{"id":1234236,"date":"2024-07-11T12:12:04","date_gmt":"2024-07-11T14:12:04","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-chinois-apt41-met-a-niveau-son-arsenal-de-logiciels-malveillants-avec-dodgebox-et-moonwalk\/"},"modified":"2024-07-11T12:12:08","modified_gmt":"2024-07-11T14:12:08","slug":"le-groupe-chinois-apt41-met-a-niveau-son-arsenal-de-logiciels-malveillants-avec-dodgebox-et-moonwalk","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-chinois-apt41-met-a-niveau-son-arsenal-de-logiciels-malveillants-avec-dodgebox-et-moonwalk\/","title":{"rendered":"Le groupe chinois APT41 met \u00e0 niveau son arsenal de logiciels malveillants avec DodgeBox et MoonWalk"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyber-espionnage \/ S\u00e9curit\u00e9 des r\u00e9seaux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-groupe-chinois-APT41-met-a-niveau-son-arsenal-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le groupe de menaces persistantes avanc\u00e9es (APT) li\u00e9 \u00e0 la Chine, nomm\u00e9 APT41, est soup\u00e7onn\u00e9 d&#8217;utiliser une \u00ab version avanc\u00e9e et am\u00e9lior\u00e9e \u00bb d&#8217;un malware connu appel\u00e9 StealthVector pour diffuser une porte d\u00e9rob\u00e9e jusqu&#8217;alors non document\u00e9e baptis\u00e9e MoonWalk.<\/p>\n<p>La nouvelle variante de StealthVector \u2013 \u00e9galement appel\u00e9e DUSTPAN \u2013 a \u00e9t\u00e9 baptis\u00e9e DodgeBox par Zscaler ThreatLabz, qui a d\u00e9couvert la souche du chargeur en avril 2024.<\/p>\n<p>\u00ab DodgeBox est un chargeur qui proc\u00e8de au chargement d&#8217;une nouvelle porte d\u00e9rob\u00e9e appel\u00e9e MoonWalk \u00bb, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Yin Hong Chang et Sudeep Singh. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/dodgebox-deep-dive-updated-arsenal-apt41-part-1\" target=\"_blank\">dit<\/a>\u00ab MoonWalk partage de nombreuses techniques d&#8217;\u00e9vasion impl\u00e9ment\u00e9es dans DodgeBox et utilise Google Drive pour la communication de commande et de contr\u00f4le (C2). \u00bb<\/p>\n<p>APT41 est le surnom attribu\u00e9 \u00e0 un acteur de menace prolifique parrain\u00e9 par l&#8217;\u00c9tat et affili\u00e9 \u00e0 la Chine, connu pour \u00eatre actif depuis au moins 2007. Il est \u00e9galement suivi par la communaut\u00e9 plus large de la cybers\u00e9curit\u00e9 sous les noms d&#8217;Axiom, Blackfly, Brass Typhoon (anciennement Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda et Winnti.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Des-pirates-informatiques-lies-a-la-Chine-infiltrent-une-entreprise.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En septembre 2020, le minist\u00e8re am\u00e9ricain de la Justice (DoJ) a annonc\u00e9 l&#8217;inculpation de plusieurs acteurs malveillants associ\u00e9s \u00e0 l&#8217;\u00e9quipe de pirates informatiques pour avoir orchestr\u00e9 des campagnes d&#8217;intrusion ciblant plus de 100 entreprises \u00e0 travers le monde.<\/p>\n<p>\u00ab Les intrusions [&#8230;] \u00ab Ils ont facilit\u00e9 le vol de code source, de certificats de signature de code logiciel, de donn\u00e9es de comptes clients et d&#8217;informations commerciales pr\u00e9cieuses \u00bb, a d\u00e9clar\u00e9 le minist\u00e8re de la Justice \u00e0 l&#8217;\u00e9poque, ajoutant qu&#8217;ils ont \u00e9galement permis \u00ab d&#8217;autres stratag\u00e8mes criminels, notamment des ransomwares et des stratag\u00e8mes de \u00ab crypto-jacking \u00bb \u00bb.<\/p>\n<p>Au cours des derni\u00e8res ann\u00e9es, le groupe de menace a \u00e9t\u00e9 li\u00e9 \u00e0 des violations des r\u00e9seaux du gouvernement des \u00c9tats am\u00e9ricains entre mai 2021 et f\u00e9vrier 2022, en plus d&#8217;attaques ciblant des organisations de m\u00e9dias ta\u00efwanaises \u00e0 l&#8217;aide d&#8217;un outil de red teaming open source connu sous le nom de Google Command and Control (GC2).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-groupe-chinois-APT41-met-a-niveau-son-arsenal-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-groupe-chinois-APT41-met-a-niveau-son-arsenal-de.png\" alt=\"APT41 chinois\" border=\"0\" data-original-height=\"847\" data-original-width=\"1080\" title=\"APT41 chinois\"\/><\/a><\/div>\n<p>L&#8217;utilisation de StealthVector par APT41 a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/21\/h\/apt41-resurfaces-as-earth-baku-with-new-cyberespionage-campaign.html\" target=\"_blank\">premier document\u00e9<\/a> par Trend Micro en ao\u00fbt 2021, le d\u00e9crivant comme un chargeur de shellcode \u00e9crit en C\/C++ utilis\u00e9 pour fournir Cobalt Strike Beacon et un implant de shellcode nomm\u00e9 ScrambleCross (alias SideWalk).<\/p>\n<p>DodgeBox est consid\u00e9r\u00e9 comme une version am\u00e9lior\u00e9e de StealthVector, tout en int\u00e9grant diverses techniques telles que l&#8217;usurpation de la pile d&#8217;appels, le chargement lat\u00e9ral de DLL et le creusement de DLL pour \u00e9chapper \u00e0 la d\u00e9tection. La m\u00e9thode exacte par laquelle le malware est distribu\u00e9 est actuellement inconnue.<\/p>\n<p>\u00ab APT41 utilise le chargement lat\u00e9ral de DLL comme moyen d&#8217;ex\u00e9cuter DodgeBox \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Ils utilisent un ex\u00e9cutable l\u00e9gitime (taskhost.exe), sign\u00e9 par Sandboxie, pour charger lat\u00e9ralement une DLL malveillante (sbiedll.dll). \u00bb<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La DLL malveillante (c&#8217;est-\u00e0-dire DodgeBox) est un chargeur DLL \u00e9crit en C qui agit comme un conduit pour d\u00e9crypter et lancer une charge utile de deuxi\u00e8me \u00e9tape, la porte d\u00e9rob\u00e9e MoonWalk.<\/p>\n<p>L&#8217;attribution de DodgeBox \u00e0 APT41 d\u00e9coule des similitudes entre DodgeBox et StealthVector ; de l&#8217;utilisation du chargement lat\u00e9ral de DLL, une technique largement utilis\u00e9e par les groupes li\u00e9s \u00e0 la Chine pour diffuser des logiciels malveillants tels que PlugX ; et du fait que des \u00e9chantillons de DodgeBox ont \u00e9t\u00e9 soumis \u00e0 VirusTotal depuis la Tha\u00eflande et Taiwan.<\/p>\n<p>\u00abDodgeBox est un chargeur de malware nouvellement identifi\u00e9 qui utilise plusieurs techniques pour \u00e9chapper \u00e0 la d\u00e9tection statique et comportementale\u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>\u00ab Il offre diverses fonctionnalit\u00e9s, notamment le d\u00e9cryptage et le chargement de DLL int\u00e9gr\u00e9es, la r\u00e9alisation de v\u00e9rifications et de liaisons d&#8217;environnement, ainsi que l&#8217;ex\u00e9cution de proc\u00e9dures de nettoyage. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/chinese-apt41-upgrades-malware-arsenal.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 juillet 2024\ue804R\u00e9dactionCyber-espionnage \/ S\u00e9curit\u00e9 des r\u00e9seaux Le groupe de menaces persistantes avanc\u00e9es (APT) li\u00e9 \u00e0 la Chine, nomm\u00e9 APT41, est soup\u00e7onn\u00e9 d&#8217;utiliser une \u00ab version avanc\u00e9e et am\u00e9lior\u00e9e \u00bb d&#8217;un malware connu appel\u00e9 StealthVector pour diffuser une porte d\u00e9rob\u00e9e jusqu&#8217;alors non document\u00e9e baptis\u00e9e MoonWalk. La nouvelle variante de StealthVector \u2013 \u00e9galement appel\u00e9e DUSTPAN \u2013 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1234237,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,22631,5231,84,5663,4168,4158,4165,241153,681,238584,200271,4589,4590,4955,238334,98340,129325,2073,238617,4172,4169,167,4166,238583],"class_list":["post-1234236","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-apt41","tag-arsenal","tag-avec","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-dodgebox","tag-groupe","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-malveillants","tag-met","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-moonwalk","tag-niveau","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-son","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1234236","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1234236"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1234236\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1234237"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1234236"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1234236"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1234236"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}