{"id":1554918,"date":"2025-02-25T12:54:26","date_gmt":"2025-02-25T14:54:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/2-500-variantes-de-pilote-truesight-sys-exploitees-pour-contourner-edr-et-deployer-hiddengh0st-rat\/"},"modified":"2025-02-25T12:54:31","modified_gmt":"2025-02-25T14:54:31","slug":"2-500-variantes-de-pilote-truesight-sys-exploitees-pour-contourner-edr-et-deployer-hiddengh0st-rat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/2-500-variantes-de-pilote-truesight-sys-exploitees-pour-contourner-edr-et-deployer-hiddengh0st-rat\/","title":{"rendered":"2 500+ variantes de pilote Truesight.sys exploit\u00e9es pour contourner EDR et d\u00e9ployer Hiddengh0st Rat"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 \/ vuln\u00e9rabilit\u00e9 Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/2-500-variantes-de-pilote-Truesightsys-exploitees-pour-contourner-EDR.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Une campagne de logiciels malveillants \u00e0 grande \u00e9chelle a \u00e9t\u00e9 trouv\u00e9 en tirant parti d&#8217;un pilote Windows vuln\u00e9rable associ\u00e9 \u00e0 la suite de produits d&#8217;Adlice pour contourner les efforts de d\u00e9tection et livrer le malware Gh0st Rat.<\/p>\n<p>&#8220;Pour \u00e9viter davantage la d\u00e9tection, les attaquants ont d\u00e9lib\u00e9r\u00e9ment g\u00e9n\u00e9r\u00e9 plusieurs variantes (avec des hachages diff\u00e9rents) du pilote 2.0.2 en modifiant des pi\u00e8ces PE sp\u00e9cifiques tout en gardant la signature valide&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/research.checkpoint.com\/2025\/large-scale-exploitation-of-legacy-driver\/\" target=\"_blank\">dit<\/a> Dans un nouveau rapport publi\u00e9 lundi.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que l&#8217;activit\u00e9 malveillante impliquait des milliers d&#8217;\u00e9chantillons malveillants en premi\u00e8re sc\u00e8ne qui sont utilis\u00e9s pour d\u00e9ployer un programme capable de mettre fin \u00e0 un logiciel de d\u00e9tection et de r\u00e9ponse (EDR) (EDR) au moyen de ce qu&#8217;on appelle une attaque de conducteur vuln\u00e9rable (BYOVD).<\/p>\n<p>Jusqu&#8217;\u00e0 2 500 variantes distinctes de la version 2.0.2 de Legacy du pilote vuln\u00e9rable Roguekiller Antirootkit, Trugesight.Sys, ont \u00e9t\u00e9 identifi\u00e9es sur la plate-forme Virustotal, bien que le nombre soit probablement plus \u00e9lev\u00e9. Le module EDR-Killer a \u00e9t\u00e9 d\u00e9tect\u00e9 et enregistr\u00e9 pour la premi\u00e8re fois en juin 2024.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le probl\u00e8me avec le conducteur Truesight, un bogue de terminaison de processus de processus arbitraire affectant toutes les versions inf\u00e9rieures \u00e0 3.4.0, a \u00e9t\u00e9 pr\u00e9c\u00e9demment arm\u00e9 pour concevoir des exploits de preuve de concept (POC) tels que <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/ph4nt0mbyt3\/Darkside\" target=\"_blank\">Darkside<\/a> et <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/MaorSabag\/TrueSightKiller\" target=\"_blank\">Truesightkiller<\/a> qui sont accessibles au public depuis au moins novembre 2023.<\/p>\n<p>En mars 2024, Sonicwall a r\u00e9v\u00e9l\u00e9 des d\u00e9tails d&#8217;un chargeur appel\u00e9 DBATloader qui a \u00e9t\u00e9 constat\u00e9 qu&#8217;il avait utilis\u00e9 le pilote Truesight.SYS \u200b\u200b\u00e0 tuer des solutions de s\u00e9curit\u00e9 avant de livrer les logiciels malveillants Remcos Rat.<\/p>\n<p>Il existe des preuves sugg\u00e9rant que la campagne pourrait \u00eatre le travail d&#8217;un acteur de menace appel\u00e9 Silver Fox APT en raison de <a rel=\"noopener nofollow\" href=\"https:\/\/www.huorong.cn\/document\/tech\/vir_report\/1772\" target=\"_blank\">quelques<\/a> Niveau de chevauche dans la cha\u00eene d&#8217;ex\u00e9cution et les m\u00e9tiers utilis\u00e9s, y compris le &#8220;Vector d&#8217;infection, la cha\u00eene d&#8217;ex\u00e9cution, les similitudes dans les \u00e9chantillons de stade initial [&#8230;]et les mod\u00e8les de ciblage historiques. &#8220;<\/p>\n<p>Les s\u00e9quences d&#8217;attaque impliquent la distribution d&#8217;artefacts de premier sc\u00e8ne qui sont souvent d\u00e9guis\u00e9es en applications l\u00e9gitimes et se propagent via des sites Web trompeurs offrant des offres sur les produits de luxe et les canaux frauduleux dans des applications de messagerie populaires comme Telegram.<\/p>\n<p>Les \u00e9chantillons agissent en tant que t\u00e9l\u00e9chargeur, abandonnant la version h\u00e9rit\u00e9e du pilote Truesight, ainsi que la charge utile \u00e0 la prochaine \u00e9tape qui imite les types de fichiers communs, tels que PNG, JPG et GIF. Le logiciel malveillant de deuxi\u00e8me \u00e9tape proc\u00e8de ensuite \u00e0 la r\u00e9cup\u00e9ration d&#8217;un autre malware qui, \u00e0 son tour, charge le module EDR-Killer et le logiciel malveillant GH0ST RAT.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740495265_590_2-500-variantes-de-pilote-Truesightsys-exploitees-pour-contourner-EDR.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740495265_590_2-500-variantes-de-pilote-Truesightsys-exploitees-pour-contourner-EDR.png\" alt=\"Variantes du pilote truesight.sys\" border=\"0\" data-original-height=\"637\" data-original-width=\"1657\" title=\"Variantes du pilote truesight.sys\"\/><\/a><\/div>\n<p>&#8220;Bien que les variantes du pilote Trugesight Legacy (version 2.0.2) soient g\u00e9n\u00e9ralement t\u00e9l\u00e9charg\u00e9es et install\u00e9es par les \u00e9chantillons \u00e0 \u00e9tage initial, ils peuvent \u00e9galement \u00eatre d\u00e9ploy\u00e9s directement par le module EDR \/ AV Killer si le pilote n&#8217;est pas d\u00e9j\u00e0 pr\u00e9sent sur le syst\u00e8me , &#8220;Explice le point de ch\u00e8que.<\/p>\n<p>&#8220;Cela indique que bien que le module EDR \/ AV Killer est pleinement int\u00e9gr\u00e9 \u00e0 la campagne, il est capable de fonctionner ind\u00e9pendamment des \u00e9tapes pr\u00e9c\u00e9dentes.&#8221;<\/p>\n<p>Le module utilise la technique BYOVD pour abuser du conducteur sensible dans le but de mettre fin aux processus li\u00e9s \u00e0 certains logiciels de s\u00e9curit\u00e9. Ce faisant, l&#8217;attaque offre un avantage en ce qu&#8217;elle contourne le <a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/application-security\/application-control\/app-control-for-business\/design\/microsoft-recommended-driver-block-rules\" target=\"_blank\">Liste de blocs de pilote vuln\u00e9rable Microsoft<\/a>un m\u00e9canisme Windows bas\u00e9 sur la valeur de hachage con\u00e7u pour prot\u00e9ger le syst\u00e8me contre les conducteurs vuln\u00e9rables connus.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les attaques ont culmin\u00e9 avec le d\u00e9ploiement d&#8217;une variante de GH0st Rat appel\u00e9 HiddenGH0st, qui est con\u00e7ue pour contr\u00f4ler \u00e0 distance les syst\u00e8mes compromis, offrant aux attaquants un moyen de mener le vol de donn\u00e9es, la surveillance et la manipulation du syst\u00e8me.<\/p>\n<p>Au 17 d\u00e9cembre 2024, Microsoft a mis \u00e0 jour la liste de blocs de pilote pour inclure le pilote en question, bloquant efficacement le vecteur d&#8217;exploitation.<\/p>\n<p>&#8220;En modifiant des parties sp\u00e9cifiques du conducteur tout en pr\u00e9servant sa signature num\u00e9rique, les attaquants ont contourn\u00e9 les m\u00e9thodes de d\u00e9tection courantes, y compris la derni\u00e8re liste de blocs de conducteur vuln\u00e9rable Microsoft et les m\u00e9canismes de d\u00e9tection de Loldrivers, leur permettant d&#8217;\u00e9chapper \u00e0 la d\u00e9tection pendant des mois&#8221;, a d\u00e9clar\u00e9 Check Point.<\/p>\n<p>&#8220;L&#8217;exploitation de la vuln\u00e9rabilit\u00e9 de terminaison de processus arbitraire a permis au module EDR \/ AV Killer pour cibler et d\u00e9sactiver les processus g\u00e9n\u00e9ralement associ\u00e9s aux solutions de s\u00e9curit\u00e9, am\u00e9liorant davantage la furtivit\u00e9 de la campagne.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/2500-truesightsys-driver-variants.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 f\u00e9vrier 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 \/ vuln\u00e9rabilit\u00e9 Windows Une campagne de logiciels malveillants \u00e0 grande \u00e9chelle a \u00e9t\u00e9 trouv\u00e9 en tirant parti d&#8217;un pilote Windows vuln\u00e9rable associ\u00e9 \u00e0 la suite de produits d&#8217;Adlice pour contourner les efforts de d\u00e9tection et livrer le malware Gh0st Rat. &#8220;Pour \u00e9viter davantage la d\u00e9tection, les attaquants ont d\u00e9lib\u00e9r\u00e9ment g\u00e9n\u00e9r\u00e9 plusieurs [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1554919,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,11696,79002,274264,4161,274263,6124,9886,158321,4808,282820,274267,4160,2017,185,46743,238617,246491,4172,79016,282819,3230,4166,4164],"class_list":["post-1554918","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-contourner","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deployer","tag-edr","tag-exploitees","tag-hiddengh0st","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pilote","tag-pour","tag-rat","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-truesight-sys","tag-variantes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1554918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1554918"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1554918\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1554919"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1554918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1554918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1554918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}