{"id":1270308,"date":"2024-08-07T09:24:03","date_gmt":"2024-08-07T11:24:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/gogra-une-nouvelle-porte-derobee-basee-sur-go-cible-les-organisations-mediatiques-dasie-du-sud\/"},"modified":"2024-08-07T09:24:07","modified_gmt":"2024-08-07T11:24:07","slug":"gogra-une-nouvelle-porte-derobee-basee-sur-go-cible-les-organisations-mediatiques-dasie-du-sud","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/gogra-une-nouvelle-porte-derobee-basee-sur-go-cible-les-organisations-mediatiques-dasie-du-sud\/","title":{"rendered":"GoGra, une nouvelle porte d\u00e9rob\u00e9e bas\u00e9e sur Go, cible les organisations m\u00e9diatiques d&#8217;Asie du Sud"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du Cloud \/ Cyber-espionnage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/GoGra-une-nouvelle-porte-derobee-basee-sur-Go-cible-les.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une organisation m\u00e9diatique anonyme d&#8217;Asie du Sud a \u00e9t\u00e9 cibl\u00e9e en novembre 20233 \u00e0 l&#8217;aide d&#8217;une porte d\u00e9rob\u00e9e bas\u00e9e sur Go, jusqu&#8217;alors non document\u00e9e, appel\u00e9e GoGra.<\/p>\n<p>\u00ab GoGra est \u00e9crit en Go et utilise l&#8217;API Microsoft Graph pour interagir avec un serveur de commande et de contr\u00f4le (C&#038;C) h\u00e9berg\u00e9 sur les services de messagerie Microsoft \u00bb, a d\u00e9clar\u00e9 Symantec, qui fait partie de Broadcom, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/threat-intelligence\/cloud-espionage-attacks\" target=\"_blank\">dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>On ne sait pas encore comment il est livr\u00e9 aux environnements cibles. GoGra est sp\u00e9cifiquement configur\u00e9 pour lire les messages provenant d&#8217;un nom d&#8217;utilisateur Outlook \u00ab FNU LNU \u00bb dont la ligne d&#8217;objet commence par le mot \u00ab Input \u00bb.<\/p>\n<p>Le contenu du message est ensuite d\u00e9crypt\u00e9 \u00e0 l&#8217;aide de l&#8217;algorithme AES-256 en mode Cipher Block Chaining (CBC) \u00e0 l&#8217;aide d&#8217;une cl\u00e9, apr\u00e8s quoi il ex\u00e9cute les commandes via cmd.exe.<\/p>\n<p>Les r\u00e9sultats de l&#8217;op\u00e9ration sont ensuite crypt\u00e9s et envoy\u00e9s au m\u00eame utilisateur avec le sujet \u00ab Sortie \u00bb.<\/p>\n<p>On dit que GoGra est l&#8217;\u0153uvre d&#8217;un groupe de piratage informatique d&#8217;un \u00c9tat-nation connu sous le nom de Harvester en raison de ses similitudes avec un implant .NET personnalis\u00e9 nomm\u00e9 Graphon qui utilise \u00e9galement l&#8217;API Graph \u00e0 des fins de C&#038;C.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ever-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1722872960_626_Des-organisations-kazakhes-ciblees-par-des-cyberattaques-de-type.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cette \u00e9volution intervient alors que les acteurs malveillants profitent de plus en plus des services cloud l\u00e9gitimes pour rester discrets et \u00e9viter de devoir acheter une infrastructure d\u00e9di\u00e9e.<\/p>\n<p>Certaines des autres nouvelles familles de logiciels malveillants qui ont utilis\u00e9 cette technique sont r\u00e9pertori\u00e9es ci-dessous\u00a0:<\/p>\n<ul>\n<li>Un outil d&#8217;exfiltration de donn\u00e9es in\u00e9dit d\u00e9ploy\u00e9 par Firefly lors d&#8217;une cyberattaque visant une organisation militaire en Asie du Sud-Est. Les informations collect\u00e9es sont t\u00e9l\u00e9charg\u00e9es sur Google Drive \u00e0 l&#8217;aide d&#8217;un jeton d&#8217;actualisation cod\u00e9 en dur.<\/li>\n<\/ul>\n<ul>\n<li>Une nouvelle porte d\u00e9rob\u00e9e baptis\u00e9e Grager a \u00e9t\u00e9 d\u00e9ploy\u00e9e contre trois organisations \u00e0 Ta\u00efwan, Hong Kong et au Vietnam en avril 2024. Elle utilise l&#8217;API Graph pour communiquer avec un serveur C&#038;C h\u00e9berg\u00e9 sur Microsoft OneDrive. L&#8217;activit\u00e9 a \u00e9t\u00e9 provisoirement li\u00e9e \u00e0 un acteur de menace chinois pr\u00e9sum\u00e9 identifi\u00e9 sous le num\u00e9ro UNC5330.<\/li>\n<\/ul>\n<ul>\n<li>Une porte d\u00e9rob\u00e9e connue sous le nom de MoonTag contient des fonctionnalit\u00e9s permettant de communiquer avec l&#8217;API Graph et est attribu\u00e9e \u00e0 un acteur de menace parlant chinois<\/li>\n<\/ul>\n<ul>\n<li>Une porte d\u00e9rob\u00e9e appel\u00e9e Onedrivetools a \u00e9t\u00e9 utilis\u00e9e contre des soci\u00e9t\u00e9s de services informatiques aux \u00c9tats-Unis et en Europe. Elle utilise l&#8217;API Graph pour interagir avec un serveur C&#038;C h\u00e9berg\u00e9 sur OneDrive afin d&#8217;ex\u00e9cuter les commandes re\u00e7ues et d&#8217;enregistrer le r\u00e9sultat sur OneDrive.<\/li>\n<\/ul>\n<p>\u00ab Bien que l&#8217;exploitation des services cloud pour le commandement et le contr\u00f4le ne soit pas une technique nouvelle, de plus en plus d&#8217;attaquants ont commenc\u00e9 \u00e0 l&#8217;utiliser r\u00e9cemment \u00bb, a d\u00e9clar\u00e9 Symantec, pointant du doigt des malwares comme BLUELIGHT, Graphite, Graphican et BirdyClient.<\/p>\n<p>\u00ab Le nombre d\u2019acteurs d\u00e9ployant d\u00e9sormais des menaces qui exploitent les services cloud sugg\u00e8re que les acteurs de l\u2019espionnage \u00e9tudient clairement les menaces cr\u00e9\u00e9es par d\u2019autres groupes et imitent ce qu\u2019ils per\u00e7oivent comme des techniques efficaces. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/new-go-based-backdoor-gogra-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 ao\u00fbt 2024\ue804Ravie LakshmananS\u00e9curit\u00e9 du Cloud \/ Cyber-espionnage Une organisation m\u00e9diatique anonyme d&#8217;Asie du Sud a \u00e9t\u00e9 cibl\u00e9e en novembre 20233 \u00e0 l&#8217;aide d&#8217;une porte d\u00e9rob\u00e9e bas\u00e9e sur Go, jusqu&#8217;alors non document\u00e9e, appel\u00e9e GoGra. \u00ab GoGra est \u00e9crit en Go et utilise l&#8217;API Microsoft Graph pour interagir avec un serveur de commande et de contr\u00f4le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1270309,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,23311,7087,4168,4158,4165,64861,7084,246093,65,238584,200271,40942,238334,98340,197,12070,2742,238617,4172,4169,1106,60,196,4166,238583],"class_list":["post-1270308","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-basee","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-dasie","tag-derobee","tag-gogra","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mediatiques","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-nouvelle","tag-organisations","tag-porte","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-sud","tag-sur","tag-une","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1270308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1270308"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1270308\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1270309"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1270308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1270308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1270308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}