Des pirates enregistrent d’anciens noms de domaines

Posted On 09 Jan 2023

Des pirates informatiques reprennent la main sur des noms de domaines vieux de 10 ans. Ils servaient à exploiter le code malveillant Andromada.

Un groupe de pirates informatiques, baptisé Turla, soupçonné d’être une équipe liée à la Russie – a réenregistré au moins trois anciens domaines associés au malware Andromeda.

Originalité de cette nouvelle prise en main, les adresses étaient restées sous silence depuis dix ans. Bilan, cette récupération permettrait au groupe de distribuer ses propres outils de reconnaissance et de surveillance. Ils cibleraient avant tout des entreprises ukrainiennes.

La société de cybersécurité américaine Mandiant a déclaré que Turla Team APT, également connue sous le nom d’UNC4210, a pris le contrôle de trois domaines qui faisaient partie de la défunte infrastructure de commande et de contrôle (C2) d’Andromeda pour se reconnecter aux systèmes compromis.

La finalité a été de distribuer un utilitaire de reconnaissance connu sous le nom de Kopiluwak et une porte dérobée connue sous le nom de QuietCanary.

Diffusé par clé USB

Andromeda est un programme malveillant prêt à l’emploi. Il remonte au début des années 2010 (première trace publique 2013) et compromet les systèmes via des clés USB infectées.

Après la compromission, le code malveillant se connecte à une liste de domaines. La plupart avaient été mis hors ligne. Il n’y a aucune relation entre l’équipe Turla et le groupe derrière Andromeda, ce qui rend la cooptation des systèmes infectés précédents assez nouvelle. « Coopter les domaines Andromeda et les utiliser pour fournir des logiciels malveillants aux victimes d’Andromeda est une nouveauté« , explique la société de cybersécurité.

Nous avons vu des pirates réenregistrer des domaines (FBI) ou d’autre groupe (ReVIL, …), mais cela semble être la première fois qu’un groupe réenregistre des domaines liés à la distribution de malware.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Slack… se fait SlAhCKer

One Comment

dle_it 09/01/2023 at 16:28 Reply

Hello. Hier j’ai eu l’idée de taper l’URL de mon ancien site internet décommissionné depuis 2010-12, aujourd’hui je lis cet article, hazard ? Je ne crois pas 😮
Quoi qu’il en soit on retrouve mon ancienne bannière et la concaténation du contenu de plusieurs pages de l’époque. Vraiment étrange, j’ai l’impression d’avoir vu un fantôme