2025-03-20_173110.jpg
La campagne vise l'Ukraine, mais qu'en est il des autres pays ? Surtout que cela vise "les employés des entreprises du complexe industriel de défense et les représentants des forces de défense
Une campagne sophistiquée de cyberespionnage ciblant les employés des entreprises du complexe industriel de défense et les représentants des forces de défense ukrainiennes a été découverte.
Les attaquants utilisent l' application de messagerie populaire Signal pour distribuer des archives malveillantes qui contiendraient des rapports de réunion, exploitant la nature fiable de la plateforme pour contourner les mesures de sécurité.
La campagne malveillante, suivie sous l'identifiant UAC-0200, est active depuis au moins l'été 2024 mais s'est intensifiée au cours du mois de mars 2025.
Dans certains cas, les acteurs malveillants ont compromis les comptes de contacts existants pour renforcer la crédibilité de leurs messages.
Les analystes de l'équipe d'intervention d'urgence informatique d'Ukraine ont noté que les archives distribuées contiennent généralement un fichier PDF ainsi qu'un fichier exécutable classé comme DarkTortilla.
Ce cryptor/chargeur est conçu pour décrypter et lancer l'outil de contrôle à distance Dark Crystal RAT (DCRAT), offrant aux attaquants un accès complet aux systèmes des victimes.
Depuis février 2025, les messages leurres se concentrent spécifiquement sur des sujets liés aux drones, aux équipements de guerre électronique et à d’autres technologies liées à la défense.
Les chercheurs en sécurité avertissent que l’utilisation de messageries instantanées populaires sur les appareils mobiles et les ordinateurs élargit considérablement la surface d’attaque potentielle en créant des canaux de communication qui contournent souvent les contrôles de sécurité
organisationnels.
Les fichiers malveillants utilisent des techniques sophistiquées pour échapper à la détection tout en établissant une persistance sur les systèmes infectés.
2025-03-20_173826.jpg
Les archives initiales contiennent des exécutables dont la taille est comprise entre 200 et 500 Ko, portant des noms tels que « material.exe », « pdfDecod.exe » et « Office2025version46-v.exe ». Une fois exécutés, ces fichiers déploient la charge utile DarkCrystal RAT .
L'analyse du réseau révèle une communication avec plusieurs serveurs de commande et de contrôle, notamment les adresses IP 45.130.214.237, 62.60.235.190 et 87.249.50.64.
Le CERT-UA appelle à la vigilance et au signalement immédiat des messages suspects afin d'éviter toute nouvelle compromission des systèmes sensibles de l'industrie de la défense.
CERT UA :
https://cert.gov.ua/article/6282737
« Par son inaction, Signal aide les Russes à recueillir des informations, à cibler nos soldats et à compromettre des responsables gouvernementaux »,
a déclaré Serhii Demediuk, secrétaire adjoint du Conseil national de sécurité et de défense de l'Ukraine.
La PDG de Signal, Meredith Whittaker, a toutefois réfuté cette affirmation, déclarant :
« Nous ne collaborons officiellement avec aucun gouvernement, ukrainien ou autre, et nous n'avons jamais cessé. Nous ne savons pas exactement d'où cela vient ni pourquoi. »
Source partielle :
https://www.bleepingcomputer.com/news/s ... g-attacks/
--------------------------------------------------------------------------
Pour RAPPEL l'application "SIGNAL" était conseillée par et pour le Gouvernement FR
2025-03-20_174135.jpg
M. Barrot en a fait les frais
viewtopic.php?t=75225
Extrait :
En effet, Il faut savoir qu'actuellement Matignon demande aux membres du gouvernement et à leurs cabinets d'utiliser l'application de messagerie chiffrée Signal.
Le prédécesseur de Michel Barnier, Gabriel Attal, avait laissé les ministres libres d'utiliser la plateforme de leur choix, après une circulaire d'Élisabeth Borne interdisant Signal, WhatsApp et Telegram fin 2023.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
