{"id":1098058,"date":"2024-01-12T12:48:42","date_gmt":"2024-01-12T14:48:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-acteurs-etatiques-utilisent-ivanti-vpn-zero-days-comme-une-arme-en-deployant-5-familles-de-logiciels-malveillants\/"},"modified":"2024-01-12T12:48:46","modified_gmt":"2024-01-12T14:48:46","slug":"des-acteurs-etatiques-utilisent-ivanti-vpn-zero-days-comme-une-arme-en-deployant-5-familles-de-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-acteurs-etatiques-utilisent-ivanti-vpn-zero-days-comme-une-arme-en-deployant-5-familles-de-logiciels-malveillants\/","title":{"rendered":"Des acteurs \u00e9tatiques utilisent Ivanti VPN Zero-Days comme une arme en d\u00e9ployant 5 familles de logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9\/intelligence des menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Des-acteurs-etatiques-utilisent-Ivanti-VPN-Zero-Days-comme-une-arme.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Jusqu&#8217;\u00e0 cinq familles de logiciels malveillants diff\u00e9rentes ont \u00e9t\u00e9 d\u00e9ploy\u00e9es par des acteurs \u00e9tatiques pr\u00e9sum\u00e9s dans le cadre d&#8217;activit\u00e9s post-exploitation exploitant deux vuln\u00e9rabilit\u00e9s zero-day dans les appliances VPN Ivanti Connect Secure (ICS) depuis d\u00e9but d\u00e9cembre 2023.<\/p>\n<p>&#8220;Ces familles permettent aux auteurs de menaces de contourner l&#8217;authentification et de fournir un acc\u00e8s d\u00e9rob\u00e9 \u00e0 ces appareils&#8221;, Mandiant <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/suspected-apt-targets-ivanti-zero-day\" target=\"_blank\">dit<\/a> dans une analyse publi\u00e9e cette semaine.  La soci\u00e9t\u00e9 de renseignement sur les menaces appartenant \u00e0 Google suit l&#8217;acteur mena\u00e7ant sous le surnom <strong>UNC5221<\/strong>. <\/p>\n<p>Les attaques exploitent une cha\u00eene d&#8217;exploitation comprenant une faille de contournement d&#8217;authentification (CVE-2023-46805) et une vuln\u00e9rabilit\u00e9 d&#8217;injection de code (CVE-2024-21887) pour prendre le contr\u00f4le des instances sensibles.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704092918_732_Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Volexity, qui a attribu\u00e9 l&#8217;activit\u00e9 \u00e0 un acteur d&#8217;espionnage chinois pr\u00e9sum\u00e9 nomm\u00e9 UTA0178, a d\u00e9clar\u00e9 que les deux failles \u00e9taient utilis\u00e9es pour obtenir un acc\u00e8s initial, d\u00e9ployer des webshells, des fichiers l\u00e9gitimes par porte d\u00e9rob\u00e9e, capturer des informations d&#8217;identification et des donn\u00e9es de configuration, et pivoter davantage dans l&#8217;environnement de la victime.<\/p>\n<p>Selon Ivanti, les intrusions ont touch\u00e9 moins de 10 clients, ce qui indique qu&#8217;il pourrait s&#8217;agir d&#8217;une campagne tr\u00e8s cibl\u00e9e.  Correctifs pour les deux vuln\u00e9rabilit\u00e9s (officieusement appel\u00e9s <a rel=\"nofollow noopener\" href=\"https:\/\/cyberplace.social\/@GossiTheDog\/111732557100241084\" target=\"_blank\">Connectez-vous<\/a>) devraient \u00eatre disponibles dans la semaine du 22 janvier.<\/p>\n<p>L&#8217;analyse des attaques par Mandiant a r\u00e9v\u00e9l\u00e9 la pr\u00e9sence de cinq familles de logiciels malveillants personnalis\u00e9s diff\u00e9rents, outre l&#8217;injection de code malveillant dans des fichiers l\u00e9gitimes au sein d&#8217;ICS et l&#8217;utilisation d&#8217;autres outils l\u00e9gitimes tels que <a rel=\"nofollow noopener\" href=\"https:\/\/busybox.net\/\" target=\"_blank\">Occup\u00e9Box<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/MisterDaneel\/pysoxy\" target=\"_blank\">PySoxy<\/a> pour faciliter l\u2019activit\u00e9 ult\u00e9rieure.<\/p>\n<p>&#8220;En raison du fait que certaines sections de l&#8217;appareil sont en lecture seule, UNC5221 a exploit\u00e9 un script Perl (sessionserver.pl) pour remonter le syst\u00e8me de fichiers en lecture\/\u00e9criture et permettre le d\u00e9ploiement de THINSPOOL, un dropper de script shell qui \u00e9crit le shell Web LIGHTWIRE sur un fichier Connect Secure l\u00e9gitime et d&#8217;autres outils de suivi&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>LIGHTWIRE est l&#8217;un des deux shells Web, l&#8217;autre \u00e9tant WIREFIRE, qui sont des \u00ab points d&#8217;ancrage l\u00e9gers \u00bb con\u00e7us pour garantir un acc\u00e8s \u00e0 distance persistant aux appareils compromis.  Alors que LIGHTWIRE est \u00e9crit en Perl CGI, WIREFIRE est impl\u00e9ment\u00e9 en Python.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sont \u00e9galement utilis\u00e9s dans les attaques un voleur d&#8217;informations d&#8217;identification bas\u00e9 sur JavaScript appel\u00e9 WARPWIRE et une porte d\u00e9rob\u00e9e passive nomm\u00e9e ZIPLINE qui est capable de t\u00e9l\u00e9charger\/t\u00e9l\u00e9charger des fichiers, d&#8217;\u00e9tablir un shell invers\u00e9, de cr\u00e9er un serveur proxy et de configurer un serveur de tunneling pour r\u00e9partir le trafic entre plusieurs points de terminaison. .<\/p>\n<p>&#8220;Cela indique qu&#8217;il ne s&#8217;agit pas d&#8217;attaques opportunistes et que l&#8217;UNC5221 avait l&#8217;intention de maintenir sa pr\u00e9sence sur un sous-ensemble de cibles hautement prioritaires qu&#8217;il a compromises apr\u00e8s la publication in\u00e9vitable d&#8217;un correctif&#8221;, a ajout\u00e9 Mandiant.<\/p>\n<p>UNC5221 n&#8217;a \u00e9t\u00e9 li\u00e9 \u00e0 aucun groupe connu ou \u00e0 un pays particulier, bien que le ciblage des infrastructures de pointe en militarisant les failles du jour z\u00e9ro et en utilisant une infrastructure de commandement et de contr\u00f4le (C2) compromise pour contourner la d\u00e9tection porte toutes les caract\u00e9ristiques d&#8217;un menace persistante avanc\u00e9e (APT). <\/p>\n<p>&#8220;L&#8217;activit\u00e9 de l&#8217;UNC5221 d\u00e9montre que l&#8217;exploitation et la vie \u00e0 la p\u00e9riph\u00e9rie des r\u00e9seaux restent une cible viable et attractive pour les acteurs de l&#8217;espionnage&#8221;, a d\u00e9clar\u00e9 Mandiant.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/nation-state-actors-weaponize-ivanti.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 janvier 2024\ue804R\u00e9dactionVuln\u00e9rabilit\u00e9\/intelligence des menaces Jusqu&#8217;\u00e0 cinq familles de logiciels malveillants diff\u00e9rentes ont \u00e9t\u00e9 d\u00e9ploy\u00e9es par des acteurs \u00e9tatiques pr\u00e9sum\u00e9s dans le cadre d&#8217;activit\u00e9s post-exploitation exploitant deux vuln\u00e9rabilit\u00e9s zero-day dans les appliances VPN Ivanti Connect Secure (ICS) depuis d\u00e9but d\u00e9cembre 2023. &#8220;Ces familles permettent aux auteurs de menaces de contourner l&#8217;authentification et de fournir un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1098059,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3178,200292,1458,1756,4168,4165,4161,200267,174530,133,161211,6800,175748,4159,4171,200271,4589,4590,200268,200269,200270,128318,4172,4169,196,10784,4166,27977,4164,40604],"class_list":["post-1098058","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acteurs","tag-actualites-sur-la-cybersecurite","tag-arme","tag-comme","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-deployant","tag-des","tag-etatiques","tag-familles","tag-ivanti","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-malveillants","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-utilisent","tag-violation-de-donnees","tag-vpn","tag-vulnerabilite-logicielle","tag-zerodays"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1098058","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1098058"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1098058\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1098059"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1098058"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1098058"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1098058"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}