Actualités

Purple Lambert : mise en lumière d’un nouveau malware qui serait potentiellement issu des ressources de la CIA ! (au relent de Vault 7…)

L’affaire date mais les données ou reliquats de données restent : le 7 Mars 2017, WikiLeaks mettait à nu Vault 7, un ensemble massif de document et d’information issues des entrailles de la Central Intelligence Agency (CIA). Dans un ensemble total de quelques 8 761 documents, ces ressources visaient, via des portes dérobées ou des malwares conçus de manière très élaborées, à espionner des personnes, des partis politiques ou des Gouvernements de tout pays (presque aucun n’était épargné via un des innombrables dérivés des outils de Vault 7 dont Longhorn – nommé The Lamberts (famille) par Kaspersky Lab ou SecureList – selon les investigations de Symantec, le 4 Octobre 2017). Au cours d’un rapport trimestriel sécuritaire, Kaspersky a mis en relief une possible nouvelle variante qui pourrait tout à fait être le fruit de la CIA et nommée Purple Lambert.

 

 

En février 2019, plusieurs sociétés d’antivirus ont reçu une collection d’échantillons de logiciels malveillants, la plupart associés à divers groupes APT connus. Certains des échantillons ne peuvent être associés à aucune activité connue. Certains, en particulier, ont attiré notre attention en raison de leur sophistication. Les échantillons ont été compilés en 2014 et, par conséquent, ont probablement été déployés en 2014 et peut-être aussi tard qu’en 2015. Bien que nous n’ayons trouvé aucun code partagé avec d’autres logiciels malveillants connus, les échantillons présentent des intersections de modèles de codage, de style et de techniques qui ont été vu dans diverses familles Lambert. Nous avons donc nommé ce malware Purple Lambert. Purple Lambert est composé de plusieurs modules, avec son module réseau à l’écoute passive d’un paquet magique. Il est capable de fournir à un attaquant des informations de base sur le système infecté et d’exécuter une charge utile reçue. Sa fonctionnalité nous rappelle Gray Lambert, un autre logiciel-espion passif en mode utilisateur. Gray Lambert s’est avéré être un remplacement de l’implant White Lambert à écoute passive en mode noyau dans de multiples incidents. De plus, Purple Lambert implémente des fonctionnalités similaires, mais de manière différente, à la fois à Gray Lambert et White Lambert“, indique le communiqué officiel, le 27 Avril 2021.

 

Alors que le 14 Octobre 2014, l’équipe FireEye Labs mettait le doigt sur deux vulnérabilités dont la CVE-2014-4148, qui concernait une attaque 0-day reposant en partie sur un malware nommé Black-Lambert par Kaspersky, c’est Gray-Lambert qui est évoqué : constituant l’une des dernières découvertes en la matière de cette famille aussi colorée-variée que dangereuse, une évolution du malware originelle s’est amorcée, au minimum, en 2016, estime Kaspersky, concernant Gray-Lambert. Ce dernier est “un implant en mode utilisateur” qui s’instille au détour d’une porte dérobée similaire, en terme de fonctions, à White-Lambert.

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a