{"id":1005786,"date":"2023-11-07T11:03:42","date_gmt":"2023-11-07T13:03:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-nouvelle-variante-du-logiciel-malveillant-gootloader-echappe-a-la-detection-et-se-propage-rapidement\/"},"modified":"2023-11-07T11:03:46","modified_gmt":"2023-11-07T13:03:46","slug":"la-nouvelle-variante-du-logiciel-malveillant-gootloader-echappe-a-la-detection-et-se-propage-rapidement","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-nouvelle-variante-du-logiciel-malveillant-gootloader-echappe-a-la-detection-et-se-propage-rapidement\/","title":{"rendered":"La nouvelle variante du logiciel malveillant GootLoader \u00e9chappe \u00e0 la d\u00e9tection et se propage rapidement"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 novembre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des points finaux\/logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/La-nouvelle-variante-du-logiciel-malveillant-GootLoader-echappe-a-la.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Il a \u00e9t\u00e9 d\u00e9couvert qu&#8217;une nouvelle variante du malware GootLoader, appel\u00e9e GootBot, facilite les mouvements lat\u00e9raux sur les syst\u00e8mes compromis et \u00e9chappe \u00e0 la d\u00e9tection.<\/p>\n<p>&#8220;L&#8217;introduction par le groupe GootLoader de son propre bot personnalis\u00e9 dans les derni\u00e8res \u00e9tapes de sa cha\u00eene d&#8217;attaque est une tentative d&#8217;\u00e9viter les d\u00e9tections lors de l&#8217;utilisation d&#8217;outils disponibles dans le commerce pour C2 tels que CobaltStrike ou RDP&#8221;, ont d\u00e9clar\u00e9 Golo M\u00fchr et Ole, chercheurs d&#8217;IBM X-Force. Villadsen <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/x-force\/gootbot-gootloaders-new-approach-to-post-exploitation\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Cette nouvelle variante est un malware l\u00e9ger mais efficace qui permet aux attaquants de se propager rapidement sur le r\u00e9seau et de d\u00e9ployer d&#8217;autres charges utiles.&#8221;<\/p>\n<p>GootLoader, comme son nom l&#8217;indique, est un malware capable de t\u00e9l\u00e9charger un malware de niveau sup\u00e9rieur apr\u00e8s avoir attir\u00e9 des victimes potentielles \u00e0 l&#8217;aide de tactiques d&#8217;empoisonnement d&#8217;optimisation des moteurs de recherche (SEO).  Il est li\u00e9 \u00e0 un acteur mena\u00e7ant suivi sous le nom de Hive0127 (alias UNC2565).<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/wiz-inside-desk\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Les-experts-mettent-en-garde-contre-les-pirates-de-ransomware.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;utilisation de GootBot indique un changement tactique, avec l&#8217;implant t\u00e9l\u00e9charg\u00e9 en tant que charge utile apr\u00e8s une infection par Gootloader au lieu de frameworks post-exploitation tels que CobaltStrike. \u00bb<\/p>\n<p>D\u00e9crit comme un script PowerShell obscurci, GootBot est con\u00e7u pour se connecter \u00e0 un site WordPress compromis \u00e0 des fins de commande et de contr\u00f4le et recevoir d&#8217;autres commandes.<\/p>\n<p>L&#8217;utilisation d&#8217;un serveur C2 cod\u00e9 en dur unique pour chaque \u00e9chantillon GootBot d\u00e9pos\u00e9 complique encore les choses, ce qui rend difficile le blocage du trafic malveillant.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/1699362221_718_La-nouvelle-variante-du-logiciel-malveillant-GootLoader-echappe-a-la.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/1699362221_718_La-nouvelle-variante-du-logiciel-malveillant-GootLoader-echappe-a-la.jpg\" alt=\"Logiciel malveillant GootLoader\" border=\"0\" data-original-height=\"657\" data-original-width=\"728\" title=\"Logiciel malveillant GootLoader\"\/><\/a><\/div>\n<p>\u00ab\u00a0Les campagnes actuellement observ\u00e9es exploitent des recherches empoisonn\u00e9es par le r\u00e9f\u00e9rencement sur des th\u00e8mes tels que des contrats, des formulaires juridiques ou d&#8217;autres documents li\u00e9s \u00e0 l&#8217;entreprise, dirigeant les victimes vers des sites compromis con\u00e7us pour ressembler \u00e0 des forums l\u00e9gitimes o\u00f9 elles sont amen\u00e9es \u00e0 t\u00e9l\u00e9charger la charge utile initiale sous forme de fichier d&#8217;archive. &#8220;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Le fichier d&#8217;archive int\u00e8gre un fichier JavaScript masqu\u00e9 qui, lors de son ex\u00e9cution, r\u00e9cup\u00e8re un autre fichier JavaScript d\u00e9clench\u00e9 via une t\u00e2che planifi\u00e9e pour assurer la persistance.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dans la deuxi\u00e8me \u00e9tape, JavaScript est con\u00e7u pour ex\u00e9cuter un script PowerShell permettant de collecter des informations syst\u00e8me et de les exfiltrer vers un serveur distant, qui, \u00e0 son tour, r\u00e9pond avec un script PowerShell ex\u00e9cut\u00e9 en boucle infinie et permettant \u00e0 l&#8217;acteur mena\u00e7ant de distribuer diverses charges utiles. .<\/p>\n<p>Cela inclut GootBot, qui se connecte \u00e0 son serveur C2 toutes les 60 secondes pour r\u00e9cup\u00e9rer les t\u00e2ches PowerShell \u00e0 ex\u00e9cuter et transmettre les r\u00e9sultats de l&#8217;ex\u00e9cution au serveur sous la forme de requ\u00eates HTTP POST.<\/p>\n<p>Certaines des autres capacit\u00e9s de GootBot vont de la reconnaissance \u00e0 l&#8217;ex\u00e9cution de mouvements lat\u00e9raux \u00e0 travers l&#8217;environnement, \u00e9largissant ainsi l&#8217;ampleur de l&#8217;attaque.<\/p>\n<p>&#8220;La d\u00e9couverte de la variante Gootbot met en \u00e9vidence les efforts d\u00e9ploy\u00e9s par les attaquants pour \u00e9chapper \u00e0 la d\u00e9tection et op\u00e9rer de mani\u00e8re furtive&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Ce changement dans les TTP et les outils augmente le risque de r\u00e9ussite des \u00e9tapes post-exploitation, telles que l&#8217;activit\u00e9 d&#8217;affiliation du ransomware li\u00e9 \u00e0 GootLoader.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/new-gootloader-malware-variant-evades.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 novembre 2023\ue804R\u00e9dactionS\u00e9curit\u00e9 des points finaux\/logiciels malveillants Il a \u00e9t\u00e9 d\u00e9couvert qu&#8217;une nouvelle variante du malware GootLoader, appel\u00e9e GootBot, facilite les mouvements lat\u00e9raux sur les syst\u00e8mes compromis et \u00e9chappe \u00e0 la d\u00e9tection. &#8220;L&#8217;introduction par le groupe GootLoader de son propre bot personnalis\u00e9 dans les derni\u00e8res \u00e9tapes de sa cha\u00eene d&#8217;attaque est une tentative d&#8217;\u00e9viter les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1005787,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,41161,13707,149107,4159,4171,6816,200271,7733,200268,197,200269,200270,8916,2161,128318,4172,4169,25900,4166,4164],"class_list":["post-1005786","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-detection","tag-echappe","tag-gootloader","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelle","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-propage","tag-rapidement","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-variante","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1005786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1005786"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1005786\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1005787"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1005786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1005786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1005786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}