{"id":1268184,"date":"2024-08-05T18:55:07","date_gmt":"2024-08-05T20:55:07","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-lies-a-la-chine-compromettent-un-fai-pour-deployer-des-mises-a-jour-de-logiciels-malveillants\/"},"modified":"2024-08-05T18:55:14","modified_gmt":"2024-08-05T20:55:14","slug":"des-pirates-informatiques-lies-a-la-chine-compromettent-un-fai-pour-deployer-des-mises-a-jour-de-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-lies-a-la-chine-compromettent-un-fai-pour-deployer-des-mises-a-jour-de-logiciels-malveillants\/","title":{"rendered":"Des pirates informatiques li\u00e9s \u00e0 la Chine compromettent un FAI pour d\u00e9ployer des mises \u00e0 jour de logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du navigateur \/ S\u00e9curit\u00e9 Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Des-pirates-informatiques-lies-a-la-Chine-compromettent-un-FAI.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur de la menace li\u00e9e \u00e0 la Chine connu sous le nom de <strong>Panda \u00e9vasif<\/strong> a compromis un fournisseur d&#8217;acc\u00e8s Internet (FAI) anonyme pour diffuser des mises \u00e0 jour de logiciels malveillants vers des entreprises cibl\u00e9es \u00e0 la mi-2023, mettant en \u00e9vidence un nouveau niveau de sophistication associ\u00e9 au groupe.<\/p>\n<p>Evasive Panda, \u00e9galement connu sous les noms de Bronze Highland, Daggerfly et StormBamboo, est un groupe de cyberespionnage actif depuis au moins 2012, exploitant des portes d\u00e9rob\u00e9es telles que MgBot (alias POCOSTICK) et Nightdoor (alias NetMM et Suzafk) pour r\u00e9colter des informations sensibles.<\/p>\n<p>Plus r\u00e9cemment, l&#8217;acteur de la menace a \u00e9t\u00e9 formellement attribu\u00e9 \u00e0 l&#8217;utilisation d&#8217;une souche de malware macOS appel\u00e9e MACMA, qui a \u00e9t\u00e9 observ\u00e9e dans la nature d\u00e8s 2021.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ever-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1722872960_626_Des-organisations-kazakhes-ciblees-par-des-cyberattaques-de-type.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00ab StormBamboo est un acteur de menace hautement qualifi\u00e9 et agressif qui compromet des tiers (dans ce cas, un FAI) pour violer les cibles vis\u00e9es \u00bb, a d\u00e9clar\u00e9 Volexity. <a rel=\"nofollow noopener\" href=\"https:\/\/www.volexity.com\/blog\/2024\/08\/02\/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms\/\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>\u00ab La vari\u00e9t\u00e9 des programmes malveillants employ\u00e9s dans diverses campagnes par cet acteur de menace indique que des efforts importants sont investis, avec des charges utiles activement prises en charge non seulement pour macOS et Windows, mais \u00e9galement pour les appareils r\u00e9seau. \u00bb<\/p>\n<p>Les rapports publics d&#8217;ESET et de Symantec au cours des deux derni\u00e8res ann\u00e9es ont document\u00e9 l&#8217;utilisation de MgBot par Evasive Panda et ses ant\u00e9c\u00e9dents d&#8217;orchestration d&#8217;attaques de points d&#8217;eau et de cha\u00eene d&#8217;approvisionnement ciblant les utilisateurs tib\u00e9tains.<\/p>\n<p>Il a \u00e9galement \u00e9t\u00e9 d\u00e9couvert qu&#8217;il ciblait une organisation non gouvernementale (ONG) internationale en Chine continentale avec MgBot livr\u00e9 via des canaux de mise \u00e0 jour d&#8217;applications l\u00e9gitimes comme Tencent QQ.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Des-pirates-informatiques-lies-a-la-Chine-compromettent-un-FAI.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Des-pirates-informatiques-lies-a-la-Chine-compromettent-un-FAI.jpg\" alt=\"Mises \u00e0 jour de logiciels malveillants\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Mises \u00e0 jour de logiciels malveillants\"\/><\/a><\/div>\n<p>Alors qu&#8217;il a \u00e9t\u00e9 sp\u00e9cul\u00e9 que les mises \u00e0 jour trojanis\u00e9es \u00e9taient soit le r\u00e9sultat d&#8217;une compromission de la cha\u00eene d&#8217;approvisionnement des serveurs de mise \u00e0 jour de Tencent QQ, soit un cas d&#8217;attaque de type &#8220;adversary-in-the-middle&#8221; (AitM), l&#8217;analyse de Volexity confirme qu&#8217;il s&#8217;agit de cette derni\u00e8re r\u00e9sultant d&#8217;une attaque d&#8217;empoisonnement DNS au niveau du FAI.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, l&#8217;acteur de la menace modifierait les r\u00e9ponses aux requ\u00eates DNS pour des domaines sp\u00e9cifiques li\u00e9s \u00e0 des m\u00e9canismes de mise \u00e0 jour automatique de logiciels, en s&#8217;attaquant aux logiciels qui utilisaient des m\u00e9canismes de mise \u00e0 jour non s\u00e9curis\u00e9s, tels que HTTP, ou qui n&#8217;appliquaient pas de contr\u00f4les d&#8217;int\u00e9grit\u00e9 ad\u00e9quats aux installateurs.<\/p>\n<p>\u00ab Il a \u00e9t\u00e9 d\u00e9couvert que StormBamboo empoisonnait les requ\u00eates DNS pour d\u00e9ployer des logiciels malveillants via un m\u00e9canisme de mise \u00e0 jour automatique HTTP et empoisonnait les r\u00e9ponses pour les noms d&#8217;h\u00f4tes l\u00e9gitimes qui \u00e9taient utilis\u00e9s comme serveurs de commande et de contr\u00f4le (C2) de deuxi\u00e8me \u00e9tape \u00bb, ont d\u00e9clar\u00e9 les chercheurs Ankur Saini, Paul Rascagneres, Steven Adair et Thomas Lancaster.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Les-publicites-Facebook-menent-a-de-faux-sites-Web-qui.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Les cha\u00eenes d&#8217;attaque sont assez simples dans la mesure o\u00f9 les m\u00e9canismes de mise \u00e0 jour non s\u00e9curis\u00e9s sont utilis\u00e9s pour diffuser soit MgBot, soit MACMA en fonction du syst\u00e8me d&#8217;exploitation utilis\u00e9. Volexity a d\u00e9clar\u00e9 avoir inform\u00e9 le FAI concern\u00e9 de rem\u00e9dier \u00e0 l&#8217;attaque par empoisonnement DNS.<\/p>\n<p>Un autre exemple impliquait le d\u00e9ploiement d&#8217;une extension Google Chrome sur l&#8217;appareil macOS de la victime en modifiant le fichier Secure Preferences. Le module compl\u00e9mentaire du navigateur pr\u00e9tend \u00eatre un outil qui charge une page en mode de compatibilit\u00e9 avec Internet Explorer, mais son objectif principal est d&#8217;exfiltrer les cookies du navigateur vers un compte Google Drive contr\u00f4l\u00e9 par l&#8217;adversaire.<\/p>\n<p>\u00ab L&#8217;attaquant peut intercepter les requ\u00eates DNS et les empoisonner avec des adresses IP malveillantes, puis utiliser cette technique pour abuser des m\u00e9canismes de mise \u00e0 jour automatique qui utilisent HTTP plut\u00f4t que HTTPS \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/china-linked-hackers-compromise-isp-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 ao\u00fbt 2024\ue804Ravie LakshmananS\u00e9curit\u00e9 du navigateur \/ S\u00e9curit\u00e9 Windows L&#8217;acteur de la menace li\u00e9e \u00e0 la Chine connu sous le nom de Panda \u00e9vasif a compromis un fournisseur d&#8217;acc\u00e8s Internet (FAI) anonyme pour diffuser des mises \u00e0 jour de logiciels malveillants vers des entreprises cibl\u00e9es \u00e0 la mi-2023, mettant en \u00e9vidence un nouveau niveau de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1268185,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,109,4168,119322,4165,9886,133,70219,8154,3995,238584,11272,200271,4589,4590,5115,238334,98340,4394,185,238617,4172,4169,4166,238583],"class_list":["post-1268184","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-chine","tag-comment-pirater","tag-compromettent","tag-cyber-attaques","tag-deployer","tag-des","tag-fai","tag-informatiques","tag-jour","tag-les-nouvelles-des-hackers","tag-lies","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-malveillants","tag-mises","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pirates","tag-pour","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1268184","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1268184"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1268184\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1268185"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1268184"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1268184"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1268184"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}