{"id":1547642,"date":"2025-02-20T09:58:24","date_gmt":"2025-02-20T11:58:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-attaquants-lies-au-chinois-exploitent-le-point-de-cheque-pour-deployer-shadowpad-et-ransomware\/"},"modified":"2025-02-20T09:58:29","modified_gmt":"2025-02-20T11:58:29","slug":"les-attaquants-lies-au-chinois-exploitent-le-point-de-cheque-pour-deployer-shadowpad-et-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-attaquants-lies-au-chinois-exploitent-le-point-de-cheque-pour-deployer-shadowpad-et-ransomware\/","title":{"rendered":"Les attaquants li\u00e9s au chinois exploitent le point de ch\u00e8que pour d\u00e9ployer ShadowPad et Ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ransomware \/ vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-attaquants-lies-au-chinois-exploitent-le-point-de-cheque.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un cluster d&#8217;activit\u00e9s de menace inconnu ciblait les organisations europ\u00e9ennes, en particulier celles du secteur de la sant\u00e9, pour d\u00e9ployer Plugx et son successeur, ShadowPad, les intrusions conduisant finalement au d\u00e9ploiement d&#8217;un ransomware appel\u00e9 Nailaolocker dans certains cas.<\/p>\n<p>La campagne, nomm\u00e9e Green Nailao par Orange Cyberdefense CERT, a impliqu\u00e9 l&#8217;exploitation d&#8217;un nouveau d\u00e9faut de s\u00e9curit\u00e9 paralys\u00e9 dans les produits de s\u00e9curit\u00e9 du r\u00e9seau de point de contr\u00f4le (CVE-2024-24919, score CVSS: 7,5). Les attaques ont \u00e9t\u00e9 observ\u00e9es entre juin et octobre 2024.<\/p>\n<p>&#8220;La campagne s&#8217;est appuy\u00e9e sur le d\u00e9tournement de l&#8217;ordre de recherche DLL pour d\u00e9ployer ShadowPad et Plugx &#8211; deux implants souvent associ\u00e9s aux intrusions cibl\u00e9es en Chine-Nexus&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.orangecyberdefense.com\/global\/blog\/cert-news\/meet-nailaolocker-a-ransomware-distributed-in-europe-by-shadowpad-and-plugx-backdoors\" target=\"_blank\">dit<\/a> Dans un rapport technique partag\u00e9 avec le Hacker News.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;acc\u00e8s initial offert par l&#8217;exploitation des instances de point de contr\u00f4le vuln\u00e9rable aurait permis aux acteurs de la menace de r\u00e9cup\u00e9rer les informations d&#8217;identification des utilisateurs et de se connecter au VPN \u00e0 l&#8217;aide d&#8217;un compte l\u00e9gitime.<\/p>\n<p>Dans la prochaine \u00e9tape, les attaquants ont r\u00e9alis\u00e9 une reconnaissance du r\u00e9seau et un mouvement lat\u00e9ral via le protocole de bureau \u00e9loign\u00e9 (RDP) pour obtenir des privil\u00e8ges \u00e9lev\u00e9s, suivis par l&#8217;ex\u00e9cution d&#8217;un binaire l\u00e9gitime (&#8220;logger.exe&#8221;) pour la relocolent une dll rogue (&#8220;LOGEXTS.DLL&#8221; ) Cela sert ensuite de chargeur pour une nouvelle version du logiciel malveillant ShadowPad.<\/p>\n<p>Les it\u00e9rations pr\u00e9c\u00e9dentes des attaques d\u00e9tect\u00e9es en ao\u00fbt 2024 se sont av\u00e9r\u00e9es tirer parti de Tradecraft similaire pour livrer Plugx, qui utilise \u00e9galement le chargement lat\u00e9ral DLL \u00e0 l&#8217;aide d&#8217;un ex\u00e9cutable McAfee (&#8220;MCOEMCPY.EXE&#8221;) \u00e0 Sideload &#8220;McUtil.dll&#8221;.<\/p>\n<p>Comme Plugx, ShadowPad est un malware vendu priv\u00e9 utilis\u00e9 exclusivement par les acteurs d&#8217;espionnage chinois depuis au moins 2015. La variante identifi\u00e9e par Orange CyberDefense CERT propose une obfuscation sophistiqu\u00e9e et des mesures anti-d\u00e9bugs, en ainsi qu&#8217;\u00e9tablir une communication avec un serveur distant pour cr\u00e9er un acc\u00e8s \u00e0 distance persistant \u00e0 Syst\u00e8mes de victimes. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740052703_127_Les-attaquants-lies-au-chinois-exploitent-le-point-de-cheque.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740052703_127_Les-attaquants-lies-au-chinois-exploitent-le-point-de-cheque.png\" alt=\"\" border=\"0\" data-original-height=\"676\" data-original-width=\"698\"\/><\/a><\/div>\n<p>Il existe des preuves sugg\u00e9rant que les acteurs de la menace ont tent\u00e9 d&#8217;exfiltrer les donn\u00e9es en acc\u00e9dant au syst\u00e8me de fichiers et en cr\u00e9ant des archives ZIP. Les intrusions culminent avec l&#8217;utilisation de Windows Management Instrumentation (WMI) pour transmettre trois fichiers, un ex\u00e9cutable l\u00e9gitime sign\u00e9 par Beijing Huorong Network Technology Co., Ltd (&#8220;Usysdiag.exe&#8221;), un chargeur nomm\u00e9 Nailaoloader (&#8220;Sensapi.Dll&#8221;) et Nailaolocker (&#8220;usysdiag.exe.dat&#8221;).<\/p>\n<p>Encore une fois, le fichier DLL est col\u00e9\u00e9 via &#8220;usysdiag.exe&#8221; pour d\u00e9crypter et d\u00e9clencher l&#8217;ex\u00e9cution de Nailaolocker, un ransomware bas\u00e9 sur C ++ qui crypte les fichiers, les ajoute avec une extension &#8220;. Bloqu\u00e9e&#8221; et laisse tomber une note de ran\u00e7on qui exige les victimes des victimes Pour effectuer un paiement Bitcoin ou contactez-les \u00e0 une adresse courante Proton.<\/p>\n<p>&#8220;Nailaolocker est relativement peu sophistiqu\u00e9 et mal con\u00e7u, apparemment pas destin\u00e9 \u00e0 garantir un chiffrement complet&#8221;, a d\u00e9clar\u00e9 les chercheurs Marine Pichon et Alexis Bonnefoi.<\/p>\n<p>&#8220;Il ne scanne pas les partages du r\u00e9seau, il n&#8217;arr\u00eate pas les services ou les processus qui pourraient emp\u00eacher le chiffrement de certains fichiers importants, [and] Il ne contr\u00f4le pas s&#8217;il est d\u00e9bogu\u00e9. &#8220;<\/p>\n<p>Orange a attribu\u00e9 l&#8217;activit\u00e9 avec une confiance moyenne \u00e0 un acteur de menace align\u00e9 chinois en raison de l&#8217;utilisation de l&#8217;implant de ShadowPad, de l&#8217;utilisation de techniques de chargement lat\u00e9rales DLL et du fait que des sch\u00e9mas de ransomware similaires ont \u00e9t\u00e9 attribu\u00e9s \u00e0 un autre groupe de menace chinois doubl\u00e9 de bronze Lumi\u00e8re des \u00e9toiles.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>De plus, l&#8217;utilisation de &#8220;UsysDiag.exe&#8221; pour les charges utiles \u00e0 la touche \u00e0 la touche a pr\u00e9c\u00e9demment \u00e9t\u00e9 observ\u00e9e dans les attaques mont\u00e9es par un ensemble d&#8217;intrusion li\u00e9 \u00e0 la Chine suivi par Sophos sous le nom de nom Alpha (aka STAC1248).<\/p>\n<p>Bien que les objectifs exacts de la campagne Espionage-Cum-Ransomware ne soient pas clairs, il est soup\u00e7onn\u00e9 que les acteurs de la menace cherchent \u00e0 r\u00e9aliser des b\u00e9n\u00e9fices rapides de c\u00f4t\u00e9.<\/p>\n<p>&#8220;Cela pourrait aider \u00e0 expliquer le contraste de sophistication entre ShadowPad et Nailaolocker, avec Nailaolocker qui tente parfois d&#8217;imiter les techniques de chargement de Shadowpad&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;Bien que de telles campagnes puissent parfois \u00eatre men\u00e9es de mani\u00e8re opportuniste, elles permettent souvent aux groupes de menaces d&#8217;acc\u00e9der \u00e0 des syst\u00e8mes d&#8217;information qui peuvent \u00eatre utilis\u00e9s plus tard pour mener d&#8217;autres op\u00e9rations offensives.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/chinese-linked-attackers-exploit-check.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 f\u00e9vrier 2025\ue804Ravie LakshmananRansomware \/ vuln\u00e9rabilit\u00e9 Un cluster d&#8217;activit\u00e9s de menace inconnu ciblait les organisations europ\u00e9ennes, en particulier celles du secteur de la sant\u00e9, pour d\u00e9ployer Plugx et son successeur, ShadowPad, les intrusions conduisant finalement au d\u00e9ploiement d&#8217;un ransomware appel\u00e9 Nailaolocker dans certains cas. La campagne, nomm\u00e9e Green Nailao par Orange Cyberdefense CERT, a impliqu\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1547643,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,11865,14178,5663,4168,79002,274264,4161,274263,6124,9886,8736,65,11272,274267,4160,562,185,4392,238617,246491,4172,83812,79016,4166,4164],"class_list":["post-1547642","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaquants","tag-cheque","tag-chinois","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deployer","tag-exploitent","tag-les","tag-lies","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-point","tag-pour","tag-ransomware","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-shadowpad","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1547642","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1547642"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1547642\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1547643"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1547642"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1547642"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1547642"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}