De nouvelles découvertes concernant un groupe de pirates informatiques appelé “Bad Magic”, lié à des cyberattaques visant des entreprises dans la zone de conflit russo-ukrainienne, révèlent qu’il existe peut-être depuis bien plus longtemps qu’on ne le pensait, selon une société de cybersécurité de premier plan. Kaspersky.
“En mars 2023, nous avons découvert une campagne APT jusqu’alors inconnue dans la région du conflit russo-ukrainien, qui impliquait l’utilisation d’implants PowerMagic et CommonMagic. Cependant, à l’époque, il n’était pas clair quel acteur de la menace était à l’origine de l’attaque.
“Depuis la publication de notre rapport sur CommonMagic, nous avons cherché des indices supplémentaires qui nous permettraient d’en savoir plus sur cet acteur. Comme nous nous y attendions, nous avons été en mesure de mieux comprendre l’histoire de Bad Magic”, déclare Kaspersky. “En recherchant des implants présentant des similitudes avec PowerMagic et CommonMagic, nous avons identifié un groupe d’activités malveillantes encore plus sophistiquées provenant du même acteur de la menace.
“Le plus intéressant, c’est que ses victimes se trouvaient non seulement dans les régions de Donetsk, de Lougansk et de Crimée, mais aussi dans le centre et l’ouest de l’Ukraine. Les cibles comprenaient des individus, ainsi que des organisations diplomatiques et de recherche.”
La campagne se caractérise par l’utilisation d’un nouveau cadre modulaire dont le nom de code est CloudWizard, qui offre la possibilité de prendre des captures d’écran, d’enregistrer le microphone, d’enregistrer les frappes au clavier, de s’emparer des mots de passe et de récolter les boîtes de réception Gmail.
Bad Magic a été signalé pour la première fois en mars 2023, détaillant l’utilisation par le groupe d’une porte dérobée appelée PowerMagic (alias DBoxShell ou GraphShell) et d’un cadre modulaire surnommé CommonMagic dans des attaques ciblant les territoires ukrainiens occupés par la Russie.
Kaspersky : You Tube : Red Packet Security : Secure List : Hacker News : CPO Magazine :
Tu pourrais aussi lire :
Shuckworm intensifie les cyberattaques contre l’Ukraine:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S’inscrire
- Comptes multi-utilisateurs, d’entreprise et de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
