{"id":834125,"date":"2023-07-17T06:15:39","date_gmt":"2023-07-17T08:15:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-cert-ua-decouvre-les-tactiques-dexfiltration-rapide-des-donnees-de-gamaredon-suite-a-un-compromis-initial\/"},"modified":"2023-07-17T06:15:42","modified_gmt":"2023-07-17T08:15:42","slug":"le-cert-ua-decouvre-les-tactiques-dexfiltration-rapide-des-donnees-de-gamaredon-suite-a-un-compromis-initial","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-cert-ua-decouvre-les-tactiques-dexfiltration-rapide-des-donnees-de-gamaredon-suite-a-un-compromis-initial\/","title":{"rendered":"Le CERT-UA d\u00e9couvre les tactiques d&#8217;exfiltration rapide des donn\u00e9es de Gamaredon suite \u00e0 un compromis initial"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ S\u00e9curit\u00e9 des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur mena\u00e7ant li\u00e9 \u00e0 la Russie connu sous le nom de Gamaredon a \u00e9t\u00e9 observ\u00e9 en train de mener des activit\u00e9s d&#8217;exfiltration de donn\u00e9es dans l&#8217;heure qui a suivi la compromission initiale.<\/p>\n<p>&#8220;En tant que vecteur de compromission primaire, pour la plupart, les e-mails et les messages dans les messagers (Telegram, WhatsApp, Signal) sont utilis\u00e9s, dans la plupart des cas, en utilisant des comptes pr\u00e9c\u00e9demment compromis&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA). <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/5160737\" target=\"_blank\">a dit<\/a> dans une analyse du groupe publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>Gamaredon, \u00e9galement appel\u00e9 Aqua Blizzard, Armageddon, Shuckworm ou UAC-0010, est un acteur parrain\u00e9 par l&#8217;\u00c9tat ayant des liens avec le bureau principal du SBU dans la R\u00e9publique autonome de Crim\u00e9e, qui a \u00e9t\u00e9 annex\u00e9e par la Russie en 2014. On estime que le groupe a infect\u00e9 des milliers d&#8217;ordinateurs gouvernementaux.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>C&#8217;est aussi l&#8217;une des nombreuses \u00e9quipes de piratage russe qui ont maintenu un <a rel=\"nofollow noopener\" href=\"https:\/\/therecord.media\/killnet-cybercrime-group-russia-kremlin-hacking-company\" target=\"_blank\">pr\u00e9sence active<\/a> depuis le d\u00e9but de la guerre russo-ukrainienne en f\u00e9vrier 2022, tirant parti des campagnes de phishing pour fournir des portes d\u00e9rob\u00e9es PowerShell telles que GammaSteel pour effectuer des reconnaissances et ex\u00e9cuter des commandes suppl\u00e9mentaires.<\/p>\n<p>Les messages sont g\u00e9n\u00e9ralement accompagn\u00e9s d&#8217;une archive contenant un fichier HTM ou HTA qui, lorsqu&#8217;il est ouvert, active la s\u00e9quence d&#8217;attaque.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689581739_375_Le-CERT-UA-decouvre-les-tactiques-dexfiltration-rapide-des-donnees-de.jpg\" alt=\"Exfiltration de donn\u00e9es\" border=\"0\" data-original-height=\"559\" data-original-width=\"728\" title=\"Exfiltration de donn\u00e9es\"\/><\/div>\n<p>Selon CERT-UA, GammaSteel est utilis\u00e9 pour exfiltrer les fichiers correspondant \u00e0 un ensemble sp\u00e9cifique d&#8217;extensions &#8211; .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, . ps1, .rar, .zip, .7z et .mdb \u2013 dans un d\u00e9lai de 30 \u00e0 50 minutes.<\/p>\n<p>Le groupe a \u00e9galement \u00e9t\u00e9 observ\u00e9 en constante \u00e9volution de ses tactiques, utilisant des techniques d&#8217;infection USB pour la propagation.  Un h\u00f4te fonctionnant dans un \u00e9tat compromis pendant une semaine pourrait avoir entre 80 et 120 fichiers malveillants, a not\u00e9 l&#8217;agence.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>L&#8217;utilisation par l&#8217;auteur de la menace du logiciel AnyDesk pour l&#8217;acc\u00e8s \u00e0 distance interactif, des scripts PowerShell pour le d\u00e9tournement de session afin de contourner l&#8217;authentification \u00e0 deux facteurs (2FA) et de Telegram et Telegraph pour r\u00e9cup\u00e9rer les informations du serveur de commande et de contr\u00f4le (C2) est \u00e9galement importante.<\/p>\n<p>&#8220;Les attaquants prennent des mesures distinctes pour assurer la tol\u00e9rance aux pannes de leur infrastructure r\u00e9seau et \u00e9viter la d\u00e9tection au niveau du r\u00e9seau&#8221;, a d\u00e9clar\u00e9 le CERT-UA.  &#8220;Au cours de la journ\u00e9e, les adresses IP des n\u0153uds de contr\u00f4le interm\u00e9diaires peuvent changer de 3 \u00e0 6 fois ou plus, ce qui, entre autres, indique l&#8217;automatisation appropri\u00e9e du processus.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/cert-ua-uncovers-gamaredons-rapid-data.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 juil. 2023\ue804THNCyberattaque \/ S\u00e9curit\u00e9 des donn\u00e9es L&#8217;acteur mena\u00e7ant li\u00e9 \u00e0 la Russie connu sous le nom de Gamaredon a \u00e9t\u00e9 observ\u00e9 en train de mener des activit\u00e9s d&#8217;exfiltration de donn\u00e9es dans l&#8217;heure qui a suivi la compromission initiale. &#8220;En tant que vecteur de compromission primaire, pour la plupart, les e-mails et les messages dans [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":834126,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[144388,4168,20350,4158,4165,4161,12680,133,150228,1343,109116,30349,4157,4159,4171,4170,65,4167,4160,4163,4162,2402,4172,4169,2768,11977,4166,4164],"class_list":["post-834125","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-certua","tag-comment-pirater","tag-compromis","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvre","tag-des","tag-dexfiltration","tag-donnees","tag-gamaredon","tag-initial","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-rapide","tag-securite-informatique","tag-securite-internet","tag-suite","tag-tactiques","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/834125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=834125"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/834125\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/834126"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=834125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=834125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=834125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}