Reprise de la production, et l'exportation du pétrole en Libye    La Russie bloquera-t-elle à nouveau cette assistance vitale ?    Voie ouverte à la transformation de Sainte-Sophie en mosquée    Qui veut faire imploser la Tunisie ?    Chiffres: 4787,9 MDT    Augmentation de 81% des mouvements de protestation    5 nouveaux cas de coronavirus en Tunisie    Un Tunisien a tenté de s'immoler par le feu dans les locaux du Consulat général de Tunisie à Milan    Tunisie: Saisie de 30 tonnes de sucre subventionné à l'Ariana    Tunisie: Interpellation de l'individu ayant dicté via un haut-parleur des réponses à une épreuve du bac    Etoile du Sahel : Sans Ammar Jemal et Yassine Chikhaoui, 47 joueurs pour terminer la saison    Sit-in ouvert du bloc du PDL au parlement    Kélibia : Mise en échec d'une tentative d'immigration clandestine de 17 Tunisiens vers l'Italie    Le ministre libyen des Finances reçu au Palais de Carthage    Programme TV du samedi 11 juillet    "Le gouvernement travaille selon une méthodologie rentable", assure Asma Shiri    Tunisie – Hsouna Nasfi attire l'attention sur la gravité de ce qui s'est passé à l'ARP    DERNIERE MINUTE : Un ressortissant tunisien menace de s'immoler par le feu dans le consulat tunisien à Milan    Ensemble pour préserver les acquis    Tunisie : Nouvelair organise un vol de rapatriement de Moscou vers la Tunisie    Mercato : Mohamed Drager en route vers la Bundesliga 2    40e jour du décès de Chedly Klibi : La Cité de la culture baptisée au nom de l'illustre ministre de Bourguiba    La saison 2020/2021 de Bundesliga débutera le 18 septembre    Impact de la crise du COVID 19 sur les entreprises tunisiennes : Les PME tournent au ralenti    Tribune | Comment l'article 77 de la Constitution réduit l'objet du concept de «Sécurité nationale» à celui de «Défense Nationale» ? : Le concept de «sécurité nationale» dans la Constitution tunisienne ? (2e partie)    Club Africain : Plus que 2000 cartes d'adhérents vendues    Exclusion des Coupes d'Europe : Manchester City fixé lundi    L'ambassadeur de la Suède en Tunisie chez Ghannouchi    La KFW met en place de nouveaux mécanismes de financement de projets numériques en Tunisie    Météo : Temps idéal pour la baignade!    Un nouveau cas de coronavirus à Sousse    Tourisme : Près de 50% des adhérents de la FI2T ont procédé à des licenciements (enquête)    Le baril du pétrole clôture le 9 juillet 2020 à 42,6 $    Les parties politiques en Tunisie: Le chaînon manquant    Six marins français testés positifs au covid, à leur retour d'une traversée en provenance de Tunis    Il était une fois... «12 mille dinars pour des Ripoux» !    Cri d'alarme pour les droits d'auteur    Irremplaçable pour toujours !    Un avertissement sans frais à Netanyahou    Algérie : Interdiction de circulation automobile entre 29 wilayas    Tunsie : La Cité de la Culture officiellement baptisée au nom de Chedli Klibi    Lancement du nouveau projet du Ballet de l'Opéra de Tunis : «Empreintes dansées» dans les régions    Utopies Visuelles à Sousse (du 10 au 26 juillet 2020) : Une édition en partie digitale    Portrait poignant de deux afghanes sous le joug masculin    Un Tunisien remporte le 1er prix d'un concours mondial de poésie, Découvrez son poème    32 nouveaux décès en France en 24 heures    469 nouveaux cas en Algérie en 24 heures    Une étudiante tunisienne active dans le secours des migrants remporte le prix de l'organisation Pro-Asyl-2020    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.





ESET découvre l'utilisation de Gmail comme C&C par le groupe de cyberespionnage Turla (également appelé Snake)
Publié dans Tunisie Numérique le 27 - 05 - 2020

Les chercheurs d'ESET ont découvert une nouvelle version de la Backdoor ComRAT, l'une des plus anciennes familles de malwares opérées par le groupe Turla. Egalement appelé Snake, Turla, est un groupe de cyberespionnage actif depuis plus de dix ans. La fonctionnalité la plus intéressante de cette Backdoor est l'utilisation de l'interface web de Gmail pour recevoir des commandes et exfiltrer des données. ComRAT s'est attaqué à au moins trois institutions gouvernementales depuis 2017 pour y dérober des documents sensibles. ESET a découvert que cette dernière version de ComRAT était toujours utilisée au début de l'année 2020, ce qui montre que le groupe Turla est toujours très actif et constitue une menace majeure pour les diplomates et les militaires.
La principale utilisation de ComRAT est le vol de documents confidentiels. Lors d'une campagne spécifique, ses opérateurs ont même déployé un exécutable .NET pour interagir avec le serveur de base de données MS SQL d'une victime contenant les documents de l'organisation. Les opérateurs du malware ont utilisé des services de Cloud public tels que OneDrive et 4shared pour exfiltrer des données. La dernière version de la Backdoor de Turla est en mesure d'effectuer de nombreuses autres actions sur les ordinateurs compromis, notamment lancer des programmes supplémentaires et exfiltrer des fichiers.
Les moyens mis en œuvre pour échapper à la détection par les solutions de sécurité sont préoccupant. « Cela montre le niveau de sophistication de ce groupe et son intention de s'implanter à long terme dans les machines, » explique Matthieu Faou, qui a enquêté sur le groupe pendant plusieurs années. « Grâce à l'utilisation de l'interface web de Gmail, la dernière version de ComRAT est capable de contourner certains contrôles de sécurité, car elle n'utilise aucun domaine malveillant, » poursuit M. Faou.
ESET a découvert une mise à jour importante de la Backdoor en 2017. Elle est beaucoup plus complexe que les versions précédentes. La dernière itération de la Backdoor découverte par les chercheurs d'ESET a été compilée en novembre 2019.
« En étudiant la victimologie et les échantillons du malware présents sur les machines compromises, nous estimons que ComRAT est utilisé exclusivement par Turla, » ajoute M. Faou. ComRAT, également appelé Agent.BTZ, est une Backdoor malveillante qui est devenue célèbre après avoir été utilisée dans une faille de sécurité qui a touchée l'armée américaine en 2008. La première version de ce malware, probablement lancée en 2007, était un ver qui se propageait via des disques amovibles.
Pour plus de détails techniques sur ComRAT ainsi qu'une liste complète et exhaustive des indicateurs de compromis (IoC), veuillez lire le livre blanc d'ESET « From Agent.BTZ to ComRAT v4: a ten year journey » sur WeLiveSecurity. Suivez l'actualité d'ESET Research sur Twitter.
Communiqué de presse

Partagez1
Tweetez
+1
Partagez
1 Partages
Que se passe-t-il en Tunisie?
Nous expliquons sur notre chaîne YouTube . Abonnez-vous!


Cliquez ici pour lire l'article depuis sa source.