusions, qui s&#8217;\u00e9tend d&#8217;avril 2022 \u00e0 juillet 2023, exploite des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":828866,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,4168,841,1297,4158,4165,4161,429,4157,4159,4171,4170,65,6816,4167,770,7733,4160,4163,4162,173720,4848,4172,4169,1282,4166,4164],"class_list":["post-828865","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-comment-pirater","tag-contre","tag-cours","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-lukraine","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-picassoloader","tag-pologne","tag-securite-informatique","tag-securite-internet","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/828865","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=828865"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/828865\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/828866"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=828865"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=828865"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=828865"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}