{"id":181277,"date":"2022-06-03T16:47:01","date_gmt":"2022-06-03T18:47:01","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-hackers-chinois-luoyu-utilisent-des-attaques-de-type-man-on-the-side-pour-deployer-la-porte-derobee-de-windealer\/"},"modified":"2022-06-03T16:47:02","modified_gmt":"2022-06-03T18:47:02","slug":"les-hackers-chinois-luoyu-utilisent-des-attaques-de-type-man-on-the-side-pour-deployer-la-porte-derobee-de-windealer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-hackers-chinois-luoyu-utilisent-des-attaques-de-type-man-on-the-side-pour-deployer-la-porte-derobee-de-windealer\/","title":{"rendered":"Les hackers chinois LuoYu utilisent des attaques de type Man-on-the-Side pour d\u00e9ployer la porte d\u00e9rob\u00e9e de WinDealer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur chinois &#8220;extr\u00eamement sophistiqu\u00e9&#8221; de la menace persistante avanc\u00e9e (APT) surnomm\u00e9 <strong>LuoYu<\/strong> a \u00e9t\u00e9 observ\u00e9 en utilisant un outil Windows malveillant appel\u00e9 WinDealer qui est livr\u00e9 au moyen d&#8217;attaques de type &#8220;man-on-the-side&#8221;.<\/p>\n<p>&#8220;Ce d\u00e9veloppement r\u00e9volutionnaire permet \u00e0 l&#8217;acteur de modifier le trafic r\u00e9seau en transit pour ins\u00e9rer des charges utiles malveillantes&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/windealer-dealing-on-the-side\/105946\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport.  &#8220;De telles attaques sont particuli\u00e8rement dangereuses et d\u00e9vastatrices car elles ne n\u00e9cessitent aucune interaction avec la cible pour mener \u00e0 une infection r\u00e9ussie.&#8221;<\/p>\n<p>Connues pour \u00eatre actives depuis 2008, les organisations cibl\u00e9es par LuoYu sont principalement des organisations diplomatiques \u00e9trang\u00e8res \u00e9tablies en Chine et des membres de la communaut\u00e9 universitaire ainsi que des soci\u00e9t\u00e9s financi\u00e8res, de d\u00e9fense, de logistique et de t\u00e9l\u00e9communications.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;utilisation par LuoYu de <a rel=\"nofollow noopener\" href=\"https:\/\/jsac.jpcert.or.jp\/archive\/2022\/pdf\/JSAC2022_7_leon-niwa-ishimaru_en.pdf\" target=\"_blank\">WinDealer<\/a> a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par une soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 ta\u00efwanaise <a rel=\"nofollow noopener\" href=\"https:\/\/teamt5.org\/en\/posts\/japan-security-analyst-conference-2021\/\" target=\"_blank\">\u00c9quipeT5<\/a> lors de la Japan Security Analyst Conference (JSAC) en janvier 2021. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.jpcert.or.jp\/en\/2022\/03\/jsac2022report1.html\" target=\"_blank\">campagnes d&#8217;attaque<\/a> ont utilis\u00e9 le logiciel malveillant pour cibler des entit\u00e9s japonaises, avec des infections isol\u00e9es signal\u00e9es en Autriche, en Allemagne, en Inde, en Russie et aux \u00c9tats-Unis<\/p>\n<p>Parmi les autres outils faisant partie de l&#8217;arsenal de logiciels malveillants de l&#8217;adversaire, citons PlugX et son successeur ShadowPad, qui ont tous deux \u00e9t\u00e9 utilis\u00e9s par divers acteurs chinois de la menace pour atteindre leurs objectifs strat\u00e9giques.  De plus, l&#8217;acteur est connu pour cibler les appareils Linux, macOS et Android.<\/p>\n<p>WinDealer, pour sa part, a \u00e9t\u00e9 livr\u00e9 dans le pass\u00e9 via des sites Web qui agissent comme <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Watering_hole_attack\" target=\"_blank\">points d&#8217;eau<\/a> et sous la forme d&#8217;applications trojanis\u00e9es se faisant passer pour des services de messagerie instantan\u00e9e et d&#8217;h\u00e9bergement vid\u00e9o comme Tencent QQ et Youku.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"392\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1654282021_429_Les-hackers-chinois-LuoYu-utilisent-des-attaques-de-type-Man-on-the-Side.jpg\" \/><\/div>\n<p>Mais le vecteur d&#8217;infection a depuis \u00e9t\u00e9 \u00e9chang\u00e9 contre une autre m\u00e9thode de distribution qui utilise le m\u00e9canisme de mise \u00e0 jour automatique de certaines applications l\u00e9gitimes pour servir une version compromise de l&#8217;ex\u00e9cutable en \u00ab de rares occasions \u00bb.<\/p>\n<p>WinDealer, une plate-forme modulaire de logiciels malveillants \u00e0 la base, est livr\u00e9 avec toutes les cloches et sifflets habituels associ\u00e9s \u00e0 une porte d\u00e9rob\u00e9e traditionnelle, ce qui lui permet d&#8217;aspirer des informations sensibles, de capturer des captures d&#8217;\u00e9cran et d&#8217;ex\u00e9cuter des commandes arbitraires.<\/p>\n<p>Mais l\u00e0 o\u00f9 il se distingue \u00e9galement, c&#8217;est son utilisation d&#8217;un algorithme complexe de g\u00e9n\u00e9ration d&#8217;IP pour s\u00e9lectionner un serveur de commande et de contr\u00f4le (C2) auquel se connecter au hasard \u00e0 partir d&#8217;un pool de 48 000 adresses IP.<\/p>\n<p>&#8220;La seule fa\u00e7on d&#8217;expliquer ces comportements r\u00e9seau apparemment impossibles est de supposer l&#8217;existence d&#8217;un attaquant de l&#8217;homme du c\u00f4t\u00e9 qui est capable d&#8217;intercepter tout le trafic r\u00e9seau et m\u00eame de le modifier si n\u00e9cessaire&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>UN <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Man-on-the-side_attack\" target=\"_blank\">homme \u00e0 c\u00f4t\u00e9<\/a> L&#8217;attaque, similaire \u00e0 une attaque de l&#8217;homme du milieu, permet \u00e0 un intrus malveillant de lire et d&#8217;injecter des messages arbitraires dans un canal de communication, mais pas de modifier ou de supprimer les messages envoy\u00e9s par d&#8217;autres parties.<\/p>\n<p>De telles intrusions misent g\u00e9n\u00e9ralement sur la synchronisation strat\u00e9gique de leurs messages de sorte que la r\u00e9ponse malveillante contenant les donn\u00e9es fournies par l&#8217;attaquant soit envoy\u00e9e en r\u00e9ponse \u00e0 la demande d&#8217;une victime pour une ressource Web avant la r\u00e9ponse r\u00e9elle du serveur.<\/p>\n<p>Le fait que l&#8217;acteur de la menace soit capable de contr\u00f4ler une gamme aussi vaste d&#8217;adresses IP pourrait \u00e9galement expliquer le d\u00e9tournement du m\u00e9canisme de mise \u00e0 jour associ\u00e9 aux applications authentiques pour fournir la charge utile WinDealer, a soulign\u00e9 Kaspersky.<\/p>\n<p>&#8220;Les attaques de l&#8217;homme sur le c\u00f4t\u00e9 sont extr\u00eamement destructrices car la seule condition n\u00e9cessaire pour attaquer un appareil est qu&#8217;il soit connect\u00e9 \u00e0 Internet&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Suguru Ishimaru.<\/p>\n<p>\u00ab Quelle que soit la mani\u00e8re dont l&#8217;attaque a \u00e9t\u00e9 men\u00e9e, le seul moyen pour les victimes potentielles de se d\u00e9fendre est de rester extr\u00eamement vigilant et de disposer de proc\u00e9dures de s\u00e9curit\u00e9 robustes, telles que des analyses antivirus r\u00e9guli\u00e8res, une analyse du trafic r\u00e9seau sortant et une journalisation \u00e9tendue pour d\u00e9tecter les anomalies. &#8220;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/chinese-luoyu-hackers-using-man-on-side.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur chinois &#8220;extr\u00eamement sophistiqu\u00e9&#8221; de la menace persistante avanc\u00e9e (APT) surnomm\u00e9 LuoYu a \u00e9t\u00e9 observ\u00e9 en utilisant un outil Windows malveillant appel\u00e9 WinDealer qui est livr\u00e9 au moyen d&#8217;attaques de type &#8220;man-on-the-side&#8221;. &#8220;Ce d\u00e9veloppement r\u00e9volutionnaire permet \u00e0 l&#8217;acteur de modifier le trafic r\u00e9seau en transit pour ins\u00e9rer des charges utiles malveillantes&#8221;, a d\u00e9clar\u00e9 la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":181278,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,5663,4168,4158,4165,4161,9886,7084,133,6578,4157,4159,4171,4170,65,4167,73532,73533,4160,4163,4162,2742,185,4172,4169,9938,10784,4166,4164,73534],"class_list":["post-181277","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-derobee","tag-des","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-luoyu","tag-manontheside","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-pour","tag-securite-informatique","tag-securite-internet","tag-type","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windealer"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/181277","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=181277"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/181277\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/181278"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=181277"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=181277"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=181277"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}