ClickCease Exploit WinRAR de DarkCasino : Une nouvelle menace APT émerge

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Exploit WinRAR de DarkCasino : Une nouvelle menace APT émerge

Wajahat Raja

Le 30 novembre 2023 - L'équipe d'experts de TuxCare

Une cybermenace redoutable et très sophistiquée, baptisée DarkCasino, a récemment été révélée dans le domaine de la cybersécurité. Initialement perçue comme une campagne de phishing orchestrée par le groupe EvilNum, de récentes analyses de la société de cybersécurité NSFOCUS ont reclassé DarkCasino en tant que menace persistante avancée (APT). Ce changement de classification est attribué aux remarquables capacités techniques de DarkCasino et à son intégration habile de diverses technologies d'attaque APT. Dans ce blog, nous allons découvrir les spécificités de cet exploit WinRAR de DarkCasino. exploit WinRAR de DarkCasino, en mettant en lumière tous les détails importants.

 

DarkCasino : Vue d'ensemble


Dans son évaluation, le NSFOCUS décrit DarkCasino comme une entreprise
"acteur "économiquement motivé qui a attiré l'attention pour la première fois en 2021. Doté d'une solide base technique et d'un talent pour intégrer les technologies d'attaque APT les plus populaires dans ses opérations, DarkCasino est devenu un acteur persistant et sophistiqué de la cybermenace.


Activité malveillante de DarkCasino


Initialement perçues comme une campagne de phishing, les activités continues de DarkCasino ont conduit NSFOCUS à exclure tout lien avec des acteurs connus de la menace. Les premières opérations de l'acteur de la menace se sont concentrées sur les pays du pourtour méditerranéen et d'autres régions asiatiques, ciblant principalement les services financiers en ligne. Cependant, de récents changements dans les méthodes d'hameçonnage ont permis à DarkCasino d'atteindre les utilisateurs de crypto-monnaies du monde entier, y compris des pays asiatiques non anglophones comme la Corée du Sud et le Vietnam.


Exploit WinRAR de DarkCasino et CVE-2023-38831


Les exploits les plus récents de DarkCasino impliquent l'exploitation de la
exploitation zero-day de CVE-2023-38831, une faille de sécurité avec un score CVSS significatif de 7,8. Cette faille est devenue une arme de choix pour DarkCasino, permettant le déploiement de charges utiles malveillantes. En août 2023le Group-IB a divulgué des attaques réelles exploitant des vulnérabilités logiciellesEn août 2023, le Group-IB a révélé des attaques réelles exploitant des vulnérabilités logicielles, ciblant spécifiquement des forums de commerce en ligne depuis au moins avril 2023. La charge utile finale, nommée DarkMe, est un cheval de Troie Visual Basic attribué à DarkCasino.


DarkMe : une menace potentielle


DarkMe, doté de capacités multiples, représente une menace sérieuse pour les hôtes compromis. Ses fonctionnalités comprennent la collecte d'informations sur l'hôte, la réalisation de captures d'écran, la manipulation de fichiers et du registre Windows, l'exécution de commandes arbitraires et l'auto-mise à jour sur l'hôte compromis. La sophistication de DarkMe souligne l'engagement de DarkCasino à atteindre ses objectifs.


Impact mondial et origine incertaine


Alors que DarkCasino a été initialement associé à la campagne de phishing du groupe EvilNum ciblant les plateformes européennes et asiatiques de jeu en ligne, de crypto-monnaie et de crédit, NSFOCUS affirme que le suivi continu a permis d'exclure les connexions avec des acteurs de menace connus. L'origine exacte de l'acteur de la menace reste inconnue, ce qui ajoute un élément de mystère à la prévention des cyberattaques.
prévention des cyberattaques.


Collaboration des acteurs de la menace


De nombreux acteurs de la menace ont rejoint le groupe d'exploitation de la
CVE-2023-38831 au cours des derniers mois. Des entités notables telles que APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni et Sandworm ont exploité cette vulnérabilité. Les chaînes d'attaque de Ghostwriter, en particulier, ont ouvert la voie à PicassoLoader, un logiciel malveillant intermédiaire qui sert de chargeur pour d'autres charges utiles.


Impact de la vulnérabilité de WinRAR sur le paysage de l'APT


La vulnérabilité de
vulnérabilité de WinRARCVE-2023-38831, introduite par la campagne malveillante de campagne de logiciels malveillants DarkCasinoa créé des incertitudes dans le paysage des attaques APT au cours de la seconde moitié de l'année 2023. Exploitant la fenêtre de cette vulnérabilité, plusieurs groupes APT dans le domaine de la cybersécurité ont ciblé des entités critiques telles que des gouvernements, dans le but de contourner leurs systèmes de protection et d'atteindre leurs objectifs.


Conclusion


L'évolution de DarkCasino, d'une campagne d'hameçonnage à une menace persistante avancée, témoigne de l'évolution constante du paysage des cybermenaces.
de la cybersécurité en constante évolution. L'exploitation de la faille de sécurité faille de sécurité WinRAR a non seulement mis en évidence les prouesses techniques de DarkCasino, mais a également déclenché un effort de collaboration entre divers acteurs de la menace. Alors que les mesures de cybersécurité continuent d'évoluer, la vigilance et les stratégies de défense proactives sont de mise. stratégies de défense proactives de défense proactives deviennent impératives pour atténuer les risques posés par les cybermenaces émergentes.

 

Les sources de cet article comprennent des articles dans The Hacker News et ISP.PAGE.

 

Résumé
Exploit WinRAR de DarkCasino : Une nouvelle menace APT émerge
Nom de l'article
Exploit WinRAR de DarkCasino : Une nouvelle menace APT émerge
Description
Découvrez la dernière menace en date, DarkCasino exploitant la faille WinRAR. Restez informé et protégez-vous dès maintenant contre l'exploitation de la faille WinRAR par DarkCasino.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information