Actualités

SDBBot : recrudescence malveillante pour le RAT dans les réseaux de santé australiens !

L’Australian Cyber-Security Centre (ACSC) a émis un communiqué sécuritaire, le 12 Novembre 2020 : celui-ci fait référence à un remote access tool (RAT), un outil d’administration distant qui, en général, n’a pas vocation a être malveillant. Toutefois et dans l’histoire insécuritaire, ce type d’outil est souvent exploité en étant détourné de sa fonction de veille ou dépannage première, via, par exemple, un contrôle distant pour modifier certaines parties du système pour les rendre inopérantes ou caduques… Qualifiée de “élevé”, le bulletin du centre cyber-sécuritaire australien met en garde face à l’observation d’un regain d’attaques de ce type dans les réseaux des milieux et services hospitaliers…

 

Un rat ou un R. A. T. ; c’est selon…

 

SDBBot est composé de 3 composants : un programme d’installation qui établit la persistance, un programme de chargement qui télécharge des composants supplémentaires et le RAT lui-même. Une fois installé, les acteurs malveillants utiliseront SDBBot pour se déplacer latéralement au sein d’un réseau et ex-filtrer les données. SDBBot est un précurseur connu du ransomware Clop“, indique l’ACSC.

Depuis la rentrée 2019, au moins, les chercheurs de ProofPoint mettait en lumière SDBBot qui ciblait essentiellement des établissements financiers par le biais d’un mail accompagné d’une pièce jointe vérolée. Une fois ouverte, le RAT dédiée faisait place à un trojan qui s’installait au sein du registre-système, via une clé spécialement prévue à cet effet. En Novembre 2019, le ransomware Clop (HappyLife, Fany-Fany-6-6-6, MoneyP#666) était relié au groupe TA505 par un certificat-signature commun(e) à FlawedAmmyy par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), qui émettait ses dernières conclusions en la matière. Outre la porte dérobée, il était fait usage de Cobalt Strike pour diffuser la charge malveillante… A veiller !

 

 

 

Source : ACSC – 12 Novembre 2020 – SDBBot : regain d’attaque dans le secteur médical australien.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.6.3