{"id":1586329,"date":"2025-03-19T14:50:48","date_gmt":"2025-03-19T16:50:48","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-une-faille-php-severe-pour-deployer-des-mineurs-de-rat-quasar-et-xmri\/"},"modified":"2025-03-19T14:50:53","modified_gmt":"2025-03-19T16:50:53","slug":"les-pirates-exploitent-une-faille-php-severe-pour-deployer-des-mineurs-de-rat-quasar-et-xmri","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-une-faille-php-severe-pour-deployer-des-mineurs-de-rat-quasar-et-xmri\/","title":{"rendered":"Les pirates exploitent une faille PHP s\u00e9v\u00e8re pour d\u00e9ployer des mineurs de rat quasar et XMRI"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence de menace \/ cryptojacking<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-exploitent-une-faille-PHP-severe-pour-deployer-des.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les acteurs de la menace exploitent une faille de s\u00e9curit\u00e9 s\u00e9v\u00e8re en PHP pour livrer des mineurs de crypto-monnaie et des chevaux de Troie \u00e0 distance (rats) comme le rat quasar.<\/p>\n<p>La vuln\u00e9rabilit\u00e9, attribu\u00e9e \u00e0 l&#8217;identifiant CVE CVE-2024-4577, fait r\u00e9f\u00e9rence \u00e0 une vuln\u00e9rabilit\u00e9 d&#8217;injection d&#8217;argument dans PHP affectant les syst\u00e8mes Windows ex\u00e9cut\u00e9s en mode CGI qui pourraient permettre aux attaquants distants d&#8217;ex\u00e9cuter du code arbitraire.<\/p>\n<p>Bitdefender de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.bitdefender.com\/en-us\/blog\/businessinsights\/technical-advisory-update-mass-exploitation-cve-2024-4577\" target=\"_blank\">dit<\/a> Il a observ\u00e9 une augmentation des tentatives d&#8217;exploitation contre CVE-2024-4577 depuis la fin de l&#8217;ann\u00e9e derni\u00e8re, avec une concentration significative signal\u00e9e \u00e0 Ta\u00efwan (54,65%), Hong Kong (27,06%), le Br\u00e9sil (16,39%), le Japon (1,57%) et l&#8217;Inde (0,33%).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Environ 15% des tentatives d&#8217;exploitation d\u00e9tect\u00e9es impliquent des v\u00e9rifications de vuln\u00e9rabilit\u00e9 de base \u00e0 l&#8217;aide de commandes comme &#8220;Whoami&#8221; et &#8220;Echo <test_string>\u00abUn autre 15% tourne autour des commandes utilis\u00e9es pour la reconnaissance du syst\u00e8me, telles que l&#8217;\u00e9num\u00e9ration de processus, la d\u00e9couverte de r\u00e9seau, les informations sur les utilisateurs et le domaine et la collecte des m\u00e9tadonn\u00e9es du syst\u00e8me.<\/test_string><\/p>\n<p>Martin Zugec, directeur des solutions techniques chez Bitdefender, a not\u00e9 qu&#8217;au moins environ 5% des attaques d\u00e9tect\u00e9es ont abouti au d\u00e9ploiement du mineur de crypto-monnaie XMRIG.<\/p>\n<p>&#8220;Une autre campagne plus petite impliquait le d\u00e9ploiement de mineurs de Nicehash, une plate-forme qui permet aux utilisateurs de vendre la puissance informatique pour la crypto-monnaie&#8221;, a ajout\u00e9 Zugec. &#8220;Le processus de mineur \u00e9tait d\u00e9guis\u00e9 en une application l\u00e9gitime, telle que javawindows.exe, pour \u00e9chapper \u00e0 la d\u00e9tection.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742403047_160_Les-pirates-exploitent-une-faille-PHP-severe-pour-deployer-des.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742403047_160_Les-pirates-exploitent-une-faille-PHP-severe-pour-deployer-des.png\" alt=\"PHP Flaw pour d\u00e9ployer Quasar Rat\" border=\"0\" data-original-height=\"420\" data-original-width=\"728\" title=\"PHP Flaw pour d\u00e9ployer Quasar Rat\"\/><\/a><\/div>\n<p>D&#8217;autres attaques ont \u00e9t\u00e9 trouv\u00e9es pour armer la lacune de la livraison d&#8217;outils d&#8217;acc\u00e8s \u00e0 distance comme le rat quasar open source, ainsi que des fichiers d&#8217;installation Windows malveillants (MSI) h\u00e9berg\u00e9s sur des serveurs distants \u00e0 l&#8217;aide de cmd.exe.<\/p>\n<p>Dans peut-\u00eatre une tournure curieuse, la soci\u00e9t\u00e9 roumaine a d\u00e9clar\u00e9 qu&#8217;elle avait \u00e9galement observ\u00e9 des tentatives de modification des configurations de pare-feu sur des serveurs vuln\u00e9rables dans le but de bloquer l&#8217;acc\u00e8s \u00e0 des IP malveillants connus associ\u00e9s \u00e0 l&#8217;exploit.<\/p>\n<p>Ce comportement inhabituel a soulev\u00e9 la possibilit\u00e9 que des groupes de cryptojacking rivaux soient en concurrence pour le contr\u00f4le des ressources sensibles et les emp\u00eachant de cibler les personnes sous leur contr\u00f4le une deuxi\u00e8me fois. Cela est \u00e9galement conforme aux observations historiques sur la fa\u00e7on dont les attaques de cryptjacking sont connues pour mettre fin aux processus de mineurs rivaux avant de d\u00e9ployer leurs propres charges utiles.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le d\u00e9veloppement survient peu de temps apr\u00e8s que Cisco Talos a r\u00e9v\u00e9l\u00e9 que les d\u00e9tails d&#8217;une campagne arminaient le d\u00e9faut PHP dans les attaques ciblant les organisations japonaises depuis le d\u00e9but de l&#8217;ann\u00e9e.<\/p>\n<p>Il est conseill\u00e9 aux utilisateurs de mettre \u00e0 jour leurs installations PHP vers la derni\u00e8re version pour sauvegarder contre les menaces potentielles.<\/p>\n<p>&#8220;\u00c9tant donn\u00e9 que la plupart des campagnes utilisent des outils LOTL, les organisations devraient envisager de limiter l&#8217;utilisation d&#8217;outils tels que PowerShell dans l&#8217;environnement aux utilisateurs privil\u00e9gi\u00e9s uniquement tels que les administrateurs&#8221;, a d\u00e9clar\u00e9 Zugec.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/hackers-exploit-severe-php-flaw-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 mars 2025\ue804Ravie LakshmananIntelligence de menace \/ cryptojacking Les acteurs de la menace exploitent une faille de s\u00e9curit\u00e9 s\u00e9v\u00e8re en PHP pour livrer des mineurs de crypto-monnaie et des chevaux de Troie \u00e0 distance (rats) comme le rat quasar. La vuln\u00e9rabilit\u00e9, attribu\u00e9e \u00e0 l&#8217;identifiant CVE CVE-2024-4577, fait r\u00e9f\u00e9rence \u00e0 une vuln\u00e9rabilit\u00e9 d&#8217;injection d&#8217;argument dans PHP [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1586330,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,79002,274264,4161,274263,6124,9886,133,8736,9048,65,274267,10821,4160,41463,4394,185,210735,46743,238617,246491,4172,19744,79016,196,4166,4164,287972],"class_list":["post-1586329","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deployer","tag-des","tag-exploitent","tag-faille","tag-les","tag-malware-ransomware","tag-mineurs","tag-mises-a-jour-de-la-cybersecurite","tag-php","tag-pirates","tag-pour","tag-quasar","tag-rat","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-severe","tag-the-hacker-news","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-xmri"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1586329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1586329"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1586329\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1586330"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1586329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1586329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1586329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}