Operation Spalax : une attaque ciblant le gouvernement et des entreprises de Colombie

A LA UNE

A la rencontre d’Estelle Redpill, « l’influenceuse » qui fait fantasmer une certaine presse de gauche [Interview]

Les réseaux sociaux regorgent de jeunes et moins jeunes qui parviennent, après quelques vidéos tournés sur un sujet en...

Il y a Zemmour et Naulleau, mais aussi « Zemmour et Bolloré »

Passer d’une chaîne d’information (Cnews) à une station généraliste (Europe 1), voilà l’une des tâches auxquelles Vincent Bolloré s’attaque...

Napoléon : « Ma vie est un roman »

Ce mot, peut-être apocryphe, ne manque pas, de toute façon, de justesse. C’est d’ailleurs pourquoi Napoléon Bonaparte a autant...

Brest. Une semaine « brûlante » dans les quartiers « sensibles » de Pontanézen et Bellevue

Brest a été le théâtre de plusieurs épisodes de violence urbaine, dans les quartiers de Pontanézen et de Bellevue,...

Il y a 100 ans était fondée l’Irlande du Nord. Quelle histoire ? Quel avenir ? Explications et sondage.

Ce 3 mai 2021, l'Irlande du Nord fête les 100 ans de sa création. Entité britannique, la province britannique...

En 2020, les chercheurs d’ESET, éditeur Européen de solutions de sécurité, ont observé plusieurs attaques visant exclusivement des entités colombiennes, qui ont été collectivement baptisées Operation Spalax. Ces attaques sont actives et visent à la fois les institutions gouvernementales et des entreprises privées, notamment dans les secteurs de l’énergie et de la métallurgie. Les agresseurs utilisent des chevaux de Troie d’accès à distance, très probablement pour mener des activités de cyberespionnage.

Les cibles sont contactées par des e-mails qui conduisent au téléchargement de fichiers malveillants. Dans la plupart des cas, ces e-mails sont accompagnés d’un document PDF contenant un lien sur lequel l’utilisateur doit cliquer. Les fichiers téléchargés sont des archives RAR ordinaires qui contiennent un fichier exécutable. Ces archives sont hébergées par des services légitimes tels que OneDrive ou MediaFire. Les e-mails d’hameçonnage peuvent être une notification pour effectuer un dépistage COVID-19 obligatoire, assister à une audience au tribunal, payer une contravention, ou notifier d’un gel des comptes bancaires.

Les malwares utilisés par Operation Spalax sont des chevaux de Troie d’accès à distance. Ils comportent plusieurs fonctionnalités, non seulement le contrôle à distance, mais également l’espionnage des cibles : enregistrement des frappes au clavier, capture d’écran, détournement du presse-papiers, exfiltration de fichiers et possibilité de télécharger et d’exécuter d’autres malwares, pour n’en citer que quelques-unes.

ESET a observé au moins 24 adresses IP différentes utilisées au cours du second semestre 2020. Il s’agit probablement d’appareils compromis qui servent de proxy pour les serveurs de commande et de contrôle. L’utilisation conjointe de services de DNS dynamiques signifie que l’infrastructure n’est jamais statique. Nous avons vu au moins 70 noms de domaine actifs pendant cette période, et de nouveaux domaines sont régulièrement enregistrés, » déclare Matías Porolli, le chercheur d’ESET qui a étudié Spalax.

Les attaques ciblées de malwares contre des entités colombiennes se sont intensifiées depuis les campagnes examinées par d’autres chercheurs l’année dernière. Le paysage a changé. Il ne s’agit plus d’une simple campagne avec une poignée de noms de domaine et de serveurs de commande et de contrôle, mais d’une campagne s’appuyant sur une infrastructure étendue et évoluant rapidement, avec des centaines de noms de domaine utilisés depuis 2019.

Les attaques détectées en 2020 ont en commun certaines des TTP utilisées par d’autres groupes qui ciblent la Colombie, mais diffèrent également à bien des égards, ce qui ne facilite pas leur attribution.

Pour plus de détails techniques sur Operation Spalax, lisez l’article « Operation Spalax: Targeted malware attacks in Colombia » sur WeLiveSecurity.

Crédit photo : DR (photo d’illustration)
[cc] Breizh-info.com, 2020, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

.
- Je soutiens BREIZH-INFO -

Elections au Royaume-Uni. Les résultats en Angleterre, en Ecosse et au Pays de Galles [MAJ]

Après la fermeture des bureaux de vote pour les élections locales en Grande-Bretagne, jeudi soir, le long dépouillement a...

Irlande du Nord. Deux membres présumés de la New IRA arrêtés en lien avec la tentative de meurtre d’un policier

Deux hommes ont été arrêtés en relation avec la tentative de meurtre d'un officier de police et une série...

Articles liés

Colombie : un appel à la solidarité internationale

Les manifestants continuent de descendre dans les rues par milliers en Colombie pour demander la démission du président Ivan Duque, malgré une répression policière...

Cybersécurité. PayPal, Spotify, Facebook, Instagram : mails frauduleux et vols de mots de passe à signaler !

PayPal, Spotify, Facebook, Apple... Entre mails frauduleux et logiciels malveillants, différentes menaces pèsent sur la cybersécurité des utilisateurs depuis plusieurs jours. Tour d'horizon. PayPal et...

Attention aux chevaux de Troie Android se faisant passer pour l’application Clubhouse

Le malware peut obtenir les identifiants de connexion de 458 applications et contourner l’authentification à deux facteurs par SMS. Les cybercriminels tentent de profiter...

WAPDropper, un logiciel malveillant mobile qui abonnent des utilisateurs à des services surtaxés

Aucun d'entre nous n'aime recevoir une facture beaucoup plus importante que ce à quoi il s'attendait - surtout lorsque nous ne savons pas comment...