{"id":988941,"date":"2023-10-26T22:14:51","date_gmt":"2023-10-27T00:14:51","guid":{"rendered":"https:\/\/teknomers.com\/fr\/yorotrooper-des-chercheurs-mettent-en-garde-contre-le-groupe-de-cyberespionnage-furtif-du-kazakhstan\/"},"modified":"2023-10-26T22:14:54","modified_gmt":"2023-10-27T00:14:54","slug":"yorotrooper-des-chercheurs-mettent-en-garde-contre-le-groupe-de-cyberespionnage-furtif-du-kazakhstan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/yorotrooper-des-chercheurs-mettent-en-garde-contre-le-groupe-de-cyberespionnage-furtif-du-kazakhstan\/","title":{"rendered":"YoroTrooper\u00a0: des chercheurs mettent en garde contre le groupe de cyberespionnage furtif du Kazakhstan"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Protection des points finaux\/programmes malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/YoroTrooper-des-chercheurs-mettent-en-garde-contre-le-groupe-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un acteur mena\u00e7ant relativement nouveau connu sous le nom de <strong>YoroTrooper<\/strong> est probablement compos\u00e9 d\u2019op\u00e9rateurs originaires du Kazakhstan.<\/p>\n<p>L&#8217;\u00e9valuation, \u00e9manant de Cisco Talos, est bas\u00e9e sur leur ma\u00eetrise du kazakh et du russe, leur utilisation du tenge pour financer l&#8217;exploitation des infrastructures et leur ciblage tr\u00e8s limit\u00e9 des entit\u00e9s kazakhes, \u00e0 l&#8217;exception de l&#8217;agence gouvernementale anti-corruption.<\/p>\n<p>&#8220;YoroTrooper tente de dissimuler l&#8217;origine de ses op\u00e9rations, en employant diverses tactiques pour donner l&#8217;impression que ses activit\u00e9s malveillantes proviennent d&#8217;Azerba\u00efdjan, comme l&#8217;utilisation de n\u0153uds de sortie VPN locaux dans cette r\u00e9gion&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Asheer Malhotra et Vitor Ventura. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/attributing-yorotrooper\/\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/BunnyLoader-une-nouvelle-menace-de-type-Malware-as-a-Service-emerge-dans-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Document\u00e9 pour la premi\u00e8re fois par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 en mars 2023, l\u2019adversaire est connu pour \u00eatre actif depuis au moins juin 2022, ciblant diverses entit\u00e9s publiques dans les pays de la Communaut\u00e9 des \u00c9tats ind\u00e9pendants (CEI).  La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET suit cette activit\u00e9 sous le nom de SturgeonPhisher.<\/p>\n<p>Les cycles d&#8217;attaque de YoroTrooper reposent principalement sur le spear phishing pour distribuer un m\u00e9lange de logiciels malveillants voleurs de produits de base et open source, bien que le groupe ait \u00e9galement \u00e9t\u00e9 observ\u00e9 en utilisant le vecteur d&#8217;acc\u00e8s initial pour diriger les victimes vers des sites de collecte d&#8217;informations d&#8217;identification contr\u00f4l\u00e9s par les attaquants.<\/p>\n<p>&#8220;La pratique de collecte d&#8217;informations d&#8217;identification est compl\u00e9mentaire aux op\u00e9rations bas\u00e9es sur les logiciels malveillants de YoroTrooper, l&#8217;objectif final \u00e9tant le vol de donn\u00e9es&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>La divulgation publique des campagnes des acteurs mena\u00e7ants a entra\u00een\u00e9 une refonte tactique de leur arsenal, passant des logiciels malveillants de base aux outils personnalis\u00e9s programm\u00e9s en Python, PowerShell, Golang et Rust.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698365690_918_YoroTrooper-des-chercheurs-mettent-en-garde-contre-le-groupe-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698365690_918_YoroTrooper-des-chercheurs-mettent-en-garde-contre-le-groupe-de.jpg\" alt=\"\" border=\"0\" data-original-height=\"305\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Les liens \u00e9troits de l&#8217;acteur avec le Kazakhstan proviennent du fait qu&#8217;il effectue r\u00e9guli\u00e8rement des analyses de s\u00e9curit\u00e9 du service de messagerie \u00e9lectronique public, mail[.]kz, indiquant des efforts continus pour surveiller le site Web \u00e0 la recherche de failles de s\u00e9curit\u00e9 potentielles.<\/p>\n<p>Il v\u00e9rifie \u00e9galement p\u00e9riodiquement les taux de conversion des devises entre Tenge et Bitcoin sur Google (\u00ab\u00a0btc en kzt\u00a0\u00bb) et utilise alfachange.[.]com pour convertir Tenge en Bitcoin et payer l\u2019entretien de l\u2019infrastructure.<\/p>\n<p>\u00c0 partir de juin 2023, le ciblage des pays de la CEI par YoroTrooper s&#8217;est accompagn\u00e9 d&#8217;une concentration accrue sur les implants sur mesure, tout en utilisant simultan\u00e9ment des scanners de vuln\u00e9rabilit\u00e9 tels qu&#8217;Acunetix et des donn\u00e9es open source provenant de moteurs de recherche comme Shodan pour localiser et infiltrer les r\u00e9seaux de victimes.<\/p>\n<p>Certaines des cibles comprenaient la Chambre de commerce du Tadjikistan, l&#8217;Agence de contr\u00f4le des drogues, le minist\u00e8re des Affaires \u00e9trang\u00e8res, le KirghizKomur du Kirghizistan et le minist\u00e8re de l&#8217;\u00c9nergie de la R\u00e9publique d&#8217;Ouzb\u00e9kistan.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1696132289_209_Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un autre aspect notable est l&#8217;utilisation de comptes de messagerie pour s&#8217;inscrire et acheter des outils et services, notamment un abonnement NordVPN et une instance VPS de netx.[.]h\u00e9bergement pour 16 $ par mois.<\/p>\n<p>Une mise \u00e0 jour majeure de la cha\u00eene d&#8217;infection implique le portage de son cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) bas\u00e9 sur Python vers PowerShell ainsi que l&#8217;utilisation d&#8217;un shell inverse interactif personnalis\u00e9 pour ex\u00e9cuter des commandes sur les points de terminaison infect\u00e9s via cmd.exe.  Le PowerShell RAT est con\u00e7u pour accepter les commandes entrantes et exfiltrer les donn\u00e9es via Telegram.<\/p>\n<p>En plus d&#8217;exp\u00e9rimenter plusieurs types de v\u00e9hicules de livraison pour leurs portes d\u00e9rob\u00e9es, YoroTrooper aurait ajout\u00e9 des logiciels malveillants bas\u00e9s sur Golang et Rust \u00e0 partir de septembre 2023, lui permettant d&#8217;\u00e9tablir un shell invers\u00e9 et de r\u00e9colter des donn\u00e9es sensibles.<\/p>\n<p>&#8220;Leurs implants bas\u00e9s sur Golang sont des ports du RAT bas\u00e9 sur Python qui utilise les canaux Telegram pour l&#8217;exfiltration de fichiers et la communication C2&#8221;, ont expliqu\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/yorotrooper-researchers-warn-of.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 octobre 2023\ue804R\u00e9dactionProtection des points finaux\/programmes malveillants Un acteur mena\u00e7ant relativement nouveau connu sous le nom de YoroTrooper est probablement compos\u00e9 d\u2019op\u00e9rateurs originaires du Kazakhstan. L&#8217;\u00e9valuation, \u00e9manant de Cisco Talos, est bas\u00e9e sur leur ma\u00eetrise du kazakh et du russe, leur utilisation du tenge pour financer l&#8217;exploitation des infrastructures et leur ciblage tr\u00e8s limit\u00e9 des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":988942,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,12848,4168,841,4165,4161,200267,77840,133,76165,525,681,7787,4159,4171,200271,3915,200268,200269,200270,128318,4172,4169,4166,4164,152110],"class_list":["post-988941","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-chercheurs","tag-comment-pirater","tag-contre","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-cyberespionnage","tag-des","tag-furtif","tag-garde","tag-groupe","tag-kazakhstan","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mettent","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-yorotrooper"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/988941","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=988941"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/988941\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/988942"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=988941"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=988941"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=988941"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}