{"id":1544957,"date":"2025-02-18T14:31:35","date_gmt":"2025-02-18T16:31:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-exploitent-mavinject-exe-pour-echapper-a-la-detection-dans-les-cyberattaques-ciblees\/"},"modified":"2025-02-18T14:31:40","modified_gmt":"2025-02-18T16:31:40","slug":"les-pirates-chinois-exploitent-mavinject-exe-pour-echapper-a-la-detection-dans-les-cyberattaques-ciblees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-exploitent-mavinject-exe-pour-echapper-a-la-detection-dans-les-cyberattaques-ciblees\/","title":{"rendered":"Les pirates chinois exploitent mavinject.exe pour \u00e9chapper \u00e0 la d\u00e9tection dans les cyberattaques cibl\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyber-espionnage \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-pirates-chinois-exploitent-mavinjectexe-pour-echapper-a-la-detection.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur de menace chinois parrain\u00e9 par l&#8217;\u00c9tat connue sous le nom de Mustang Panda a \u00e9t\u00e9 observ\u00e9 en utilisant une nouvelle technique pour \u00e9chapper \u00e0 la d\u00e9tection et maintenir le contr\u00f4le des syst\u00e8mes infect\u00e9s.<\/p>\n<p>Cela implique l&#8217;utilisation d&#8217;un utilitaire Microsoft Windows l\u00e9gitime appel\u00e9 injecteur de virtualisation de l&#8217;application Microsoft (mavinject.exe) pour injecter la charge utile malveillante de l&#8217;acteur de menace dans un processus externe, waitfor.exe, chaque fois que l&#8217;application antivirus ESET est d\u00e9tect\u00e9e en cours d&#8217;ex\u00e9cution, Tendal Micro Micro <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/b\/earth-preta-mixes-legitimate-and-malicious-components-to-sidestep-detection.html\" target=\"_blank\">dit<\/a> dans une nouvelle analyse.<\/p>\n<p>&#8220;L&#8217;attaque consiste \u00e0 supprimer plusieurs fichiers, y compris des ex\u00e9cutables l\u00e9gitimes et des composants malveillants, et en d\u00e9ploiement d&#8217;un PDF leurre pour distraire la victime&#8221;, a not\u00e9 les chercheurs en s\u00e9curit\u00e9 Nathaniel Morales et Nick Dai.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;De plus, Earth Preta utilise Configuration Factory, un constructeur d&#8217;installation pour le logiciel Windows, pour d\u00e9poser et ex\u00e9cuter la charge utile; cela leur permet d&#8217;\u00e9chapper \u00e0 la d\u00e9tection et \u00e0 maintenir la persistance dans les syst\u00e8mes compromis.&#8221;<\/p>\n<p>Le point de d\u00e9part de la s\u00e9quence d&#8217;attaque est un ex\u00e9cutable (&#8220;irsetup.exe&#8221;) qui sert de compte-gouttes pour plusieurs fichiers, y compris le document de leurre con\u00e7u pour cibler les utilisateurs bas\u00e9s en Tha\u00eflande. Cela fait allusion \u00e0 la possibilit\u00e9 que les attaques aient impliqu\u00e9 l&#8217;utilisation des e-mails de lance \u00e0 la lance \u00e0 une seule victime.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739896294_667_Les-pirates-chinois-exploitent-mavinjectexe-pour-echapper-a-la-detection.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739896294_667_Les-pirates-chinois-exploitent-mavinjectexe-pour-echapper-a-la-detection.png\" alt=\"Pirates chinois\" border=\"0\" data-original-height=\"1482\" data-original-width=\"1819\" title=\"Pirates chinois\"\/><\/a><\/div>\n<p>Le binaire proc\u00e8de ensuite \u00e0 une application l\u00e9gitime sur les arts \u00e9lectroniques (EA) (&#8220;OriginlegacyCli.exe&#8221;) pour mettre \u00e0 c\u00f4t\u00e9 une DLL voyou nomm\u00e9e &#8220;eacore.dll&#8221; qui est une version modifi\u00e9e du Toneshell Backdoor attribu\u00e9 \u00e0 l&#8217;\u00e9quipe de piratage.<\/p>\n<p>Core La fonction du malware est un contr\u00f4le pour d\u00e9terminer si deux processus associ\u00e9s aux applications antivirus ESET &#8211; &#8220;ekrn.exe&#8221; ou &#8220;egui.exe&#8221; &#8211; fonctionnent sur l&#8217;h\u00f4te compromis, et dans le cas, ex\u00e9cutez &#8220;waitfor.exe&#8221; et Utilisez ensuite &#8220;Mavinject.exe&#8221; afin d&#8217;ex\u00e9cuter le logiciel malveillant sans \u00eatre signal\u00e9 par celui-ci.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Mavinject.exe, qui est capable d&#8217;ex\u00e9cuter par procuration d&#8217;un code malveillant en injectant \u00e0 un processus en cours comme moyen de contourner la d\u00e9tection ESET, est ensuite utilis\u00e9 pour y injecter le code malveillant&#8221;, ont expliqu\u00e9 les chercheurs. &#8220;Il est possible que Earth Preta ait utilis\u00e9 mavinject.exe apr\u00e8s avoir test\u00e9 l&#8217;ex\u00e9cution de leur attaque contre des machines qui utilisaient un logiciel ESET.&#8221;<\/p>\n<p>Le logiciel malveillant d\u00e9crypte finalement le code de coquille int\u00e9gr\u00e9 qui lui permet d&#8217;\u00e9tablir des connexions avec un serveur distant (&#8220;www.militarytc[.]com: 443 &#8220;) pour recevoir des commandes pour \u00e9tablir un shell invers\u00e9, d\u00e9placer des fichiers et supprimer des fichiers.<\/p>\n<p>&#8220;Le malware de Terre Preta, une variante de la porte d\u00e9rob\u00e9e de Toneshell, est col\u00e9\u00e9 par une application artistique \u00e9lectronique l\u00e9gitime et communique avec un serveur de commandement et de contr\u00f4le pour l&#8217;exfiltration de donn\u00e9es&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/chinese-hackers-exploit-mavinjectexe-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 f\u00e9vrier 2025\ue804Ravie LakshmananCyber-espionnage \/ malware L&#8217;acteur de menace chinois parrain\u00e9 par l&#8217;\u00c9tat connue sous le nom de Mustang Panda a \u00e9t\u00e9 observ\u00e9 en utilisant une nouvelle technique pour \u00e9chapper \u00e0 la d\u00e9tection et maintenir le contr\u00f4le des syst\u00e8mes infect\u00e9s. Cela implique l&#8217;utilisation d&#8217;un utilitaire Microsoft Windows l\u00e9gitime appel\u00e9 injecteur de virtualisation de l&#8217;application Microsoft [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1544958,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,5663,46619,4168,79002,274264,4161,274263,6124,429,41161,21314,8736,65,274267,281283,4160,4394,185,238617,246491,4172,79016,4166,4164],"class_list":["post-1544957","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-chinois","tag-ciblees","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dans","tag-detection","tag-echapper","tag-exploitent","tag-les","tag-malware-ransomware","tag-mavinject-exe","tag-mises-a-jour-de-la-cybersecurite","tag-pirates","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1544957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1544957"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1544957\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1544958"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1544957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1544957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1544957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}