{"id":1127753,"date":"2024-02-01T06:28:38","date_gmt":"2024-02-01T08:28:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les-vulnerabilites-divanti-vpn\/"},"modified":"2024-02-01T06:28:42","modified_gmt":"2024-02-01T08:28:42","slug":"avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les-vulnerabilites-divanti-vpn","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les-vulnerabilites-divanti-vpn\/","title":{"rendered":"Avertissement\u00a0: de nouveaux logiciels malveillants apparaissent lors d&#8217;attaques exploitant les vuln\u00e9rabilit\u00e9s d&#8217;Ivanti VPN"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 r\u00e9seau\/logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Mandiant, propri\u00e9t\u00e9 de Google, a d\u00e9clar\u00e9 avoir identifi\u00e9 de nouveaux logiciels malveillants employ\u00e9s par un acteur de menace d&#8217;espionnage li\u00e9 \u00e0 la Chine connu sous le nom d&#8217;UNC5221 et d&#8217;autres groupes de menaces au cours d&#8217;activit\u00e9s post-exploitation ciblant les appareils Ivanti Connect Secure VPN et Policy Secure.<\/p>\n<p>Cela inclut des shells Web personnalis\u00e9s tels que BUSHWALK, CHAINLINE, FRAMESTING et une variante de LIGHTWIRE.<\/p>\n<p>&#8220;CHAINLINE est une porte d\u00e9rob\u00e9e du shell Web Python int\u00e9gr\u00e9e dans un package Ivanti Connect Secure Python qui permet l&#8217;ex\u00e9cution de commandes arbitraires&#8221;, explique la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/investigating-ivanti-zero-day-exploitation\" target=\"_blank\">dit<\/a>l&#8217;attribuant \u00e0 UNC5221, ajoutant qu&#8217;il a \u00e9galement d\u00e9tect\u00e9 plusieurs nouvelles versions de WARPWIRE, un voleur d&#8217;informations d&#8217;identification bas\u00e9 sur JavaScript.<\/p>\n<p>Les cha\u00eenes d&#8217;infection impliquent une exploitation r\u00e9ussie des CVE-2023-46805 et CVE-2024-21887, qui permettent \u00e0 un acteur malveillant non authentifi\u00e9 d&#8217;ex\u00e9cuter des commandes arbitraires sur l&#8217;appliance Ivanti avec des privil\u00e8ges \u00e9lev\u00e9s.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-attaques-DDoS-contre-le-secteur-des-services-environnementaux-augmentent.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ces failles ont \u00e9t\u00e9 exploit\u00e9es en tant que Zero Day depuis d\u00e9but d\u00e9cembre 2023. L&#8217;Office f\u00e9d\u00e9ral allemand de la s\u00e9curit\u00e9 de l&#8217;information (BSI) <a rel=\"nofollow noopener\" href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2024\/2024-205101-1032.pdf?__blob=publicationFile&amp;v=5\" target=\"_blank\">dit<\/a> il est au courant de \u00ab\u00a0plusieurs syst\u00e8mes compromis\u00a0\u00bb dans le pays.<\/p>\n<p>BUSHWALK, \u00e9crit en Perl et d\u00e9ploy\u00e9 en contournant les mesures d&#8217;att\u00e9nuation \u00e9mises par Ivanti lors d&#8217;attaques hautement cibl\u00e9es, est int\u00e9gr\u00e9 dans un fichier Connect Secure l\u00e9gitime nomm\u00e9 \u00ab querymanifest.cgi \u00bb et offre la possibilit\u00e9 de lire ou d&#8217;\u00e9crire des fichiers sur un serveur. <\/p>\n<p>D&#8217;autre part, FRAMESTING est un shell Web Python int\u00e9gr\u00e9 dans un package Ivanti Connect Secure Python (situ\u00e9 dans le chemin suivant &#8220;\/home\/venv3\/lib\/python3.6\/site-packages\/cav-0.1-py3.6.egg \/cav\/api\/resources\/category.py&#8221;) qui permet l&#8217;ex\u00e9cution de commandes arbitraires.<\/p>\n<p>L&#8217;analyse de Mandiant de la porte d\u00e9rob\u00e9e passive ZIPLINE a \u00e9galement r\u00e9v\u00e9l\u00e9 son utilisation de \u00ab fonctionnalit\u00e9s \u00e9tendues pour garantir l&#8217;authentification de son protocole personnalis\u00e9 utilis\u00e9 pour \u00e9tablir le commandement et le contr\u00f4le (C2) \u00bb.<\/p>\n<p>De plus, les attaques se caract\u00e9risent par l&#8217;utilisation d&#8217;utilitaires open source comme <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/fortra\/impacket\" target=\"_blank\">Impacket<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/byt3bl33d3r\/CrackMapExec\" target=\"_blank\">CrackMapExec<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/yarrick\/iodine\" target=\"_blank\">iode<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/www.kali.org\/tools\/enum4linux\/\" target=\"_blank\">Enum4linux<\/a> pour prendre en charge les activit\u00e9s post-exploitation sur les appliances Ivanti CS, y compris la reconnaissance du r\u00e9seau, les mouvements lat\u00e9raux et l&#8217;exfiltration de donn\u00e9es dans les environnements victimes.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ivanti a depuis divulgu\u00e9 deux autres failles de s\u00e9curit\u00e9, CVE-2024-21888 et CVE-2024-21893, cette derni\u00e8re \u00e9tant activement exploit\u00e9e ciblant un \u00ab nombre limit\u00e9 de clients \u00bb.  La soci\u00e9t\u00e9 a \u00e9galement publi\u00e9 la premi\u00e8re s\u00e9rie de correctifs pour corriger les quatre vuln\u00e9rabilit\u00e9s.<\/p>\n<p>UNC5221 ciblerait un large \u00e9ventail d\u2019industries pr\u00e9sentant un int\u00e9r\u00eat strat\u00e9gique pour la Chine, son infrastructure et ses outils chevauchant des intrusions pass\u00e9es li\u00e9es \u00e0 des acteurs d\u2019espionnage bas\u00e9s en Chine.<\/p>\n<p>&#8220;Les outils bas\u00e9s sur Linux identifi\u00e9s lors des enqu\u00eates de r\u00e9ponse aux incidents utilisent le code de plusieurs r\u00e9f\u00e9rentiels Github en langue chinoise&#8221;, a d\u00e9clar\u00e9 Mandiant.  &#8220;UNC5221 a largement exploit\u00e9 les TTP associ\u00e9s \u00e0 l&#8217;exploitation zero-day de l&#8217;infrastructure de p\u00e9riph\u00e9rie par des acteurs pr\u00e9sum\u00e9s du lien avec la RPC.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/warning-new-malware-emerges-in-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 f\u00e9vrier 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 r\u00e9seau\/logiciels malveillants Mandiant, propri\u00e9t\u00e9 de Google, a d\u00e9clar\u00e9 avoir identifi\u00e9 de nouveaux logiciels malveillants employ\u00e9s par un acteur de menace d&#8217;espionnage li\u00e9 \u00e0 la Chine connu sous le nom d&#8217;UNC5221 et d&#8217;autres groupes de menaces au cours d&#8217;activit\u00e9s post-exploitation ciblant les appareils Ivanti Connect Secure VPN et Policy Secure. Cela inclut des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1127754,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,32972,4958,4168,4165,4161,200267,5728,227538,29063,4159,4171,65,200271,4589,320,4590,200268,4588,200269,200270,128318,4172,4169,4166,27977,4164,12365],"class_list":["post-1127753","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-apparaissent","tag-avertissement","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dattaques","tag-divanti","tag-exploitant","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-lors","tag-malveillants","tag-mises-a-jour-sur-la-cybersecurite","tag-nouveaux","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vpn","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1127753","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1127753"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1127753\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1127754"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1127753"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1127753"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1127753"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}