{"id":839207,"date":"2023-07-20T08:34:39","date_gmt":"2023-07-20T10:34:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-nouvelle-porte-derobee-deliverycheck-de-turla-viole-le-secteur-de-la-defense-ukrainien\/"},"modified":"2023-07-20T08:34:43","modified_gmt":"2023-07-20T10:34:43","slug":"la-nouvelle-porte-derobee-deliverycheck-de-turla-viole-le-secteur-de-la-defense-ukrainien","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-nouvelle-porte-derobee-deliverycheck-de-turla-viole-le-secteur-de-la-defense-ukrainien\/","title":{"rendered":"La nouvelle porte d\u00e9rob\u00e9e DeliveryCheck de Turla viole le secteur de la d\u00e9fense ukrainien"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Cyberattaque\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le secteur de la d\u00e9fense en Ukraine et en Europe de l&#8217;Est a \u00e9t\u00e9 cibl\u00e9 par une nouvelle porte d\u00e9rob\u00e9e bas\u00e9e sur .NET appel\u00e9e <strong>DeliveryCheck<\/strong> (alias CAPIBAR ou GAMEDAY) qui est capable de fournir des charges utiles de la prochaine \u00e9tape.<\/p>\n<p>L&#8217;\u00e9quipe Microsoft Threat Intelligence, en <a rel=\"nofollow noopener\" href=\"https:\/\/cert.gov.ua\/article\/5213167\" target=\"_blank\">collaboration<\/a> avec l&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique d&#8217;Ukraine (CERT-UA), a attribu\u00e9 les attaques \u00e0 un acteur d&#8217;\u00c9tat-nation russe connu sous le nom de Turla, qui est \u00e9galement suivi sous les noms d&#8217;Iron Hunter, Secret Blizzard (anciennement Krypton), Uroburos, Venomous Bear et Waterbug.  Il est li\u00e9 au Service f\u00e9d\u00e9ral de s\u00e9curit\u00e9 (FSB) russe.<\/p>\n<p>&#8220;DeliveryCheck est distribu\u00e9 par e-mail sous forme de documents contenant des macros malveillantes&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1681695399084539908\" target=\"_blank\">a dit<\/a> dans une s\u00e9rie de tweets.  &#8220;Il persiste via une t\u00e2che planifi\u00e9e qui la t\u00e9l\u00e9charge et la lance en m\u00e9moire. Il contacte \u00e9galement un serveur C2 pour r\u00e9cup\u00e9rer des t\u00e2ches, ce qui peut inclure le lancement de charges utiles arbitraires int\u00e9gr\u00e9es dans des feuilles de style XSLT.&#8221;<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Un acc\u00e8s initial r\u00e9ussi s&#8217;accompagne \u00e9galement dans certains cas de la distribution d&#8217;un implant Turla connu appel\u00e9 Kazuar, qui est \u00e9quip\u00e9 pour voler des fichiers de configuration d&#8217;application, des journaux d&#8217;\u00e9v\u00e9nements et un large \u00e9ventail de donn\u00e9es \u00e0 partir de navigateurs Web.<\/p>\n<p>Le but ultime des attaques est d&#8217;exfiltrer les messages de l&#8217;application de messagerie Signal pour Windows, permettant \u00e0 l&#8217;adversaire d&#8217;acc\u00e9der \u00e0 des conversations, des documents et des images sensibles sur des syst\u00e8mes cibl\u00e9s.<\/p>\n<p>Un aspect remarquable de DeliveryCheck est sa capacit\u00e9 \u00e0 violer les serveurs Microsoft Exchange pour installer un composant c\u00f4t\u00e9 serveur \u00e0 l&#8217;aide de PowerShell Desired State Configuration (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/powershell\/scripting\/dsc\/overview\" target=\"_blank\">DSC<\/a>), une plateforme de gestion PowerShell qui aide les administrateurs \u00e0 automatiser la configuration des syst\u00e8mes Windows.<\/p>\n<p>&#8220;DSC g\u00e9n\u00e8re un format d&#8217;objet g\u00e9r\u00e9 (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/wmisdk\/managed-object-format--mof-\" target=\"_blank\">MOF<\/a>) contenant un script PowerShell qui charge la charge utile .NET int\u00e9gr\u00e9e dans la m\u00e9moire, transformant efficacement un serveur l\u00e9gitime en un centre C2 malveillant \u00bb, a expliqu\u00e9 Microsoft.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>La divulgation intervient alors que la cyberpolice ukrainienne <a rel=\"nofollow noopener\" href=\"https:\/\/cyberpolice.gov.ua\/news\/kiberpolicziya-vykryla-organizatoriv-botoferm-yaki-poshyryuvaly-vorozhu-propagandu-ta-zajmalysya-internet-shaxrajstvamy-7156\/\" target=\"_blank\">d\u00e9mont\u00e9<\/a> une \u00e9norme ferme de robots avec plus de 100 personnes qui auraient diffus\u00e9 une propagande hostile justifiant l&#8217;invasion russe, divulgu\u00e9 des informations personnelles appartenant \u00e0 des citoyens ukrainiens et se livrant \u00e0 divers stratag\u00e8mes frauduleux.<\/p>\n<p>Dans le cadre de l&#8217;op\u00e9ration, des perquisitions ont \u00e9t\u00e9 men\u00e9es dans 21 lieux, aboutissant \u00e0 la saisie de mat\u00e9riel informatique, de t\u00e9l\u00e9phones portables, de plus de 250 passerelles GSM et d&#8217;environ 150 000 cartes SIM appartenant \u00e0 diff\u00e9rents op\u00e9rateurs mobiles.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/turlas-new-deliverycheck-backdoor.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 juil. 2023\ue804THNCyberattaque\/malware Le secteur de la d\u00e9fense en Ukraine et en Europe de l&#8217;Est a \u00e9t\u00e9 cibl\u00e9 par une nouvelle porte d\u00e9rob\u00e9e bas\u00e9e sur .NET appel\u00e9e DeliveryCheck (alias CAPIBAR ou GAMEDAY) qui est capable de fournir des charges utiles de la prochaine \u00e9tape. L&#8217;\u00e9quipe Microsoft Threat Intelligence, en collaboration avec l&#8217;\u00e9quipe d&#8217;intervention d&#8217;urgence informatique [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":839208,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,348,174856,7084,4157,4159,4171,4170,4167,4160,197,4163,4162,2742,3205,4172,4169,42916,330,4166,21841,4164],"class_list":["post-839207","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-defense","tag-deliverycheck","tag-derobee","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-secteur","tag-securite-informatique","tag-securite-internet","tag-turla","tag-ukrainien","tag-violation-de-donnees","tag-viole","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/839207","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=839207"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/839207\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/839208"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=839207"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=839207"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=839207"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}