{"id":1242244,"date":"2024-07-17T09:05:05","date_gmt":"2024-07-17T11:05:05","guid":{"rendered":"https:\/\/teknomers.com\/fr\/apt17-un-groupe-lie-a-la-chine-cible-les-entreprises-italiennes-avec-le-malware-rat-9002\/"},"modified":"2024-07-17T09:05:09","modified_gmt":"2024-07-17T11:05:09","slug":"apt17-un-groupe-lie-a-la-chine-cible-les-entreprises-italiennes-avec-le-malware-rat-9002","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/apt17-un-groupe-lie-a-la-chine-cible-les-entreprises-italiennes-avec-le-malware-rat-9002\/","title":{"rendered":"APT17, un groupe li\u00e9 \u00e0 la Chine, cible les entreprises italiennes avec le malware RAT 9002"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyberespionnage \/ Renseignement sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/APT17-un-groupe-lie-a-la-Chine-cible-les-entreprises.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un acteur de menace li\u00e9 \u00e0 la Chine appel\u00e9 <strong>APT17<\/strong> a \u00e9t\u00e9 observ\u00e9 ciblant des entreprises et des entit\u00e9s gouvernementales italiennes en utilisant une variante d&#8217;un malware connu appel\u00e9 9002 RAT.<\/p>\n<p>Les deux attaques cibl\u00e9es ont eu lieu les 24 juin et 2 juillet 2024, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 italienne de cybers\u00e9curit\u00e9 TG Soft dans une analyse publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>\u00ab La premi\u00e8re campagne du 24 juin 2024 utilisait un document Office, tandis que la deuxi\u00e8me campagne contenait un lien \u00bb, a indiqu\u00e9 l&#8217;entreprise. <a rel=\"nofollow noopener\" href=\"https:\/\/www.tgsoft.it\/news\/news_archivio.asp?id=1557&amp;lang=eng\" target=\"_blank\">not\u00e9<\/a>\u00ab Les deux campagnes invitaient la victime \u00e0 installer un package Skype Entreprise \u00e0 partir d&#8217;un lien d&#8217;un domaine de type gouvernemental italien pour transmettre une variante du RAT 9002. \u00bb<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>APT17 a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Mandiant (alors FireEye), propri\u00e9t\u00e9 de Google, en 2013 dans le cadre d&#8217;op\u00e9rations de cyberespionnage appel\u00e9es <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20130924130243\/https:\/\/www.fireeye.com\/blog\/technical\/cyber-exploits\/2013\/09\/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html\" target=\"_blank\">Chien adjoint<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20131111013919\/https:\/\/www.fireeye.com\/blog\/technical\/cyber-exploits\/2013\/11\/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog-uses-diskless-method.html\" target=\"_blank\">Hydre \u00e9ph\u00e9m\u00e8re<\/a> qui a exploit\u00e9 des failles zero-day dans Internet Explorer de Microsoft pour pirater des cibles d&#8217;int\u00e9r\u00eat.<\/p>\n<p>Il est \u00e9galement connu sous les surnoms d&#8217;Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx et TEMP.Avengers, l&#8217;adversaire partageant un certain niveau de chevauchement d&#8217;outils avec un autre acteur de menace surnomm\u00e9 Webworm.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/operation-rat-cook-chinese-apt-actors-use-fake-game-thrones-leaks-lures\" target=\"_blank\">9002 RAT<\/a>alias Hydraq et McRAT, est devenu c\u00e9l\u00e8bre en tant que <a rel=\"nofollow noopener\" href=\"https:\/\/community.broadcom.com\/symantecenterprise\/communities\/community-home\/librarydocuments\/viewdocument?DocumentKey=3b0d679a-3707-4075-a2a9-37d1af16d411&amp;CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68\" target=\"_blank\">arme cybern\u00e9tique<\/a> de <a rel=\"nofollow noopener\" href=\"https:\/\/community.broadcom.com\/symantecenterprise\/viewdocument\/how-the-elderwood-platform-is-fueli?CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68\" target=\"_blank\">choix<\/a> dans l&#8217;op\u00e9ration Aurora qui <a rel=\"nofollow noopener\" href=\"https:\/\/googleblog.blogspot.com\/2010\/01\/new-approach-to-china.html\" target=\"_blank\">distingu\u00e9<\/a> Google et d&#8217;autres grandes entreprises en 2009. Il a \u00e9galement \u00e9t\u00e9 utilis\u00e9 par la suite dans une autre campagne de 2013 intitul\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20130917230757\/https:\/\/www.fireeye.com\/blog\/technical\/cyber-exploits\/2013\/08\/the-sunshop-campaign-continues.html\" target=\"_blank\">Boutique du soleil<\/a> dans lequel les attaquants ont inject\u00e9 des redirections malveillantes dans plusieurs sites Web.<\/p>\n<p>Les derni\u00e8res cha\u00eenes d&#8217;attaque impliquent l&#8217;utilisation de leurres de spear-phishing pour inciter les destinataires \u00e0 cliquer sur un lien qui les invite \u00e0 t\u00e9l\u00e9charger un programme d&#8217;installation MSI pour Skype Entreprise (\u00ab SkypeMeeting.msi \u00bb).<\/p>\n<p>Le lancement du package MSI d\u00e9clenche l&#8217;ex\u00e9cution d&#8217;un fichier d&#8217;archive Java (JAR) via un script Visual Basic (VBS), tout en installant le logiciel de chat l\u00e9gitime sur le syst\u00e8me Windows. L&#8217;application Java, \u00e0 son tour, d\u00e9crypte et ex\u00e9cute le shellcode responsable du lancement de 9002 RAT.<\/p>\n<p>UN <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0203\/\" target=\"_blank\">cheval de Troie modulaire<\/a>9002 RAT est dot\u00e9 de fonctionnalit\u00e9s permettant de surveiller le trafic r\u00e9seau, de capturer des captures d&#8217;\u00e9cran, d&#8217;\u00e9num\u00e9rer les fichiers, de g\u00e9rer les processus et d&#8217;ex\u00e9cuter des commandes suppl\u00e9mentaires re\u00e7ues d&#8217;un serveur distant pour faciliter la d\u00e9couverte du r\u00e9seau, entre autres.<\/p>\n<p>\u00ab Le malware semble \u00e9galement \u00eatre constamment mis \u00e0 jour avec des variantes sans disque \u00bb, a d\u00e9clar\u00e9 TG Soft. \u00ab Il est compos\u00e9 de divers modules qui sont activ\u00e9s selon les besoins du cyberacteur afin de r\u00e9duire le risque d&#8217;interception. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/china-linked-apt17-targets-italian.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 juillet 2024\ue804R\u00e9dactionCyberespionnage \/ Renseignement sur les menaces Un acteur de menace li\u00e9 \u00e0 la Chine appel\u00e9 APT17 a \u00e9t\u00e9 observ\u00e9 ciblant des entreprises et des entit\u00e9s gouvernementales italiennes en utilisant une variante d&#8217;un malware connu appel\u00e9 9002 RAT. Les deux attaques cibl\u00e9es ont eu lieu les 24 juin et 2 juillet 2024, a d\u00e9clar\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1242245,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,242193,84,109,7087,4168,4165,3244,681,11554,65,238584,7754,200271,4174,238334,98340,46743,238617,4172,4169,4166,238583],"class_list":["post-1242244","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-apt17","tag-avec","tag-chine","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-entreprises","tag-groupe","tag-italiennes","tag-les","tag-les-nouvelles-des-hackers","tag-lie","tag-logiciel-malveillant-rancongiciel","tag-malware","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-rat","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1242244","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1242244"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1242244\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1242245"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1242244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1242244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1242244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}