{"id":1264322,"date":"2024-08-02T16:32:01","date_gmt":"2024-08-02T18:32:01","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-dapt41-utilisent-shadowpad-et-cobalt-strike-dans-une-cyberattaque-contre-un-institut-taiwanais\/"},"modified":"2024-08-02T16:32:06","modified_gmt":"2024-08-02T18:32:06","slug":"les-pirates-informatiques-dapt41-utilisent-shadowpad-et-cobalt-strike-dans-une-cyberattaque-contre-un-institut-taiwanais","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-dapt41-utilisent-shadowpad-et-cobalt-strike-dans-une-cyberattaque-contre-un-institut-taiwanais\/","title":{"rendered":"Les pirates informatiques d’APT41 utilisent ShadowPad et Cobalt Strike dans une cyberattaque contre un institut ta\u00efwanais"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 ao\u00fbt 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cyberespionnage \/ Malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un institut de recherche affili\u00e9 au gouvernement ta\u00efwanais et sp\u00e9cialis\u00e9 dans l’informatique et les technologies associ\u00e9es a \u00e9t\u00e9 pirat\u00e9 par des acteurs de la menace \u00e9tatique ayant des liens avec la Chine, selon de nouvelles d\u00e9couvertes de Cisco Talos.<\/p>\n

L’organisation anonyme a \u00e9t\u00e9 cibl\u00e9e d\u00e8s la mi-juillet 2023 pour fournir une vari\u00e9t\u00e9 de portes d\u00e9rob\u00e9es et d’outils post-compromission comme ShadowPad et Cobalt Strike. Elle a \u00e9t\u00e9 attribu\u00e9e avec une confiance moyenne \u00e0 un groupe de hackers prolifique suivi sous le nom d’APT41.<\/p>\n

\u00ab Le malware ShadowPad utilis\u00e9 dans la campagne actuelle a exploit\u00e9 une version vuln\u00e9rable obsol\u00e8te du binaire Microsoft Office IME comme chargeur pour charger le chargeur de deuxi\u00e8me \u00e9tape personnalis\u00e9 pour lancer la charge utile \u00bb, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Joey Chen, Ashley Shen et Vitor Ventura. dit<\/a>.<\/p>\n

\"La<\/a><\/center><\/section>\n

\u00ab L’acteur malveillant a compromis trois h\u00f4tes dans l’environnement cibl\u00e9 et a pu exfiltrer certains documents du r\u00e9seau. \u00bb<\/p>\n

Cisco Talos a d\u00e9clar\u00e9 avoir d\u00e9couvert l’activit\u00e9 en ao\u00fbt 2023 apr\u00e8s avoir d\u00e9tect\u00e9 ce qu’il a d\u00e9crit comme des \u00ab commandes PowerShell anormales \u00bb qui se connectaient \u00e0 une adresse IP pour t\u00e9l\u00e9charger et ex\u00e9cuter des scripts PowerShell dans l’environnement compromis.<\/p>\n

Le vecteur d’acc\u00e8s initial exact utilis\u00e9 dans l’attaque n’est pas connu, bien qu’il impliquait l’utilisation d’un shell Web pour maintenir un acc\u00e8s persistant et larguer des charges utiles suppl\u00e9mentaires comme ShadowPad et Cobalt Strike, ce dernier \u00e9tant livr\u00e9 au moyen d’un chargeur Cobalt Strike bas\u00e9 sur Go nomm\u00e9 CS-\u00c9viter-de-tuer<\/a>.<\/p>\n

\u00ab Le malware Cobalt Strike a \u00e9t\u00e9 d\u00e9velopp\u00e9 \u00e0 l’aide d’un chargeur anti-AV pour contourner la d\u00e9tection AV et \u00e9viter la quarantaine des produits de s\u00e9curit\u00e9 \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

Alternativement, l’acteur de la menace a \u00e9t\u00e9 observ\u00e9 en train d’ex\u00e9cuter des commandes PowerShell pour lancer des scripts responsables de l’ex\u00e9cution de ShadowPad en m\u00e9moire et de la r\u00e9cup\u00e9ration du malware Cobalt Strike \u00e0 partir d’un serveur de commande et de contr\u00f4le (C2) compromis. Le chargeur ShadowPad bas\u00e9 sur DLL, \u00e9galement appel\u00e9 ScatterBee<\/a>est ex\u00e9cut\u00e9 via le chargement lat\u00e9ral de DLL.<\/p>\n

Certaines des autres \u00e9tapes r\u00e9alis\u00e9es dans le cadre de l\u2019intrusion comprenaient l\u2019utilisation de Mimikatz pour extraire des mots de passe et l\u2019ex\u00e9cution de plusieurs commandes pour recueillir des informations sur les comptes d\u2019utilisateurs, la structure du r\u00e9pertoire et les configurations du r\u00e9seau.<\/p>\n

“APT41 a cr\u00e9\u00e9 un chargeur sur mesure pour injecter une preuve de concept pour CVE-2018-0824<\/a> “directement dans la m\u00e9moire, en utilisant une vuln\u00e9rabilit\u00e9 d’ex\u00e9cution de code \u00e0 distance pour obtenir une escalade de privil\u00e8ges locale”, a d\u00e9clar\u00e9 Talos, notant la charge utile finale, D\u00e9marshalPwn<\/a>est d\u00e9clench\u00e9 apr\u00e8s avoir travers\u00e9 trois \u00e9tapes diff\u00e9rentes.<\/p>\n

L’\u00e9quipe de cybers\u00e9curit\u00e9 a \u00e9galement soulign\u00e9 les tentatives de l’adversaire d’\u00e9viter d’\u00eatre d\u00e9tect\u00e9 en interrompant sa propre activit\u00e9 lorsqu’il d\u00e9tecte d’autres utilisateurs sur le syst\u00e8me. \u00ab Une fois les portes d\u00e9rob\u00e9es d\u00e9ploy\u00e9es, l’acteur malveillant supprimera le shell Web et le compte invit\u00e9 qui ont permis l’acc\u00e8s initial \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

Cette r\u00e9v\u00e9lation intervient alors que l’Allemagne r\u00e9v\u00e9l\u00e9<\/a> plus t\u00f4t cette semaine, des acteurs \u00e9tatiques chinois \u00e9taient derri\u00e8re une cyberattaque en 2021 contre l’agence nationale de cartographie du pays, l’Office f\u00e9d\u00e9ral de cartographie et de g\u00e9od\u00e9sie (BKG), \u00e0 des fins d’espionnage.<\/p>\n

En r\u00e9ponse aux all\u00e9gations, l’ambassade de Chine \u00e0 Berlin dit<\/a> L’accusation est sans fondement et appelle l’Allemagne \u00e0 \u00ab cesser de se servir des questions de cybers\u00e9curit\u00e9 pour salir la Chine politiquement et dans les m\u00e9dias \u00bb.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n