{"id":19280,"date":"2022-08-16T13:23:30","date_gmt":"2022-08-16T11:23:30","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19280"},"modified":"2022-08-16T13:23:30","modified_gmt":"2022-08-16T11:23:30","slug":"andariel-dtrack-maui","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/andariel-dtrack-maui\/19280\/","title":{"rendered":"Les attaques du groupe Andariel : DTrack et Maui"},"content":{"rendered":"

Nos experts ont \u00e9tudi\u00e9 l\u2019activit\u00e9 d\u2019Andariel, qui pourrait \u00eatre un sous-groupe de Lazarus APT. Les cybercriminels se servent du programme malveillant DTrack et du ransomware Maui pour attaquer les entreprises. Comme c\u2019est g\u00e9n\u00e9ralement le cas avec Lazarus, le groupe cherche avant tout \u00e0 gagner de l\u2019argent, cette fois gr\u00e2ce \u00e0 des demandes de ran\u00e7on.<\/p>\n

Les cibles du groupe Andariel<\/h2>\n

Nos experts en ont conclu qu\u2019au lieu de se concentrer sur un domaine en particulier, le groupe Andariel est pr\u00eat \u00e0 attaquer n\u2019importe quelle entreprise. En juin, l\u2019Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) a signal\u00e9<\/a> que le ransomware Maui s\u2019en prenait principalement aux entreprises et aux organismes publics du syst\u00e8me de sant\u00e9 am\u00e9ricain. Pourtant, notre \u00e9quipe a d\u00e9tect\u00e9 au moins une attaque qui visait une soci\u00e9t\u00e9 de construction au Japon, ainsi que d\u2019autres victimes en Inde, au Vietnam et en Russie.<\/p>\n

Les outils du groupe Andariel<\/h2>\n

Le logiciel malveillant DTrack est l\u2019outil principal du groupe Andariel. Il recueille des informations sur la victime et les envoie \u00e0 un h\u00f4te \u00e0 distance. DTrack recueille, entre autres, l\u2019historique du navigateur et le sauvegarde dans un fichier \u00e0 part. La variante utilis\u00e9e pour les attaques men\u00e9es par Andariel permet d\u2019envoyer les informations recueillies au serveur des cybercriminels via HTTP, et de les conserver dans un h\u00f4te \u00e0 distance sur le r\u00e9seau de la victime.<\/p>\n

Le ransomware Maui entre en jeu lorsque les cybercriminels trouvent des informations importantes. Il est g\u00e9n\u00e9ralement d\u00e9tect\u00e9 sur les h\u00f4tes attaqu\u00e9s 10 heures apr\u00e8s l\u2019activation du programme malveillant DTrack. Nos coll\u00e8gues de Stairwell ont \u00e9tudi\u00e9<\/a> des \u00e9chantillons et en ont conclu qu\u2019il est contr\u00f4l\u00e9 manuellement par ses op\u00e9rateurs. Autrement dit, ils lui indiquent quelles donn\u00e9es chiffrer.<\/p>\n

Il semblerait que les cybercriminels se servent aussi de l\u2019outil 3Proxy. Le format compact de cet ensemble de\u00a0serveurs\u00a0proxy gratuits et l\u00e9gitimes multiplateforme, seulement quelques centaines de kilo-octets, int\u00e9resse certainement les escrocs. Cet outil peut \u00eatre utilis\u00e9 pour maintenir un acc\u00e8s \u00e0 distance sur l\u2019ordinateur compromis.<\/p>\n

Les m\u00e9thodes utilis\u00e9es par Andariel pour distribuer son malware<\/h2>\n

Les cybercriminels exploitent les versions non corrig\u00e9es des services publics en ligne. Dans l\u2019un de ces cas, le programme malveillant a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 \u00e0 partir d\u2019un HFS (logiciel HTTP File Sever)\u00a0: les cybercriminels ont utilis\u00e9 un exploit inconnu qui leur a permis d\u2019ex\u00e9cuter un script Powershell depuis un serveur \u00e0 distance. Dans un autre cas, ils ont pu compromettre un serveur WebLogic en exploitant la vuln\u00e9rabilit\u00e9 CVE-2017-10271, qui leur a ensuite permis de lancer un script.<\/p>\n

Si vous souhaitez obtenir une description plus technique de l\u2019attaque et des outils utilis\u00e9s, et conna\u00eetre les indicateurs de compromission, nous vous invitons \u00e0 lire l\u2019article publi\u00e9 sur Securelist<\/a>.<\/p>\n

Comment vous prot\u00e9ger ?<\/h2>\n

Tout d\u2019abord, vous devez v\u00e9rifier que tous les dispositifs d\u2019entreprise, y compris les serveurs, sont \u00e9quip\u00e9s de solutions de s\u00e9curit\u00e9 robustes<\/a>. De plus, il serait \u00e9galement judicieux d\u2019adopter en avance une strat\u00e9gie et des mesures anti-ransomware<\/a> au cas o\u00f9 votre entreprise serait infect\u00e9e.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Le groupe Andariel attaque les entreprises avec divers outils malveillants.<\/p>\n","protected":false},"author":2581,"featured_media":19281,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[1070,2794,353],"class_list":{"0":"post-19280","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-extorsion","10":"tag-lazarus","11":"tag-ransomware"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/andariel-dtrack-maui\/19280\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/andariel-dtrack-maui\/24444\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/andariel-dtrack-maui\/19910\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/andariel-dtrack-maui\/26881\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/andariel-dtrack-maui\/24788\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/andariel-dtrack-maui\/25184\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/andariel-dtrack-maui\/27501\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/andariel-dtrack-maui\/27158\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/andariel-dtrack-maui\/33817\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/andariel-dtrack-maui\/10923\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/andariel-dtrack-maui\/45130\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/andariel-dtrack-maui\/19867\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/andariel-dtrack-maui\/29139\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/andariel-dtrack-maui\/28412\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/andariel-dtrack-maui\/25332\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/andariel-dtrack-maui\/30847\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/andariel-dtrack-maui\/30556\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19280","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19280"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19280\/revisions"}],"predecessor-version":[{"id":19283,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19280\/revisions\/19283"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19281"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19280"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19280"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19280"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}