{"id":1138942,"date":"2024-02-08T07:33:31","date_gmt":"2024-02-08T09:33:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-nouveaux-voleurs-de-golang-de-kimsuky-troll-et-gobear-ciblent-la-coree-du-sud\/"},"modified":"2024-02-08T07:33:41","modified_gmt":"2024-02-08T09:33:41","slug":"les-nouveaux-voleurs-de-golang-de-kimsuky-troll-et-gobear-ciblent-la-coree-du-sud","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-nouveaux-voleurs-de-golang-de-kimsuky-troll-et-gobear-ciblent-la-coree-du-sud\/","title":{"rendered":"Les nouveaux voleurs de Golang de Kimsuky, \u00ab Troll \u00bb et \u00ab GoBear \u00bb, ciblent la Cor\u00e9e du Sud"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">08 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyber-espionnage\/logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Les-nouveaux-voleurs-de-Golang-de-Kimsuky-Troll.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur \u00e9tat-nation li\u00e9 \u00e0 la Cor\u00e9e du Nord, connu sous le nom de Kimsuky, est soup\u00e7onn\u00e9 d&#8217;avoir utilis\u00e9 un voleur d&#8217;informations bas\u00e9 sur Golang, jusqu&#8217;alors sans papiers, appel\u00e9 <strong>Voleur de trolls<\/strong>.<\/p>\n<p>Le malware vole &#8220;SSH, FileZilla, fichiers\/r\u00e9pertoires du lecteur C, navigateurs, informations syst\u00e8me, [and] captures d&#8217;\u00e9cran&#8221; de syst\u00e8mes infect\u00e9s, soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 sud-cor\u00e9enne S2W <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/s2wblog\/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2\" target=\"_blank\">dit<\/a> dans un nouveau rapport technique.<\/p>\n<p>Les liens de Troll Stealer avec Kimsuky proviennent de ses similitudes avec des familles de logiciels malveillants connues, telles que les logiciels malveillants AppleSeed et AlphaSeed qui ont \u00e9t\u00e9 attribu\u00e9s au groupe.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707338666_510_La-Coalition-mondiale-et-les-geants-de-la-technologie-sunissent.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Kimsuky, \u00e9galement suivi sous les noms d&#8217;APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), Nickel Kimball et Velvet Chollima, est bien connu pour sa propension \u00e0 voler des informations sensibles et confidentielles dans le cadre de cyberop\u00e9rations offensives.<\/p>\n<p>Fin novembre 2023, les auteurs de la menace ont \u00e9t\u00e9 sanctionn\u00e9s par l&#8217;Office of Foreign Assets Control (OFAC) du d\u00e9partement du Tr\u00e9sor am\u00e9ricain pour avoir collect\u00e9 des renseignements afin de faire avancer les objectifs strat\u00e9giques de la Cor\u00e9e du Nord.<\/p>\n<p>Ces derniers mois, le collectif antagoniste a \u00e9t\u00e9 attribu\u00e9 \u00e0 des attaques de spear-phishing ciblant des entit\u00e9s sud-cor\u00e9ennes pour fournir diverses portes d\u00e9rob\u00e9es, notamment AppleSeed et AlphaSeed.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707384811_956_Les-nouveaux-voleurs-de-Golang-de-Kimsuky-Troll.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707384811_956_Les-nouveaux-voleurs-de-Golang-de-Kimsuky-Troll.jpg\" alt=\"Voleur de Golang\" border=\"0\" data-original-height=\"541\" data-original-width=\"728\" title=\"Voleur de Golang\"\/><\/a><\/div>\n<p>La derni\u00e8re analyse de S2W r\u00e9v\u00e8le l&#8217;utilisation d&#8217;un compte-gouttes se faisant passer pour un fichier d&#8217;installation de programme de s\u00e9curit\u00e9 d&#8217;une soci\u00e9t\u00e9 sud-cor\u00e9enne nomm\u00e9e SGA Solutions pour lancer le voleur, qui tire son nom du chemin &#8220;D:\/~\/repo\/golang\/src\/root .go\/s\/troll\/agent&#8221; qui y est int\u00e9gr\u00e9.<\/p>\n<p>&#8220;Le compte-gouttes fonctionne comme un installateur l\u00e9gitime aux c\u00f4t\u00e9s du logiciel malveillant, et le compte-gouttes et le logiciel malveillant sont tous deux sign\u00e9s avec un certificat valide et l\u00e9gitime de D2Innovation Co., LTD, ce qui sugg\u00e8re que le certificat de l&#8217;entreprise a en fait \u00e9t\u00e9 vol\u00e9&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Une caract\u00e9ristique remarquable de Troll Stealer est sa capacit\u00e9 \u00e0 voler le dossier GPKI sur les syst\u00e8mes infect\u00e9s, ce qui soul\u00e8ve la possibilit\u00e9 que le logiciel malveillant ait \u00e9t\u00e9 utilis\u00e9 dans des attaques ciblant les organisations administratives et publiques du pays.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Compte tenu de l&#8217;absence de campagnes Kimsuky documentant le vol de dossiers GPKI, il est possible que le nouveau comportement soit soit un changement de tactique, soit le travail d&#8217;un autre acteur malveillant \u00e9troitement associ\u00e9 au groupe qui a \u00e9galement acc\u00e8s au code source d&#8217;AppleSeed. et AlphaSeed.<\/p>\n<p>Il existe \u00e9galement des signes indiquant que l&#8217;acteur malveillant pourrait \u00eatre impliqu\u00e9 dans une porte d\u00e9rob\u00e9e bas\u00e9e sur Go, nomm\u00e9e GoBear, qui est \u00e9galement sign\u00e9e avec un certificat l\u00e9gitime associ\u00e9 \u00e0 D2Innovation Co., LTD et ex\u00e9cute les instructions re\u00e7ues d&#8217;un serveur de commande et de contr\u00f4le (C2).<\/p>\n<p>&#8220;Les cha\u00eenes contenues dans les noms des fonctions qu&#8217;il appelle se chevauchent avec les commandes utilis\u00e9es par BetaSeed, un malware de porte d\u00e9rob\u00e9e bas\u00e9 sur C++ utilis\u00e9 par le groupe Kimsuky&#8221;, a d\u00e9clar\u00e9 S2W.  &#8220;Il est \u00e0 noter que GoBear ajoute la fonctionnalit\u00e9 proxy SOCKS5, qui n&#8217;\u00e9tait pas auparavant prise en charge par le malware de porte d\u00e9rob\u00e9e du groupe Kimsuky.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/kimsukys-new-golang-stealer-troll-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80208 f\u00e9vrier 2024\ue804R\u00e9dactionCyber-espionnage\/logiciels malveillants L&#8217;acteur \u00e9tat-nation li\u00e9 \u00e0 la Cor\u00e9e du Nord, connu sous le nom de Kimsuky, est soup\u00e7onn\u00e9 d&#8217;avoir utilis\u00e9 un voleur d&#8217;informations bas\u00e9 sur Golang, jusqu&#8217;alors sans papiers, appel\u00e9 Voleur de trolls. Le malware vole &#8220;SSH, FileZilla, fichiers\/r\u00e9pertoires du lecteur C, navigateurs, informations syst\u00e8me, [and] captures d&#8217;\u00e9cran&#8221; de syst\u00e8mes infect\u00e9s, soci\u00e9t\u00e9 de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1138943,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,5863,4168,2344,4165,4161,200267,228804,78641,119710,4159,4171,65,200271,200268,4588,200269,200270,128318,4172,4169,1106,19958,4166,11956,4164],"class_list":["post-1138942","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-ciblent","tag-comment-pirater","tag-coree","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-gobear","tag-golang","tag-kimsuky","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouveaux","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sud","tag-troll","tag-violation-de-donnees","tag-voleurs","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1138942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1138942"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1138942\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1138943"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1138942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1138942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1138942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}