Intelligence des menaces RAPPORT: janvier

Lucas Morel
03 février 2025

Notre équipe d’analystes partage quelques articles chaque semaine dans notre newsletter par e-mail qui se déroule tous les jeudis. Assurez-vous de vous inscrire! Ce blog met en évidence ces articles dans l’ordre de ce qui était le plus populaire de notre newsletter – ce que nos lecteurs ont trouvé les plus intrigants. Restez à l’écoute pour un récapitulatif tous les mois. Nous espérons que partager ces ressources et ces articles de presse soulignent l’importance de la cybersécurité et met en lumière les dernières informations sur les menaces.

1. Entités iraniennes et russes sanctionnées pour interférences électorales à l’aide de l’IA et de la cyber-tactique – The Hacker News

Le groupe Lazare, un acteur de cyber-menace soutenu par l’État nord-coréen, a été constaté au moins deux employés dans une organisation sans nom «liée au nucléaire». Les attaques ont eu lieu en janvier 2024 et, selon BleepingComputer, a impliqué le déploiement d’une nouvelle porte dérobée surnommée «CookiePlus». Les attaques faisaient partie de la campagne de cyber-espionnage en cours «Operation Dream Job». Lisez l’article complet.

2. Le DOJ indique trois ressortissants russes pour implication dans les services de mélange de crypto-monnaie – The Hacker News

Dans un communiqué de presse du 10 janvier 2025, le ministère américain de la Justice a annoncé l’acte d’accusation de trois ressortissants russes pour leur rôle dans l’exploitation des services de mélange de crypto-monnaie Blender.io et Sinbad.io. Deux des trois – Roman Vitalyevich Ostapenko et Alexander Evgenievich Oleynik – ont été arrêtés en décembre 2024, lors d’une opération internationale impliquant le service de renseignement financier et d’enquête des Pays-Bas, le National Bureau of Investigation de la Finlande et le Federal Bureau of Investigation (FBI). Le troisième accusé – Anton Vyachlavovich Tarasov – est toujours en liberté. Article ici.

Le groupe Lazare, un acteur de cyber-menace soutenu par l’État nord-coréen, a été constaté au moins deux employés dans une organisation sans nom «liée au nucléaire». Les attaques ont eu lieu en janvier 2024 et, selon BleepingComputer, a impliqué le déploiement d’une nouvelle porte dérobée surnommée «CookiePlus». Les attaques faisaient partie de la campagne de cyber-espionnage en cours «Operation Dream Job». Lisez la suite ici.

Le 21 janvier, le président américain Donald Trump a pardonné Ross Ulbricht, le fondateur et opérateur du notoire Dark Web Marketplace «Silk Road». Comme l’a noté le Department of Homeland Security (DHS), Ulbricht «Silk Road, a délibérément exploité en tant que marché pénal en ligne destiné à permettre à ses utilisateurs d’acheter et de vendre des drogues et d’autres biens et services illégaux de manière anonyme et à l’extérieur de la portée des forces de l’ordre.» Le site Web a finalement été fermé par les forces de l’ordre en octobre 2013, près de trois ans après sa fondation par Ulbricht en janvier 2011. Le fondateur a été reconnu coupable de sept infractions, notamment en distribution de stupéfiants, en se livrant à une entreprise criminelle continue et en conspirant pour commettre un blanchiment d’argent, un lavage en fonds . Lisez ici.

5. Star Blizzard Hackers Abuse WhatsApp pour cibler les diplomates de grande valeur – Bleeping Computer

Dans un rapport du 16 janvier, Microsoft Threat Intelligence a détaillé une nouvelle campagne de phishing orchestrée par l’acteur de la menace russe Blizzard. Selon le rapport, la campagne a eu lieu en novembre 2024 et a ciblé des individus dans «le gouvernement, la diplomatie, la politique de défense, les relations internationales et les organisations d’aide ukraine». La campagne de lance de lance nouvellement observée a fonctionné en envoyant des e-mails usurpant l’identité de fonctionnaires américains et en prétendant partager des invitations à rejoindre un groupe WhatsApp concernant des initiatives non gouvernementales pour soutenir l’Ukraine. S’il est répondu, l’acteur de menace ferait un suivi avec un deuxième e-mail contenant un lien malveillant. Apprendre encore plus.

6. Hackers chinois ciblé le bureau des sanctions dans l’attaque du Trésor – Bleeping Computer

L’acteur de menace chinois soutenu par l’État en soie le typhon a été lié à une série d’attaques contre plusieurs bureaux du Département américain du Trésor. En décembre, les pirates chinois ont eu accès au Contrôle des actifs étrangers du Trésor (OFAC), au Comité des investissements étrangers aux États-Unis (CFIUS) et au Bureau de la recherche financière. Les violations faisaient partie de l’incursion du typhon de soie dans le système non classifié du département du Trésor. Les pirates ont eu accès en violant un service de gestion à distance Beyondtrust. L’impact complet de l’Office of Financial Research Hack est toujours en cours d’évaluation. Lisez l’article complet.

7. Les États-Unis facturent le russe-Israélien en tant que coder de ransomware de verrouillage présumé – Bleeping Computer

Dans un communiqué de presse du 20 décembre 2024, le ministère américain de la Justice (DOJ) a annoncé qu’il avait inculpé Rostislav Panev, 51 ans, un élément de double russe et israélien – pour son rôle présumé en tant que développeur du groupe de ransomware de lockbit. Panev a été arrêté en Israël en août où il attend actuellement l’extradition. Lockbit, l’opération notoire Ransomware-as-a-Service (RAAS), a émergé pour la première fois en 2019 ou vers 2019 et a été perturbée en février 2024 par une opération internationale d’application de la loi surnommée «Opération Cronos». Lisez l’article complet.

8. Le charmant chaton d’Iran déploie Bellacpp: une nouvelle variante C ++ de Bellaciao Malware – The Hacker News

L’acteur de menace iranienne Charming Kitten (également connu sous le nom d’APT35, CharmingCypress, Calanque, Mint Sandstorm, Newscaster, ITG18, TA453 et Yellow Garuda) a été observé en utilisant une nouvelle variante de malware Bellaciao dans ses attaques. La société de cybersécurité Kaspersky a surnommé la nouvelle variante C ++ «Bellacpp.» Le malware de Bellaciao a été observé pour la première fois en 2023 et a depuis été utilisé dans les cyberattaques contre les organisations aux États-Unis, en Inde et au Moyen-Orient. Apprendre encore plus.


Assurez-vous de vous inscrire à notre newsletter hebdomadaire pour avoir accès à ce que nos analystes lisent chaque semaine.