{"id":1261080,"date":"2024-07-31T10:49:00","date_gmt":"2024-07-31T12:49:00","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-chinois-ciblent-les-entreprises-japonaises-avec-les-logiciels-malveillants-lodeinfo-et-noopdoor\/"},"modified":"2024-07-31T10:49:05","modified_gmt":"2024-07-31T12:49:05","slug":"des-pirates-informatiques-chinois-ciblent-les-entreprises-japonaises-avec-les-logiciels-malveillants-lodeinfo-et-noopdoor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-chinois-ciblent-les-entreprises-japonaises-avec-les-logiciels-malveillants-lodeinfo-et-noopdoor\/","title":{"rendered":"Des pirates informatiques chinois ciblent les entreprises japonaises avec les logiciels malveillants LODEINFO et NOOPDOOR"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 juillet 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cyberattaque \/ Renseignement sur les menaces<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Les organisations japonaises sont la cible d’un acteur malveillant de type \u00c9tat-nation chinois qui exploite des familles de logiciels malveillants comme LODEINFO et NOOPDOOR pour r\u00e9colter des informations sensibles sur des h\u00f4tes compromis tout en restant furtivement sous le radar dans certains cas pendant une p\u00e9riode allant de deux \u00e0 trois ans.<\/p>\n

La soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Cybereason suit la campagne sous le nom Lance \u00e0 coucou<\/strong>l’attribuant comme \u00e9tant li\u00e9 \u00e0 un ensemble d’intrusions connu surnomm\u00e9 APT10, \u00e9galement connu sous le nom de Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon (anciennement Potassium) et Stone Panda.<\/p>\n

\u00ab Les acteurs derri\u00e8re NOOPDOOR ont non seulement utilis\u00e9 LODEINFO pendant la campagne, mais ont \u00e9galement utilis\u00e9 la nouvelle porte d\u00e9rob\u00e9e pour exfiltrer des donn\u00e9es des r\u00e9seaux d’entreprise compromis \u00bb, a-t-il d\u00e9clar\u00e9. dit<\/a>.<\/p>\n

Les r\u00e9sultats surviennent quelques semaines apr\u00e8s le JPCERT\/CC averti<\/a> des cyberattaques lanc\u00e9es par l’acteur malveillant ciblant des entit\u00e9s japonaises \u00e0 l’aide des deux souches de logiciels malveillants.<\/p>\n

D\u00e9but janvier, ITOCHU Cyber \u200b\u200b& Intelligence a r\u00e9v\u00e9l\u00e9 avoir d\u00e9couvert une version mise \u00e0 jour de la porte d\u00e9rob\u00e9e LODEINFO int\u00e9grant des techniques anti-analyse, mettant en \u00e9vidence l’utilisation d’e-mails de spear-phishing pour propager le malware.<\/p>\n

\"La<\/a><\/center><\/section>\n

Trend Micro, qui a invent\u00e9 \u00e0 l’origine le terme MenuPass pour d\u00e9crire l’acteur de la menace, a caract\u00e9ris\u00e9<\/a> APT10 est un groupe de coordination compos\u00e9 de deux groupes appel\u00e9s Earth Tengshe et Earth Kasha. L’\u00e9quipe de hackers est connue pour \u00eatre op\u00e9rationnelle depuis au moins 2006.<\/p>\n

\"Logiciels<\/a><\/div>\n

Alors que Earth Tengshe est li\u00e9 aux campagnes distribuant SigLoader et SodaMaster, Earth Kasha est attribu\u00e9 \u00e0 l’utilisation exclusive de LODEINFO et NOOPDOOR. Les deux sous-groupes ont \u00e9t\u00e9 observ\u00e9s ciblant des applications destin\u00e9es au public dans le but d’exfiltrer des donn\u00e9es et des informations sur le r\u00e9seau.<\/p>\n

On dit aussi que la Terre Tengshe est en rapport<\/a> vers un autre cluster nomm\u00e9 Bronze Starlight (alias Emperor Dragonfly ou Storm-0401), qui a pour habitude d’exploiter des familles de ransomwares de courte dur\u00e9e comme LockFile, Atom Silo, Rook, Night Sky, Pandora et Cheerscrypt.<\/p>\n

\"Logiciels<\/a><\/div>\n

D’autre part, il a \u00e9t\u00e9 constat\u00e9 que Earth Kasha modifiait ses m\u00e9thodes d’acc\u00e8s initiales en exploitant des applications publiques depuis avril 2023, profitant de failles non corrig\u00e9es dans Array AG (CVE-2023-28461<\/a>), Fortinet (CVE-2023-27997<\/a>), et Proself (CVE-2023-45727<\/a>) instances pour distribuer LODEINFO et NOOPDOOR (aka Visage cach\u00e9<\/a>).<\/p>\n

LODEINFO est livr\u00e9 avec plusieurs commandes permettant d’ex\u00e9cuter du shellcode arbitraire, d’enregistrer les frappes au clavier, de prendre des captures d’\u00e9cran, de terminer des processus et d’exfiltrer des fichiers vers un serveur contr\u00f4l\u00e9 par un acteur. NOOPDOOR, qui partage des similitudes de code avec une autre porte d\u00e9rob\u00e9e APT10 connue sous le nom d’ANEL Loader, propose des fonctionnalit\u00e9s permettant de t\u00e9l\u00e9charger et de charger des fichiers, d’ex\u00e9cuter du shellcode et d’ex\u00e9cuter davantage de programmes.<\/p>\n

\u00ab LODEINFO semble \u00eatre utilis\u00e9 comme porte d\u00e9rob\u00e9e principale et NOOPDOOR agit comme porte d\u00e9rob\u00e9e secondaire, ce qui permet de maintenir la persistance au sein du r\u00e9seau d’entreprise compromis pendant plus de deux ans \u00bb, a d\u00e9clar\u00e9 Cybereason. \u00ab Les acteurs malveillants maintiennent la persistance au sein de l’environnement en abusant des t\u00e2ches planifi\u00e9es. \u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n