Operation Spalax : une attaque ciblant le gouvernement et des entreprises de Colombie

A LA UNE

Voyages : 3 Français sur 4 prêts à prendre une assurance annulation depuis la crise sanitaire

Compte tenu de l’instabilité et des incertitudes entrainées par la pandémie de Covid-19, voyager n’est plus aussi simple qu’avant,...

Baromètre 2020 du prénom musulman : 21,7% des naissances en France, entre 5 et 12% en Bretagne

L’INSEE a publié comme chaque année les chiffres de l’État Civil relatifs aux prénoms attribués aux enfants nés en...

Nantes. La manifestation contre le pass sanitaire attaquée par l’extrême gauche [Témoignage exclusif]

À la fin de la manifestation contre le pass sanitaire samedi 31 juillet à Nantes, un groupe d'individus affiliés...

L’abstention selon Richard, Bernard, Arnaud et les autres…

De consultation électorale en consultation électorale, l’abstention progresse. C’est particulièrement vrai pour les élections régionales : de 20% en 1986,...

Bretagne. Retour sur les manifestations du 31 juillet contre le pass sanitaire

Plusieurs dizaines de milliers de personnes ont manifesté dans de nombreuses villes bretonnes contre le pass sanitaire, le samedi...

En 2020, les chercheurs d’ESET, éditeur Européen de solutions de sécurité, ont observé plusieurs attaques visant exclusivement des entités colombiennes, qui ont été collectivement baptisées Operation Spalax. Ces attaques sont actives et visent à la fois les institutions gouvernementales et des entreprises privées, notamment dans les secteurs de l’énergie et de la métallurgie. Les agresseurs utilisent des chevaux de Troie d’accès à distance, très probablement pour mener des activités de cyberespionnage.

Les cibles sont contactées par des e-mails qui conduisent au téléchargement de fichiers malveillants. Dans la plupart des cas, ces e-mails sont accompagnés d’un document PDF contenant un lien sur lequel l’utilisateur doit cliquer. Les fichiers téléchargés sont des archives RAR ordinaires qui contiennent un fichier exécutable. Ces archives sont hébergées par des services légitimes tels que OneDrive ou MediaFire. Les e-mails d’hameçonnage peuvent être une notification pour effectuer un dépistage COVID-19 obligatoire, assister à une audience au tribunal, payer une contravention, ou notifier d’un gel des comptes bancaires.

Les malwares utilisés par Operation Spalax sont des chevaux de Troie d’accès à distance. Ils comportent plusieurs fonctionnalités, non seulement le contrôle à distance, mais également l’espionnage des cibles : enregistrement des frappes au clavier, capture d’écran, détournement du presse-papiers, exfiltration de fichiers et possibilité de télécharger et d’exécuter d’autres malwares, pour n’en citer que quelques-unes.

ESET a observé au moins 24 adresses IP différentes utilisées au cours du second semestre 2020. Il s’agit probablement d’appareils compromis qui servent de proxy pour les serveurs de commande et de contrôle. L’utilisation conjointe de services de DNS dynamiques signifie que l’infrastructure n’est jamais statique. Nous avons vu au moins 70 noms de domaine actifs pendant cette période, et de nouveaux domaines sont régulièrement enregistrés, » déclare Matías Porolli, le chercheur d’ESET qui a étudié Spalax.

Les attaques ciblées de malwares contre des entités colombiennes se sont intensifiées depuis les campagnes examinées par d’autres chercheurs l’année dernière. Le paysage a changé. Il ne s’agit plus d’une simple campagne avec une poignée de noms de domaine et de serveurs de commande et de contrôle, mais d’une campagne s’appuyant sur une infrastructure étendue et évoluant rapidement, avec des centaines de noms de domaine utilisés depuis 2019.

Les attaques détectées en 2020 ont en commun certaines des TTP utilisées par d’autres groupes qui ciblent la Colombie, mais diffèrent également à bien des égards, ce qui ne facilite pas leur attribution.

Pour plus de détails techniques sur Operation Spalax, lisez l’article « Operation Spalax: Targeted malware attacks in Colombia » sur WeLiveSecurity.

Crédit photo : DR (photo d’illustration)
[cc] Breizh-info.com, 2020, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

.
- Je soutiens BREIZH-INFO -

Occupation d’Arbonne : les agriculteurs basques s’invitent chez la propriétaire parisienne

Les terrains d'Arbonne au Pays Basque Nord cristallisent la contestation autour de la hausse du foncier et de l'immobilier...

Ober anaoudegezh gant Bro ar Gwin e Liger-Atlantel

E-pad ar vakañsoù e-lec'h mont da vro-Euskadi evel boaz e c'hell ar vretoned kar o bro ober anaoudegezh gant...

Articles liés

Pablo Escobar : La grande traque

Pablo Escobar a sûrement été l’homme le plus pourchassé au monde. Au début des années 1990, toutes les polices colombiennes, ainsi que la DEA...

Colombie : un appel à la solidarité internationale

Les manifestants continuent de descendre dans les rues par milliers en Colombie pour demander la démission du président Ivan Duque, malgré une répression policière...

Cybersécurité. PayPal, Spotify, Facebook, Instagram : mails frauduleux et vols de mots de passe à signaler !

PayPal, Spotify, Facebook, Apple... Entre mails frauduleux et logiciels malveillants, différentes menaces pèsent sur la cybersécurité des utilisateurs depuis plusieurs jours. Tour d'horizon. PayPal et...

Attention aux chevaux de Troie Android se faisant passer pour l’application Clubhouse

Le malware peut obtenir les identifiants de connexion de 458 applications et contourner l’authentification à deux facteurs par SMS. Les cybercriminels tentent de profiter...