Plusieurs organisations op\u00e9rant dans les secteurs du transport maritime et de la logistique, des m\u00e9dias et du divertissement, de la technologie et de l’automobile \u00e0 l’\u00e9chelle mondiale en Italie, en Espagne, \u00e0 Taiwan, en Tha\u00eflande, en Turquie et au Royaume-Uni sont devenues la cible d’une \u00ab campagne soutenue \u00bb men\u00e9e par le prolifique groupe bas\u00e9 en Chine. APT41<\/strong> groupe de piratage.<\/p>\n \u00ab APT41 a r\u00e9ussi \u00e0 infiltrer et \u00e0 maintenir un acc\u00e8s prolong\u00e9 et non autoris\u00e9 aux r\u00e9seaux de nombreuses victimes depuis 2023, leur permettant d’extraire des donn\u00e9es sensibles sur une p\u00e9riode prolong\u00e9e \u00bb, a d\u00e9clar\u00e9 Mandiant, propri\u00e9t\u00e9 de Google. dit<\/a> dans un nouveau rapport publi\u00e9 jeudi.<\/p>\n L’entreprise de renseignement sur les menaces a d\u00e9crit ce collectif antagoniste comme unique parmi les acteurs li\u00e9s \u00e0 la Chine en raison de son utilisation de \u00ab logiciels malveillants non publics g\u00e9n\u00e9ralement r\u00e9serv\u00e9s aux op\u00e9rations d’espionnage dans des activit\u00e9s qui semblent sortir du cadre des missions parrain\u00e9es par l’\u00c9tat \u00bb.<\/p>\n Les cha\u00eenes d’attaque impliquent l’utilisation de shells Web (ANTSWORD et BLUEBEAM), de droppers personnalis\u00e9s (DUSTPAN et DUSTTRAP) et d’outils accessibles au public (SQLULDR2 et PINEGROVE) pour obtenir la persistance, fournir des charges utiles suppl\u00e9mentaires et exfiltrer les donn\u00e9es d’int\u00e9r\u00eat.<\/p>\n Les coques Web agissent comme un conduit pour t\u00e9l\u00e9charger le dropper DUSTPAN (alias StealthVector) qui est responsable du chargement de Cobalt Strike Beacon pour la communication de commandement et de contr\u00f4le (C2), suivi du d\u00e9ploiement du dropper DUSTTRAP apr\u00e8s le mouvement lat\u00e9ral.<\/p>\n DUSTTRAP, quant \u00e0 lui, est configur\u00e9 pour d\u00e9crypter une charge utile malveillante et l’ex\u00e9cuter en m\u00e9moire, ce qui, \u00e0 son tour, \u00e9tablit un contact avec un serveur contr\u00f4l\u00e9 par un attaquant ou un compte Google Workspace compromis pour tenter de dissimuler ses activit\u00e9s malveillantes.<\/p>\n Google a d\u00e9clar\u00e9 que les comptes Workspace identifi\u00e9s ont \u00e9t\u00e9 corrig\u00e9s pour emp\u00eacher tout acc\u00e8s non autoris\u00e9. Cependant, il n’a pas r\u00e9v\u00e9l\u00e9 combien de comptes ont \u00e9t\u00e9 affect\u00e9s.<\/p>\n Les intrusions sont \u00e9galement caract\u00e9ris\u00e9es par l\u2019utilisation de SQLULDR2 pour exporter des donn\u00e9es des bases de donn\u00e9es Oracle vers un fichier texte local et de PINEGROVE pour transmettre de grands volumes de donn\u00e9es sensibles \u00e0 partir de r\u00e9seaux compromis en abusant de Microsoft OneDrive comme vecteur d\u2019exfiltration.<\/p>\n Il convient de noter ici que les familles de logiciels malveillants que Mandiant suit sous les noms de DUSTPAN et DUSTTRAP partagent des chevauchements avec celles qui ont \u00e9t\u00e9 respectivement nomm\u00e9es DodgeBox et MoonWalk par Zscaler ThreatLabz.<\/p>\n \u00ab DUSTTRAP est un framework de plugins \u00e0 plusieurs \u00e9tapes avec plusieurs composants \u00bb, ont d\u00e9clar\u00e9 les chercheurs de Mandiant, ajoutant qu’il a identifi\u00e9 au moins 15 plugins capables d’ex\u00e9cuter des commandes shell, d’effectuer des op\u00e9rations sur le syst\u00e8me de fichiers, d’\u00e9num\u00e9rer et de terminer des processus, de capturer des frappes au clavier et des captures d’\u00e9cran, de collecter des informations syst\u00e8me et de modifier le registre Windows.<\/p>\n Il est \u00e9galement con\u00e7u pour sonder les h\u00f4tes distants, effectuer des recherches dans le syst\u00e8me de noms de domaine (DNS), r\u00e9pertorier les sessions de bureau \u00e0 distance, t\u00e9l\u00e9charger des fichiers et effectuer diverses manipulations sur Microsoft Active Directory.<\/p>\n \u00ab Le malware DUSTTRAP et ses composants associ\u00e9s observ\u00e9s lors de l’intrusion \u00e9taient sign\u00e9s par des certificats de signature de code vraisemblablement vol\u00e9s \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. \u00ab L’un des certificats de signature de code semblait \u00eatre li\u00e9 \u00e0 une soci\u00e9t\u00e9 sud-cor\u00e9enne op\u00e9rant dans le secteur de l’industrie du jeu. \u00bb<\/p>\n Cette r\u00e9v\u00e9lation intervient alors que la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Sygnia a r\u00e9v\u00e9l\u00e9 les d\u00e9tails d’une campagne de cyberattaque mont\u00e9e par un groupe de menaces sophistiqu\u00e9 li\u00e9 \u00e0 la Chine appel\u00e9 GhostEmperor pour diffuser une variante du rootkit Demodex.<\/p>\n La m\u00e9thode exacte utilis\u00e9e pour p\u00e9n\u00e9trer les cibles n’est pas encore connue, bien que le groupe ait d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9 en train d’exploiter des failles connues dans des applications connect\u00e9es \u00e0 Internet. L’acc\u00e8s initial facilite l’ex\u00e9cution d’un script batch Windows, qui d\u00e9pose un fichier d’archive Cabinet (CAB) pour finalement lancer un module d’implant central. <\/p>\n L’implant est \u00e9quip\u00e9 pour g\u00e9rer les communications C2 et installer le rootkit du noyau Demodex en utilisant un projet open source nomm\u00e9 Moteur de triche<\/a> pour contourner l’application de la signature du pilote Windows (DSE<\/a>) m\u00e9canisme.<\/p>\n \u00ab GhostEmperor utilise un logiciel malveillant \u00e0 plusieurs \u00e9tapes pour obtenir une ex\u00e9cution furtive et une persistance et utilise plusieurs m\u00e9thodes pour entraver le processus d’analyse \u00bb, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Dor Nizar dit<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/APT41-infiltre-des-reseaux-en-Italie-en-Espagne-a-Taiwan.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\nGhostEmperor revient hanter<\/h3>\n