{"id":1276750,"date":"2024-08-12T04:46:03","date_gmt":"2024-08-12T06:46:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lattaque-eastwind-deploie-les-portes-derobees-plugy-et-grewapacha-a-laide-de-fichiers-lnk-pieges\/"},"modified":"2024-08-12T04:46:08","modified_gmt":"2024-08-12T06:46:08","slug":"lattaque-eastwind-deploie-les-portes-derobees-plugy-et-grewapacha-a-laide-de-fichiers-lnk-pieges","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lattaque-eastwind-deploie-les-portes-derobees-plugy-et-grewapacha-a-laide-de-fichiers-lnk-pieges\/","title":{"rendered":"L&#8217;attaque EastWind d\u00e9ploie les portes d\u00e9rob\u00e9es PlugY et GrewApacha \u00e0 l&#8217;aide de fichiers LNK pi\u00e9g\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du Cloud \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Lattaque-EastWind-deploie-les-portes-derobees-PlugY-et-GrewApacha-a.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le gouvernement russe et les organisations informatiques sont la cible d&#8217;une nouvelle campagne qui fournit un certain nombre de portes d\u00e9rob\u00e9es et de chevaux de Troie dans le cadre d&#8217;une campagne de spear-phishing portant le nom de code <b>Vent d&#8217;Est<\/b>.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque se caract\u00e9risent par l&#8217;utilisation de pi\u00e8ces jointes d&#8217;archives RAR contenant un fichier de raccourci Windows (LNK) qui, une fois ouvert, active la s\u00e9quence d&#8217;infection, aboutissant au d\u00e9ploiement de logiciels malveillants tels que GrewApacha, une version mise \u00e0 jour de la porte d\u00e9rob\u00e9e CloudSorcerer et un implant jusqu&#8217;alors non document\u00e9 baptis\u00e9 PlugY.<\/p>\n<p>PlugY est \u00ab t\u00e9l\u00e9charg\u00e9 via la porte d\u00e9rob\u00e9e CloudSorcerer, dispose d&#8217;un vaste ensemble de commandes et prend en charge trois protocoles diff\u00e9rents pour communiquer avec le serveur de commande et de contr\u00f4le \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 russe Kaspersky <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.ru\/eastwind-apt-campaign\/110020\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Le vecteur d&#8217;infection initial repose sur un fichier LNK pi\u00e9g\u00e9, qui utilise <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Techniques de chargement lat\u00e9ral de DLL<\/a> pour lancer un fichier DLL malveillant qui utilise Dropbox comme m\u00e9canisme de communication pour ex\u00e9cuter des commandes de reconnaissance et t\u00e9l\u00e9charger des charges utiles suppl\u00e9mentaires.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Parmi les logiciels malveillants d\u00e9ploy\u00e9s \u00e0 l&#8217;aide de la DLL figure GrewApacha, une porte d\u00e9rob\u00e9e connue <a rel=\"nofollow noopener\" href=\"https:\/\/www.ptsecurity.com\/ru-ru\/research\/pt-esc-threat-intelligence\/apt31-new-attacks\/\" target=\"_blank\">pr\u00e9c\u00e9demment<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/habr.com\/ru\/companies\/solarsecurity\/articles\/723526\/\" target=\"_blank\">li\u00e9<\/a> au groupe APT31 li\u00e9 \u00e0 la Chine. \u00c9galement lanc\u00e9 \u00e0 l&#8217;aide du chargement lat\u00e9ral de DLL, il utilise un profil GitHub contr\u00f4l\u00e9 par un attaquant comme <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1102\/001\/\" target=\"_blank\">r\u00e9solveur de chutes mortes<\/a> pour stocker une cha\u00eene cod\u00e9e en Base64 du serveur C2 r\u00e9el.<\/p>\n<p>CloudSorcerer, en revanche, est un outil de cyberespionnage sophistiqu\u00e9 utilis\u00e9 pour la surveillance furtive, la collecte de donn\u00e9es et l&#8217;exfiltration via l&#8217;infrastructure cloud Microsoft Graph, Yandex Cloud et Dropbox. Comme dans le cas de GrewApacha, la variante mise \u00e0 jour exploite des plateformes l\u00e9gitimes comme LiveJournal et Quora comme serveur C2 initial.<\/p>\n<p>\u00ab Comme avec les versions pr\u00e9c\u00e9dentes de CloudSorcerer, les biographies de profil contiennent un jeton d&#8217;authentification crypt\u00e9 pour interagir avec le service cloud \u00bb, a d\u00e9clar\u00e9 Kaspersky.<\/p>\n<p>De plus, il utilise un m\u00e9canisme de protection bas\u00e9 sur le cryptage qui garantit que le logiciel malveillant est d\u00e9clench\u00e9 uniquement sur l&#8217;ordinateur de la victime \u00e0 l&#8217;aide d&#8217;une cl\u00e9 unique d\u00e9riv\u00e9e de Windows. <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/sysinfoapi\/nf-sysinfoapi-gettickcount\" target=\"_blank\">Fonction GetTickCount()<\/a> au moment de l&#8217;ex\u00e9cution.<\/p>\n<p>La troisi\u00e8me famille de logiciels malveillants observ\u00e9e dans les attaques de PlugY, une porte d\u00e9rob\u00e9e compl\u00e8te qui se connecte \u00e0 un serveur de gestion \u00e0 l&#8217;aide de TCP, UDP ou de canaux nomm\u00e9s, et est dot\u00e9e de capacit\u00e9s permettant d&#8217;ex\u00e9cuter des commandes shell, de surveiller l&#8217;\u00e9cran de l&#8217;appareil, d&#8217;enregistrer les frappes au clavier et de capturer le contenu du presse-papiers.<\/p>\n<p>Kaspersky a d\u00e9clar\u00e9 qu&#8217;une analyse du code source de PlugX a r\u00e9v\u00e9l\u00e9 des similitudes avec une porte d\u00e9rob\u00e9e connue appel\u00e9e DRBControl (alias <a rel=\"nofollow noopener\" href=\"https:\/\/www.talent-jump.com\/article\/2020\/02\/17\/CLAMBLING-A-New-Backdoor-Base-On-Dropbox-en\/\" target=\"_blank\">Grimper<\/a>), qui a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.securityjoes.com\/post\/apt27-turns-to-ransomware\" target=\"_blank\">attribu\u00e9<\/a> aux groupes de menaces li\u00e9es \u00e0 la Chine, identifi\u00e9s comme APT27 et APT41. <\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>\u00ab Les attaquants derri\u00e8re la campagne EastWind ont utilis\u00e9 des services r\u00e9seau populaires comme serveurs de commande &#8211; GitHub, Dropbox, Quora, ainsi que LiveJournal et Yandex Disk en russe \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Kaspersky a \u00e9galement d\u00e9taill\u00e9 une attaque de type \u00ab watering hole \u00bb qui consiste \u00e0 compromettre un site l\u00e9gitime li\u00e9 \u00e0 l&#8217;approvisionnement en gaz en Russie pour distribuer un ver nomm\u00e9 CMoon qui peut r\u00e9colter des donn\u00e9es confidentielles et de paiement, prendre des captures d&#8217;\u00e9cran, t\u00e9l\u00e9charger des logiciels malveillants suppl\u00e9mentaires et lancer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS) contre des cibles d&#8217;int\u00e9r\u00eat.<\/p>\n<p>Le logiciel malveillant collecte \u00e9galement des fichiers et des donn\u00e9es \u00e0 partir de divers navigateurs Web, portefeuilles de crypto-monnaie, applications de messagerie instantan\u00e9e, clients SSH, logiciels FTP, applications d&#8217;enregistrement et de streaming vid\u00e9o, authentificateurs, outils de bureau \u00e0 distance et VPN. <\/p>\n<p>\u00ab CMoon est un ver \u00e9crit en .NET, avec de larges fonctionnalit\u00e9s pour le vol de donn\u00e9es et le contr\u00f4le \u00e0 distance \u00bb, a-t-il d\u00e9clar\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.ru\/how-the-cmoon-worm-collects-data\/109988\/\" target=\"_blank\">dit<\/a>. \u00ab Imm\u00e9diatement apr\u00e8s l&#8217;installation, le fichier ex\u00e9cutable commence \u00e0 surveiller les cl\u00e9s USB connect\u00e9es. Cela vous permet de voler des fichiers susceptibles d&#8217;int\u00e9resser les attaquants \u00e0 partir de supports amovibles, ainsi que d&#8217;y copier un ver et d&#8217;infecter d&#8217;autres ordinateurs sur lesquels la cl\u00e9 sera utilis\u00e9e. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/russian-government-hit-by-eastwind.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 ao\u00fbt 2024\ue804Ravie LakshmananS\u00e9curit\u00e9 du Cloud \/ Logiciels malveillants Le gouvernement russe et les organisations informatiques sont la cible d&#8217;une nouvelle campagne qui fournit un certain nombre de portes d\u00e9rob\u00e9es et de chevaux de Troie dans le cadre d&#8217;une campagne de spear-phishing portant le nom de code Vent d&#8217;Est. Les cha\u00eenes d&#8217;attaque se caract\u00e9risent par [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1276751,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,4168,4158,6124,7050,82224,247107,21769,247109,1151,1505,65,238584,140193,200271,238334,98340,581,247108,1384,238617,246491,4172,4166,238583],"class_list":["post-1276750","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-cyber-actualites","tag-cyberattaques","tag-deploie","tag-derobees","tag-eastwind","tag-fichiers","tag-grewapacha","tag-laide","tag-lattaque","tag-les","tag-les-nouvelles-des-hackers","tag-lnk","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pieges","tag-plugy","tag-portes","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1276750","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1276750"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1276750\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1276751"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1276750"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1276750"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1276750"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}