{"id":1558135,"date":"2025-02-27T16:12:31","date_gmt":"2025-02-27T18:12:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/silver-fox-apt-utilise-des-logiciels-malveillants-winos-4-0-dans-les-cyberattaques-contre-les-organisations-taiwanaises\/"},"modified":"2025-02-27T16:12:36","modified_gmt":"2025-02-27T18:12:36","slug":"silver-fox-apt-utilise-des-logiciels-malveillants-winos-4-0-dans-les-cyberattaques-contre-les-organisations-taiwanaises","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/silver-fox-apt-utilise-des-logiciels-malveillants-winos-4-0-dans-les-cyberattaques-contre-les-organisations-taiwanaises\/","title":{"rendered":"Silver Fox Apt utilise des logiciels malveillants WinOS 4.0 dans les cyberattaques contre les organisations ta\u00efwanaises"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence malveillante \/ menace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Silver-Fox-Apt-utilise-des-logiciels-malveillants-WinOS-40-dans.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Une nouvelle campagne vise des soci\u00e9t\u00e9s \u00e0 Taiwan avec des logiciels malveillants connus sous le nom <strong>Winos 4.0<\/strong> Dans le cadre des e-mails de phishing se faisant passer pour le Bureau national fiscal du pays.<\/p>\n<p>La campagne, d\u00e9tect\u00e9e le mois dernier par Fortinet Fortiguard Labs, marque un \u00e9cart par rapport aux cha\u00eenes d&#8217;attaque pr\u00e9c\u00e9dentes qui ont exploit\u00e9 des applications li\u00e9es au jeu malveillantes.<\/p>\n<p>&#8220;L&#8217;exp\u00e9diteur a affirm\u00e9 que le fichier malveillant joint \u00e9tait une liste des entreprises pr\u00e9vue pour l&#8217;inspection fiscale et a demand\u00e9 au s\u00e9questre de transmettre les informations au tr\u00e9sorier de leur entreprise&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Pei Han Liao <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/winos-spreads-via-impersonation-of-official-email-to-target-users-in-taiwan\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<p>La pi\u00e8ce jointe imite un document officiel du minist\u00e8re des Finances, exhortant le destinataire \u00e0 t\u00e9l\u00e9charger la liste des entreprises pr\u00e9vue pour l&#8217;inspection fiscale.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Mais en r\u00e9alit\u00e9, la liste est un fichier zip contenant une DLL malveillante (&#8220;lastbld2base.dll&#8221;) qui jette les bases de la prochaine \u00e9tape d&#8217;attaque, conduisant \u00e0 l&#8217;ex\u00e9cution de Shellcode qui est responsable du t\u00e9l\u00e9chargement d&#8217;un module WINOS 4.0 \u00e0 partir d&#8217;un serveur distant (&#8220;206.238.221[.]60 &#8220;) pour la collecte de donn\u00e9es sensibles.<\/p>\n<p>Le composant, d\u00e9crit comme un module de connexion, est capable de prendre des captures d&#8217;\u00e9cran, de journaliser les touches, de modifier le contenu du presse-papiers, de surveiller les p\u00e9riph\u00e9riques USB connect\u00e9s, d&#8217;ex\u00e9cuter ShellCode et de permettre l&#8217;ex\u00e9cution d&#8217;actions sensibles (par exemple, CMD.EXE) lorsque les invites de s\u00e9curit\u00e9 de Kingsoft Security et Huorong sont affich\u00e9es.<\/p>\n<p>Fortinet a d\u00e9clar\u00e9 qu&#8217;il avait \u00e9galement observ\u00e9 une deuxi\u00e8me cha\u00eene d&#8217;attaque qui t\u00e9l\u00e9charge un <a rel=\"noopener nofollow\" href=\"https:\/\/www.esentire.com\/blog\/winos4-0-online-module-staging-component-used-in-cleversoar-campaign\" target=\"_blank\">module en ligne<\/a> Cela peut capturer des captures d&#8217;\u00e9cran des banques WeChat et en ligne.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Silver-Fox-Apt-utilise-des-logiciels-malveillants-WinOS-40-dans.jpeg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Silver-Fox-Apt-utilise-des-logiciels-malveillants-WinOS-40-dans.jpeg\" alt=\"\" border=\"0\" data-original-height=\"316\" data-original-width=\"1091\"\/><\/a><\/div>\n<p>Il convient de noter que le <a rel=\"noopener nofollow\" href=\"https:\/\/hunt.io\/blog\/unearthing-new-infrastructure-by-revisiting-past-threat-reports\" target=\"_blank\">ensemble d&#8217;intrusion<\/a> La distribution des logiciels malveillants WinOS 4.0 a \u00e9t\u00e9 attribu\u00e9 aux surnoms Void Arachne et Silver Fox, le malware se chevauchant \u00e9galement avec un autre cheval de Troie \u00e0 distance suivi comme Valleyrat.<\/p>\n<p>&#8220;Ils sont tous deux d\u00e9riv\u00e9s de la m\u00eame source: Gh0st Rat, qui a \u00e9t\u00e9 d\u00e9velopp\u00e9 en Chine et open-open en 2008&#8221;, a d\u00e9clar\u00e9 Daniel Dos Santos, responsable de la recherche en mati\u00e8re de s\u00e9curit\u00e9 au Vedere Labs de ForeScout, au Hacker News.<\/p>\n<p>&#8220;Winos et Valleyrat sont des variations de rat Gh0st attribu\u00e9es \u00e0 Silver Fox par diff\u00e9rents chercheurs \u00e0 diff\u00e9rents moments. Winos \u00e9tait un nom couramment utilis\u00e9 en 2023 et 2024 tandis que maintenant Valleyrat est plus couramment utilis\u00e9. L&#8217;outil \u00e9volue constamment, et il a \u00e0 la fois des capacit\u00e9s locales de tro \/ rat ainsi qu&#8217;un serveur de commandement.&#8221;<\/p>\n<p><a rel=\"noopener nofollow\" href=\"https:\/\/www.splunk.com\/en_us\/blog\/security\/valleyrat-insights-tactics-techniques-and-detection-methods.html\" target=\"_blank\">Vall\u00e9e<\/a>identifi\u00e9 pour la premi\u00e8re fois au d\u00e9but de 2023, a \u00e9t\u00e9 r\u00e9cemment observ\u00e9 \u00e0 l&#8217;aide de faux sites chrom\u00e9s comme un conduit pour infecter les utilisateurs de langue chinoise. Des sch\u00e9mas de t\u00e9l\u00e9chargement similaires ont \u00e9galement \u00e9t\u00e9 utilis\u00e9s pour livrer GH0st Rat.<\/p>\n<p>En outre, les cha\u00eenes d&#8217;attaque WINOS 4.0 ont incorpor\u00e9 ce qu&#8217;on appelle un programme d&#8217;installation intelligent qui est ex\u00e9cut\u00e9 au moyen d&#8217;un package d&#8217;installation MSI distribu\u00e9 sous forme de faux logiciels ou d&#8217;applications li\u00e9es au jeu. Aussi abandonn\u00e9 aux c\u00f4t\u00e9s de Winos 4.0 via SleverSoar est l&#8217;Open-source <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/Idov31\/Nidhogg\" target=\"_blank\">Nidhogg<\/a> rootkit. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Le programme d&#8217;installation de CleverSoar [&#8230;] V\u00e9rifie les param\u00e8tres linguistiques de l&#8217;utilisateur pour v\u00e9rifier s&#8217;ils sont d\u00e9finis sur chinois ou vietnamien &#8220;,&#8221; Rapid7 <a rel=\"noopener nofollow\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2024\/11\/27\/new-cleversoar-installer-targets-chinese-and-vietnamese-users\/\" target=\"_blank\">not\u00e9<\/a> Fin novembre 2024. &#8220;Si la langue n&#8217;est pas reconnue, l&#8217;installateur se termine, emp\u00eachant efficacement les infections. Ce comportement sugg\u00e8re fortement que l&#8217;acteur de menace vise principalement les victimes dans ces r\u00e9gions.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740679951_578_Silver-Fox-Apt-utilise-des-logiciels-malveillants-WinOS-40-dans.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740679951_578_Silver-Fox-Apt-utilise-des-logiciels-malveillants-WinOS-40-dans.png\" alt=\"\" border=\"0\" data-original-height=\"2062\" data-original-width=\"1920\"\/><\/a><\/div>\n<p>La divulgation intervient alors que l&#8217;Argent Fox APT a \u00e9t\u00e9 li\u00e9 \u00e0 une nouvelle campagne qui exploite les versions trojanis\u00e9es de Philips Dicom Visionneurs \u00e0 d\u00e9ployer Valleyrat, qui est ensuite utilis\u00e9 pour laisser tomber un Keylogger et un mineur de crypto-monnaie sur les ordinateurs victimes. Il a notamment trouv\u00e9 que les attaques utilisent une version vuln\u00e9rable du conducteur Truesight pour d\u00e9sactiver les logiciels antivirus.<\/p>\n<p>&#8220;Cette campagne tire parti des t\u00e9l\u00e9spectateurs DICOM trojanis\u00e9s comme des leurres pour infecter les syst\u00e8mes de victimes par une porte d\u00e9rob\u00e9e (Valleyrat) pour un acc\u00e8s et un contr\u00f4le \u00e0 distance, un keylogger pour capturer l&#8217;activit\u00e9 des utilisateurs et les informations d&#8217;identification, et un mineur cryptographique pour exploiter les ressources du syst\u00e8me pour un gain financier&#8221;, pr\u00e9voyant <a rel=\"noopener nofollow\" href=\"https:\/\/www.forescout.com\/blog\/healthcare-malware-hunt-part-1-silver-fox-apt-targets-philips-dicom-viewers\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/silver-fox-apt-uses-winos-40-malware-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 f\u00e9vrier 2025\ue804Ravie LakshmananIntelligence malveillante \/ menace Une nouvelle campagne vise des soci\u00e9t\u00e9s \u00e0 Taiwan avec des logiciels malveillants connus sous le nom Winos 4.0 Dans le cadre des e-mails de phishing se faisant passer pour le Bureau national fiscal du pays. La campagne, d\u00e9tect\u00e9e le mois dernier par Fortinet Fortiguard Labs, marque un \u00e9cart [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1558136,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,26723,4168,841,79002,274264,4161,274263,6124,429,133,4908,65,4589,4590,274267,4160,12070,238617,246491,4172,3400,96093,79016,1282,4166,4164,24548],"class_list":["post-1558135","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-apt","tag-comment-pirater","tag-contre","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dans","tag-des","tag-fox","tag-les","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-organisations","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-silver","tag-taiwanaises","tag-the-hacker-news","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-winos"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1558135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1558135"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1558135\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1558136"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1558135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1558135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1558135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}