{"id":1554403,"date":"2025-02-25T05:12:15","date_gmt":"2025-02-25T07:12:15","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-attaques-de-phishing-fatalrat-ciblent-les-industries-apac-en-utilisant-des-services-de-cloud-chinois\/"},"modified":"2025-02-25T05:12:23","modified_gmt":"2025-02-25T07:12:23","slug":"les-attaques-de-phishing-fatalrat-ciblent-les-industries-apac-en-utilisant-des-services-de-cloud-chinois","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-attaques-de-phishing-fatalrat-ciblent-les-industries-apac-en-utilisant-des-services-de-cloud-chinois\/","title":{"rendered":"Les attaques de phishing fatalrat ciblent les industries APAC en utilisant des services de cloud chinois"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-attaques-de-phishing-fatalrat-ciblent-les-industries-APAC-en.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Diverses organisations industrielles de la r\u00e9gion Asie-Pacifique (APAC) ont \u00e9t\u00e9 cibl\u00e9es dans le cadre des attaques de phishing con\u00e7ues pour fournir un logiciel malveillant connu appel\u00e9 Fatalrat.<\/p>\n<p>&#8220;La menace a \u00e9t\u00e9 orchestr\u00e9e par les attaquants en utilisant le r\u00e9seau de livraison de contenu cloud chinois l\u00e9gitime (CDN) MyQCloud et le service Youdao Cloud Notes dans le cadre de leur infrastructure d&#8217;attaque&#8221;, Kaspersky ICS CERT <a rel=\"noopener nofollow\" href=\"https:\/\/ics-cert.kaspersky.com\/publications\/reports\/2025\/02\/24\/fatalrat-attacks-in-apac-backdoor-delivered-via-an-overly-long-infection-chain-to-chinese-speaking-targets\/\" target=\"_blank\">dit<\/a> Dans un rapport lundi.<\/p>\n<p>&#8220;Les attaquants ont utilis\u00e9 un cadre sophistiqu\u00e9 de livraison de charge utile en plusieurs \u00e9tapes pour assurer l&#8217;\u00e9vasion de la d\u00e9tection.&#8221;<\/p>\n<p>L&#8217;activit\u00e9 a distingu\u00e9 les agences gouvernementales et les organisations industrielles, en particulier la fabrication, la construction, les technologies de l&#8217;information, les t\u00e9l\u00e9communications, les soins de sant\u00e9, l&#8217;\u00e9nergie et l&#8217;\u00e9nergie, et la logistique et les transports \u00e0 grande \u00e9chelle, \u00e0 Ta\u00efwan, en Malaisie, en Chine, au Japon, en Tha\u00eflande, en Cor\u00e9e du Sud, \u00e0 Singapour, , les Philippines, le Vietnam et Hong Kong.<\/p>\n<p>Les pi\u00e8ces jointes utilis\u00e9es dans les e-mails sugg\u00e8rent que la campagne de phishing est con\u00e7ue pour s&#8217;attaquer aux personnes de langue chinoise.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il convient de noter que <a rel=\"noopener nofollow\" href=\"https:\/\/levelblue.com\/blogs\/labs-research\/new-sophisticated-rat-in-town-fatalrat-analysis\" target=\"_blank\">Fatalrat<\/a> Les campagnes ont pr\u00e9c\u00e9demment exploit\u00e9 des fausses publicit\u00e9s Google en tant que vecteur de distribution. En septembre 2023, Proofpoint a document\u00e9 une autre campagne de phishing par e-mail qui a propag\u00e9 diverses familles de logiciels malveillants tels que Fatalrat, Gh0st Rat, Purple Fox et Valleyrat.<\/p>\n<p>Un aspect int\u00e9ressant des deux ensembles d&#8217;intrusion est qu&#8217;ils ont principalement cibl\u00e9 des orateurs chinois et des organisations japonaises. Certaines de ces activit\u00e9s ont \u00e9t\u00e9 attribu\u00e9es \u00e0 un acteur de menace suivi comme Silver Fox Apt.<\/p>\n<p>Le point de d\u00e9part de la derni\u00e8re cha\u00eene d&#8217;attaque est un e-mail de phishing contenant une archive zip avec un nom de fichier chinois, qui, lorsqu&#8217;il est lanc\u00e9, lance le chargeur de premi\u00e8re \u00e9tape qui, \u00e0 son tour, fait une demande \u00e0 Youdao Cloud Notes afin de r\u00e9cup\u00e9rer un fichier DLL et un configurateur fatalrat.<\/p>\n<p>Pour sa part, le module de configurator t\u00e9l\u00e9charge le contenu d&#8217;une autre note de note.youdao[.]com afin d&#8217;acc\u00e9der aux informations de configuration. Il est \u00e9galement con\u00e7u pour ouvrir un fichier de leurre dans le but d&#8217;\u00e9viter de soutenir les soup\u00e7ons.<\/p>\n<p>La DLL, en revanche, est un chargeur de deuxi\u00e8me \u00e9tape qui est responsable du t\u00e9l\u00e9chargement et de l&#8217;installation de la charge utile Fatalrat d&#8217;un serveur (&#8220;MyQCloud[.]com &#8220;) sp\u00e9cifi\u00e9 dans la configuration, tout en affichant un faux message d&#8217;erreur sur un probl\u00e8me ex\u00e9cutant l&#8217;application.<\/p>\n<p>Une caract\u00e9ristique importante de la campagne comprend l&#8217;utilisation de techniques de chargement lat\u00e9ral DLL pour faire avancer la s\u00e9quence d&#8217;infection en plusieurs \u00e9tapes et charger le malware Fatalrat.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740467533_412_Les-attaques-de-phishing-fatalrat-ciblent-les-industries-APAC-en.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740467533_412_Les-attaques-de-phishing-fatalrat-ciblent-les-industries-APAC-en.png\" alt=\"\" border=\"0\" data-original-height=\"1005\" data-original-width=\"1063\"\/><\/a><\/div>\n<p>&#8220;L&#8217;acteur de menace utilise une m\u00e9thode en noir et blanc o\u00f9 l&#8217;acteur exploite la fonctionnalit\u00e9 des binaires l\u00e9gitimes pour faire ressembler la cha\u00eene d&#8217;\u00e9v\u00e9nements \u00e0 une activit\u00e9 normale&#8221;, a d\u00e9clar\u00e9 Kaspersky. &#8220;Les attaquants ont \u00e9galement utilis\u00e9 une technique de chargement lat\u00e9ral DLL pour cacher la persistance des logiciels malveillants dans la m\u00e9moire de processus l\u00e9gitime.&#8221;<\/p>\n<p>&#8220;Fatalrat effectue 17 v\u00e9rifie un indicateur que le malware ex\u00e9cute dans un environnement de machine virtuelle ou de bac \u00e0 sable. Si l&#8217;un des v\u00e9rifications \u00e9choue, le malware cesse d&#8217;ex\u00e9cuter.&#8221;<\/p>\n<p>Il met \u00e9galement fin \u00e0 toutes les instances du processus Rundll32.exe et rassemble des informations sur le syst\u00e8me et les diff\u00e9rentes solutions de s\u00e9curit\u00e9 qui y sont install\u00e9es, avant d&#8217;attendre d&#8217;autres instructions d&#8217;un serveur de commande et de contr\u00f4le (C2).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Fatalrat est un cheval de Troie rempli de fonctionnalit\u00e9s qui est \u00e9quip\u00e9 pour enregistrer les frappes, un enregistrement de d\u00e9marrage principal corrompu (MBR), activer \/ d\u00e9sactiver l&#8217;\u00e9cran, rechercher et supprimer les donn\u00e9es utilisateur dans des navigateurs comme Google Chrome et Internet Explorer, t\u00e9l\u00e9charger des logiciels suppl\u00e9mentaires comme AnyDesk et Ultraviewer, effectuer Google Chrome et Internet Fichier des op\u00e9rations et d\u00e9marrer \/ arr\u00eater un proxy et terminer les processus arbitraires.<\/p>\n<p>On ne sait actuellement pas qui est derri\u00e8re les attaques utilisant Fatalrat, bien que la tactique et l&#8217;instrumentation chevauchent d&#8217;autres campagnes sugg\u00e8rent que &#8220;ils refl\u00e8tent tous diff\u00e9rentes s\u00e9ries d&#8217;attaques qui sont en quelque sorte li\u00e9es&#8221;. Kaspersky a \u00e9valu\u00e9 avec une confiance moyenne qu&#8217;un acteur de menace chinois est derri\u00e8re.<\/p>\n<p>&#8220;La fonctionnalit\u00e9 de Fatalrat donne \u00e0 un attaquant des possibilit\u00e9s presque illimit\u00e9es de d\u00e9velopper une attaque: se propager sur un r\u00e9seau, installer des outils d&#8217;administration \u00e0 distance, manipuler des appareils, voler et supprimer des informations confidentielles&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;L&#8217;utilisation coh\u00e9rente des services et des interfaces en chinois \u00e0 divers stades de l&#8217;attaque, ainsi que d&#8217;autres preuves indirectes, indique qu&#8217;un acteur de langue chinois peut \u00eatre impliqu\u00e9.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/fatalrat-phishing-attacks-target-apac.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Diverses organisations industrielles de la r\u00e9gion Asie-Pacifique (APAC) ont \u00e9t\u00e9 cibl\u00e9es dans le cadre des attaques de phishing con\u00e7ues pour fournir un logiciel malveillant connu appel\u00e9 Fatalrat. &#8220;La menace a \u00e9t\u00e9 orchestr\u00e9e par les attaquants en utilisant le r\u00e9seau de livraison de contenu cloud chinois l\u00e9gitime (CDN) MyQCloud et le service Youdao Cloud Notes dans [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1554404,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,130388,8074,5663,5863,22780,4168,79002,274264,4161,274263,6124,133,37893,18433,65,274267,4160,8153,238617,246491,4172,3831,79016,20349,4166,4164],"class_list":["post-1554403","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-apac","tag-attaques","tag-chinois","tag-ciblent","tag-cloud","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-fatalrat","tag-industries","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-phishing","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-services","tag-the-hacker-news","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1554403","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1554403"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1554403\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1554404"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1554403"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1554403"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1554403"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}