{"id":1001943,"date":"2023-11-04T16:18:08","date_gmt":"2023-11-04T18:18:08","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-stripefly-a-fonctionne-inapercu-pendant-5-ans-infectant-1-million-dappareils\/"},"modified":"2023-11-04T16:18:12","modified_gmt":"2023-11-04T18:18:12","slug":"le-logiciel-malveillant-stripefly-a-fonctionne-inapercu-pendant-5-ans-infectant-1-million-dappareils","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-stripefly-a-fonctionne-inapercu-pendant-5-ans-infectant-1-million-dappareils\/","title":{"rendered":"Le logiciel malveillant StripeFly a fonctionn\u00e9 inaper\u00e7u pendant 5 ans, infectant 1 million d&#8217;appareils"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Le-logiciel-malveillant-StripeFly-a-fonctionne-inapercu-pendant-5-ans.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une souche avanc\u00e9e de malware se faisant passer pour un mineur de cryptomonnaie a r\u00e9ussi \u00e0 passer inaper\u00e7ue pendant plus de cinq ans, infectant ainsi pas moins d&#8217;un million d&#8217;appareils dans le monde.<\/p>\n<p>C&#8217;est ce que r\u00e9v\u00e8lent les conclusions de Kaspersky, qui a donn\u00e9 \u00e0 la menace un nom de code. <strong>Ray\u00e9Mouche<\/strong>le d\u00e9crivant comme un \u00ab\u00a0cadre modulaire complexe prenant en charge \u00e0 la fois Linux et Windows\u00a0\u00bb.<\/p>\n<p>Le fournisseur russe de cybers\u00e9curit\u00e9, qui a d\u00e9tect\u00e9 les \u00e9chantillons pour la premi\u00e8re fois en 2017, a d\u00e9clar\u00e9 que le mineur faisait partie d&#8217;une entit\u00e9 beaucoup plus grande qui utilise un exploit EternalBlue SMBv1 personnalis\u00e9 attribu\u00e9 au groupe Equation afin d&#8217;infiltrer les syst\u00e8mes accessibles au public.<\/p>\n<p>Le shellcode malveillant, fourni via l&#8217;exploit, a la capacit\u00e9 de t\u00e9l\u00e9charger des fichiers binaires \u00e0 partir d&#8217;un r\u00e9f\u00e9rentiel Bitbucket distant ainsi que d&#8217;ex\u00e9cuter des scripts PowerShell.  Il prend \u00e9galement en charge une collection de fonctionnalit\u00e9s extensibles de type plugin pour collecter des donn\u00e9es sensibles et m\u00eame se d\u00e9sinstaller.<\/p>\n<p>Le shellcode de la plateforme est inject\u00e9 dans le <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/cant-wait-to-shut-you-down-msrpc-wininit\" target=\"_blank\">Processus wininit.exe<\/a>un processus Windows l\u00e9gitime d\u00e9marr\u00e9 par le gestionnaire de d\u00e9marrage (BOOTMGR) et qui g\u00e8re le <a rel=\"nofollow noopener\" href=\"https:\/\/renenyffenegger.ch\/notes\/Windows\/dirs\/Windows\/System32\/wininit_exe\" target=\"_blank\">initialisation<\/a> de <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@boutnaru\/the-windows-process-journey-wininit-exe-windows-start-up-application-5581bfe6a01e\" target=\"_blank\">diverses prestations<\/a>.<\/p>\n<p>&#8220;La charge utile du malware elle-m\u00eame est structur\u00e9e comme un code ex\u00e9cutable binaire monolithique con\u00e7u pour prendre en charge des modules enfichables afin d&#8217;\u00e9tendre ou de mettre \u00e0 jour ses fonctionnalit\u00e9s&#8221;, chercheurs en s\u00e9curit\u00e9 Sergey Belov, Vilen Kamalov et Sergey Lozhkin. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/stripedfly-perennially-flying-under-the-radar\/110903\/\" target=\"_blank\">dit<\/a> dans un rapport technique publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>&#8220;Il est \u00e9quip\u00e9 d&#8217;un tunnel r\u00e9seau TOR int\u00e9gr\u00e9 pour la communication avec les serveurs de commandes, ainsi que de fonctionnalit\u00e9s de mise \u00e0 jour et de livraison via des services de confiance tels que GitLab, GitHub et Bitbucket, tous utilisant des archives crypt\u00e9es personnalis\u00e9es.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/wiz-inside-desk\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>D&#8217;autres modules d&#8217;espionnage notables lui permettent de collecter des informations d&#8217;identification toutes les deux heures, de capturer des captures d&#8217;\u00e9cran sur l&#8217;appareil de la victime sans d\u00e9tection, d&#8217;enregistrer l&#8217;entr\u00e9e du microphone et de d\u00e9marrer un proxy inverse pour ex\u00e9cuter des actions \u00e0 distance.<\/p>\n<p>Une fois implant\u00e9, le logiciel malveillant d\u00e9sactive le protocole SMBv1 sur l&#8217;h\u00f4te infect\u00e9 et propage le logiciel malveillant \u00e0 d&#8217;autres machines \u00e0 l&#8217;aide d&#8217;un module de vermifugation via SMB et SSH, en utilisant les cl\u00e9s r\u00e9colt\u00e9es sur les syst\u00e8mes pirat\u00e9s.<\/p>\n<p>StripeFly obtient la persistance soit en modifiant le registre Windows, soit en cr\u00e9ant des entr\u00e9es du planificateur de t\u00e2ches si l&#8217;interpr\u00e9teur PowerShell est install\u00e9 et qu&#8217;un acc\u00e8s administratif est disponible.  Sous Linux, la persistance est obtenue au moyen d&#8217;un service utilisateur systemd, d&#8217;un fichier .desktop d\u00e9marr\u00e9 automatiquement ou en modifiant les fichiers \/etc\/rc*, profile, bashrc ou inittab.<\/p>\n<p>Un mineur de crypto-monnaie Monero est \u00e9galement t\u00e9l\u00e9charg\u00e9 qui exploite les requ\u00eates DNS sur HTTPS (DoH) pour r\u00e9soudre les serveurs du pool, ajoutant ainsi une couche suppl\u00e9mentaire de furtivit\u00e9 aux activit\u00e9s malveillantes.  Il a \u00e9t\u00e9 estim\u00e9 que le mineur est utilis\u00e9 comme leurre pour emp\u00eacher les logiciels de s\u00e9curit\u00e9 de d\u00e9couvrir toute l&#8217;\u00e9tendue des capacit\u00e9s du malware.<\/p>\n<p>Afin de minimiser l&#8217;empreinte, les composants malveillants qui peuvent \u00eatre d\u00e9charg\u00e9s sont h\u00e9berg\u00e9s sous forme de binaires crypt\u00e9s sur divers services d&#8217;h\u00e9bergement de r\u00e9f\u00e9rentiels de code tels que Bitbucket, GitHub ou GitLab.<\/p>\n<p>Par exemple, le r\u00e9f\u00e9rentiel Bitbucket exploit\u00e9 par l&#8217;acteur malveillant depuis juin 2018 comprend des fichiers ex\u00e9cutables capables de servir la charge utile d&#8217;infection initiale sur Windows et Linux, de rechercher de nouvelles mises \u00e0 jour et, finalement, de mettre \u00e0 jour le logiciel malveillant.<\/p>\n<p>La communication avec le serveur de commande et de contr\u00f4le (C2), h\u00e9berg\u00e9 sur le r\u00e9seau TOR, s&#8217;effectue \u00e0 l&#8217;aide d&#8217;une impl\u00e9mentation l\u00e9g\u00e8re et personnalis\u00e9e d&#8217;un client TOR qui ne repose sur aucune m\u00e9thode document\u00e9e publiquement.<\/p>\n<p>&#8220;Le niveau de d\u00e9vouement d\u00e9montr\u00e9 par cette fonctionnalit\u00e9 est remarquable&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;L&#8217;objectif de cacher \u00e0 tout prix le serveur C2 a conduit au d\u00e9veloppement d&#8217;un projet unique et long : la cr\u00e9ation de son propre client TOR.&#8221;<\/p>\n<p>Une autre caract\u00e9ristique frappante est que ces r\u00e9f\u00e9rentiels agissent comme des m\u00e9canismes de repli permettant au malware de t\u00e9l\u00e9charger les fichiers de mise \u00e0 jour lorsque sa source principale (c&#8217;est-\u00e0-dire le serveur C2) ne r\u00e9pond plus.<\/p>\n<p>Kaspersky a d\u00e9clar\u00e9 avoir d\u00e9couvert une famille de ransomwares appel\u00e9e ThunderCrypt qui partage d&#8217;importants chevauchements de code source avec StripeFly, \u00e0 l&#8217;exception de l&#8217;absence du module d&#8217;infection SMBv1.  ThunderCrypt aurait \u00e9t\u00e9 utilis\u00e9 contre des cibles \u00e0 Taiwan en 2017.<\/p>\n<p>Les origines de StripeFly restent actuellement inconnues, bien que la sophistication du cadre et ses parall\u00e8les avec EternalBlue pr\u00e9sentent toutes les caract\u00e9ristiques d&#8217;un acteur de menace persistante avanc\u00e9e (APT).<\/p>\n<p>Il convient de souligner que m\u00eame si la fuite de l&#8217;exploit EternalBlue par Shadow Brokers a eu lieu le 14 avril 2017, la premi\u00e8re version identifi\u00e9e de StripeFly incorporant EternalBlue remonte au 9 avril 2016. Depuis la fuite, l&#8217;exploit EternalBlue a \u00e9t\u00e9 r\u00e9utilis\u00e9 par des groupes de piratage nord-cor\u00e9ens et russes pour propager le <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/smb-exploited-wannacry-use-of-eternalblue\" target=\"_blank\">Vouloir pleurer<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/petya-ransomware-spreading-via-eternalblue-exploit\" target=\"_blank\">Petia<\/a> malware.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela dit, il existe \u00e9galement des preuves que des groupes de piratage chinois pourraient avoir eu acc\u00e8s \u00e0 certains des exploits du groupe Equation avant qu&#8217;ils ne soient divulgu\u00e9s en ligne, comme l&#8217;a r\u00e9v\u00e9l\u00e9 Check Point en f\u00e9vrier 2021.<\/p>\n<p>Les similitudes avec les logiciels malveillants associ\u00e9s au groupe Equation, a d\u00e9clar\u00e9 Kaspersky, se refl\u00e8tent \u00e9galement dans le style de codage et les pratiques ressemblant \u00e0 celles observ\u00e9es dans <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@botherder\/everything-we-know-of-nsa-and-five-eyes-malware-e8eac172d3b5\" target=\"_blank\">D\u00c9TROITBIZARRE<\/a> (<a rel=\"nofollow noopener\" href=\"https:\/\/apt.securelist.com\/apt\/sbz\" target=\"_blank\">SBZ<\/a>), un autre <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/apt-trends-report-q2-2022\/106995\/\" target=\"_blank\">plateforme de cyberespionnage<\/a> exerc\u00e9 par le collectif antagoniste pr\u00e9sum\u00e9 li\u00e9 aux \u00c9tats-Unis.<\/p>\n<p>Ce d\u00e9veloppement intervient pr\u00e8s de deux ans apr\u00e8s que des chercheurs du laboratoire chinois Pangu ont d\u00e9taill\u00e9 une porte d\u00e9rob\u00e9e \u00ab de premier plan \u00bb appel\u00e9e Bvp47 qui aurait \u00e9t\u00e9 utilis\u00e9e par l&#8217;Equation Group sur plus de 287 cibles couvrant plusieurs secteurs dans 45 pays.<\/p>\n<p>Il va sans dire qu\u2019un aspect crucial de la campagne qui reste un myst\u00e8re \u2013 sauf pour ceux qui ont con\u00e7u le malware \u2013 est son v\u00e9ritable objectif.<\/p>\n<p>&#8220;Bien que le ransomware ThunderCrypt sugg\u00e8re un motif commercial pour ses auteurs, il soul\u00e8ve la question de savoir pourquoi ils n&#8217;ont pas opt\u00e9 pour une voie potentiellement plus lucrative&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Il est difficile d&#8217;accepter l&#8217;id\u00e9e qu&#8217;un malware aussi sophistiqu\u00e9 et con\u00e7u par des professionnels puisse servir un objectif aussi trivial, \u00e9tant donn\u00e9 toutes les preuves du contraire.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/stripedfly-malware-operated-unnoticed.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une souche avanc\u00e9e de malware se faisant passer pour un mineur de cryptomonnaie a r\u00e9ussi \u00e0 passer inaper\u00e7ue pendant plus de cinq ans, infectant ainsi pas moins d&#8217;un million d&#8217;appareils dans le monde. C&#8217;est ce que r\u00e9v\u00e8lent les conclusions de Kaspersky, qui a donn\u00e9 \u00e0 la menace un nom de code. Ray\u00e9Mouchele d\u00e9crivant comme un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1001944,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,277,4168,4165,4161,200267,21603,219,76520,57505,4159,4171,6816,200271,7733,358,200268,200269,200270,275,128318,4172,4169,212891,4166,4164],"class_list":["post-1001943","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-ans","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dappareils","tag-fonctionne","tag-inapercu","tag-infectant","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-million","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pendant","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-stripefly","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1001943","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1001943"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1001943\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1001944"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1001943"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1001943"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1001943"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}