{"id":1141706,"date":"2024-02-09T22:03:29","date_gmt":"2024-02-10T00:03:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-porte-derobee-furtive-de-zardoor-cible-une-organisation-caritative-islamique-saoudienne\/"},"modified":"2024-02-09T22:03:34","modified_gmt":"2024-02-10T00:03:34","slug":"la-porte-derobee-furtive-de-zardoor-cible-une-organisation-caritative-islamique-saoudienne","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-porte-derobee-furtive-de-zardoor-cible-une-organisation-caritative-islamique-saoudienne\/","title":{"rendered":"La porte d\u00e9rob\u00e9e furtive de Zardoor cible une organisation caritative islamique saoudienne"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyber-espionnage\/intelligence sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/La-porte-derobee-furtive-de-Zardoor-cible-une-organisation-caritative.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une organisation islamique \u00e0 but non lucratif anonyme en Arabie Saoudite a \u00e9t\u00e9 cibl\u00e9e dans le cadre d&#8217;une campagne de cyberespionnage furtive visant \u00e0 supprimer une porte d\u00e9rob\u00e9e jusqu&#8217;alors non document\u00e9e appel\u00e9e <strong>Zardoor<\/strong>.<\/p>\n<p>Cisco Talos, qui a d\u00e9couvert l&#8217;activit\u00e9 en mai 2023, a d\u00e9clar\u00e9 que la campagne persistait probablement depuis au moins mars 2021, ajoutant qu&#8217;elle n&#8217;avait identifi\u00e9 qu&#8217;une seule cible compromise \u00e0 ce jour, m\u00eame si l&#8217;on soup\u00e7onne qu&#8217;il pourrait y avoir d&#8217;autres victimes.<\/p>\n<p>&#8220;Tout au long de la campagne, l&#8217;adversaire a utilis\u00e9 des binaires vivant de la terre (LoLBins) pour d\u00e9ployer des portes d\u00e9rob\u00e9es, \u00e9tablir un commandement et un contr\u00f4le (C2) et maintenir la persistance&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Jungsoo An, Wayne Lee et Vanja Svajcer. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/new-zardoor-backdoor\/\" target=\"_blank\">dit<\/a>mettant en avant la capacit\u00e9 de l&#8217;acteur mena\u00e7ant \u00e0 maintenir un acc\u00e8s \u00e0 long terme aux environnements des victimes sans attirer l&#8217;attention.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-attaques-DDoS-contre-le-secteur-des-services-environnementaux-augmentent.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;intrusion visant l&#8217;organisation caritative islamique impliquait l&#8217;exfiltration p\u00e9riodique de donn\u00e9es environ deux fois par mois.  Le vecteur d\u2019acc\u00e8s initial exact utilis\u00e9 pour infiltrer l\u2019entit\u00e9 est actuellement inconnu.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707523408_228_La-porte-derobee-furtive-de-Zardoor-cible-une-organisation-caritative.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707523408_228_La-porte-derobee-furtive-de-Zardoor-cible-une-organisation-caritative.jpg\" alt=\"Porte d\u00e9rob\u00e9e furtive de Zardoor\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"Porte d\u00e9rob\u00e9e furtive de Zardoor\"\/><\/a><\/div>\n<p>L&#8217;ancrage obtenu, cependant, a \u00e9t\u00e9 exploit\u00e9 pour abandonner Zardoor \u00e0 des fins de persistance, suivi de l&#8217;\u00e9tablissement de connexions C2 \u00e0 l&#8217;aide d&#8217;outils de proxy inverse open source tels que Fast Reverse Proxy (<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/fatedier\/frp\" target=\"_blank\">PRF<\/a>), <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/tostercx\/ssocks\" target=\"_blank\">chaussettes<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Dliv3\/Venom\" target=\"_blank\">Venin<\/a>.<\/p>\n<p>&#8220;Une fois la connexion \u00e9tablie, l&#8217;auteur de la menace a utilis\u00e9 Windows Management Instrumentation (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/wmisdk\/wmi-start-page\" target=\"_blank\">WMI<\/a>) pour se d\u00e9placer lat\u00e9ralement et diffuser les outils de l&#8217;attaquant \u2013 y compris Zardoor \u2013 en g\u00e9n\u00e9rant des processus sur le syst\u00e8me cible et en ex\u00e9cutant les commandes re\u00e7ues du C2&#8243;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La voie d&#8217;infection encore ind\u00e9termin\u00e9e ouvre la voie \u00e0 un composant dropper qui, \u00e0 son tour, d\u00e9ploie une biblioth\u00e8que de liens dynamiques malveillante (&#8220;oci.dll&#8221;) charg\u00e9e de fournir deux modules de porte d\u00e9rob\u00e9e, &#8220;zar32.dll&#8221; et &#8220;zor32&#8243;. .dll.&#8221;<\/p>\n<p>Alors que le premier est l&#8217;\u00e9l\u00e9ment principal de la porte d\u00e9rob\u00e9e qui facilite les communications C2, le second garantit que \u00ab zar32.dll \u00bb a \u00e9t\u00e9 d\u00e9ploy\u00e9 avec les privil\u00e8ges d&#8217;administrateur.  Zardoor est capable d&#8217;exfiltrer des donn\u00e9es, d&#8217;ex\u00e9cuter des ex\u00e9cutables et du shellcode r\u00e9cup\u00e9r\u00e9s \u00e0 distance, de mettre \u00e0 jour l&#8217;adresse IP C2 et de se supprimer de l&#8217;h\u00f4te.<\/p>\n<p>Les origines de l\u2019acteur mena\u00e7ant derri\u00e8re la campagne ne sont pas claires, et il n\u2019y a pour l\u2019instant aucun chevauchement tactique avec un acteur mena\u00e7ant connu et signal\u00e9 publiquement.  Cela dit, il est consid\u00e9r\u00e9 comme l\u2019\u0153uvre d\u2019un \u00ab acteur mena\u00e7ant avanc\u00e9 \u00bb.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/stealthy-zardoor-backdoor-targets-saudi.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 f\u00e9vrier 2024\ue804R\u00e9dactionCyber-espionnage\/intelligence sur les menaces Une organisation islamique \u00e0 but non lucratif anonyme en Arabie Saoudite a \u00e9t\u00e9 cibl\u00e9e dans le cadre d&#8217;une campagne de cyberespionnage furtive visant \u00e0 supprimer une porte d\u00e9rob\u00e9e jusqu&#8217;alors non document\u00e9e appel\u00e9e Zardoor. Cisco Talos, qui a d\u00e9couvert l&#8217;activit\u00e9 en mai 2023, a d\u00e9clar\u00e9 que la campagne persistait probablement [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1141707,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,8925,7087,4168,4165,4161,200267,7084,90729,37457,4159,4171,200271,200268,200269,200270,1286,2742,36768,128318,4172,4169,196,4166,4164,229130],"class_list":["post-1141706","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-caritative","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-derobee","tag-furtive","tag-islamique","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-organisation","tag-porte","tag-saoudienne","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-zardoor"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1141706","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1141706"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1141706\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1141707"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1141706"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1141706"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1141706"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}