{"id":185612,"date":"2022-06-06T01:19:21","date_gmt":"2022-06-06T03:19:21","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-soutenus-par-letat-exploitent-le-bogue-follina-de-microsoft-pour-cibler-des-entites-en-europe-et-aux-etats-unis\/"},"modified":"2022-06-06T01:19:22","modified_gmt":"2022-06-06T03:19:22","slug":"des-pirates-informatiques-soutenus-par-letat-exploitent-le-bogue-follina-de-microsoft-pour-cibler-des-entites-en-europe-et-aux-etats-unis","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-soutenus-par-letat-exploitent-le-bogue-follina-de-microsoft-pour-cibler-des-entites-en-europe-et-aux-etats-unis\/","title":{"rendered":"Des pirates informatiques soutenus par l&#8217;\u00c9tat exploitent le bogue &#8220;Follina&#8221; de Microsoft pour cibler des entit\u00e9s en Europe et aux \u00c9tats-Unis"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur pr\u00e9sum\u00e9 de la menace align\u00e9 sur l&#8217;\u00c9tat a \u00e9t\u00e9 attribu\u00e9 \u00e0 une nouvelle s\u00e9rie d&#8217;attaques exploitant la vuln\u00e9rabilit\u00e9 Microsoft Office &#8220;Follina&#8221; pour cibler des entit\u00e9s gouvernementales en Europe et aux \u00c9tats-Unis<\/p>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint a d\u00e9clar\u00e9 avoir bloqu\u00e9 les tentatives d&#8217;exploitation de la faille d&#8217;ex\u00e9cution de code \u00e0 distance, qui fait l&#8217;objet d&#8217;un suivi CVE-2022-30190 (score CVSS\u00a0: 7,8).  Pas moins de 1 000 messages de phishing contenant un document leurre ont \u00e9t\u00e9 envoy\u00e9s aux cibles.<\/p>\n<p>&#8220;Cette campagne s&#8217;est d\u00e9guis\u00e9e en augmentation de salaire et a utilis\u00e9 un RTF avec la charge utile d&#8217;exploit t\u00e9l\u00e9charg\u00e9e \u00e0 partir du 45.76.53[.]253&#8221;, la soci\u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/threatinsight\/status\/1532830739208732673\" target=\"_blank\">a dit<\/a> dans une s\u00e9rie de tweets.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/soc2-gitprotect\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Le-package-PyPI-populaire-ctx-et-la-bibliotheque-PHP-phpass.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La charge utile, qui se manifeste sous la forme d&#8217;un script PowerShell, est encod\u00e9e en Base64 et fonctionne comme un t\u00e9l\u00e9chargeur pour r\u00e9cup\u00e9rer un deuxi\u00e8me script PowerShell \u00e0 partir d&#8217;un serveur distant nomm\u00e9 &#8220;seller-notification[.]Direct.&#8221;<\/p>\n<p>&#8220;Ce script v\u00e9rifie la virtualisation, vole les informations des navigateurs locaux, des clients de messagerie et des services de fichiers, proc\u00e8de \u00e0 la reconnaissance de la machine, puis le comprime pour exfil[tration] au 45.77.156[.]179&#8221;, a ajout\u00e9 la soci\u00e9t\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"366\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1654485561_360_Des-pirates-informatiques-soutenus-par-lEtat-exploitent-le-bogue-Follina.jpg\" \/><\/div>\n<p>La campagne de phishing n&#8217;a pas \u00e9t\u00e9 li\u00e9e \u00e0 un groupe pr\u00e9c\u00e9demment connu, mais a d\u00e9clar\u00e9 qu&#8217;elle avait \u00e9t\u00e9 mont\u00e9e par un acteur de l&#8217;\u00c9tat-nation en fonction de la sp\u00e9cificit\u00e9 du ciblage et des capacit\u00e9s de reconnaissance \u00e9tendues de la charge utile PowerShell.<\/p>\n<p>Le d\u00e9veloppement fait suite \u00e0 des tentatives d&#8217;exploitation actives par un acteur mena\u00e7ant chinois suivi sous le nom de TA413 pour fournir des archives ZIP militaris\u00e9es avec des documents Microsoft Word truqu\u00e9s par des logiciels malveillants.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La vuln\u00e9rabilit\u00e9 Follina, qui exploite le sch\u00e9ma d&#8217;URI de protocole &#8220;ms-msdt:&#8221; pour prendre le contr\u00f4le \u00e0 distance des appareils cibles, reste non corrig\u00e9e, Microsoft exhortant les clients \u00e0 d\u00e9sactiver le protocole pour emp\u00eacher le vecteur d&#8217;attaque.<\/p>\n<p>&#8220;Proofpoint continue de voir des attaques cibl\u00e9es exploitant CVE-2022-30190&#8221;, a d\u00e9clar\u00e9 Sherrod DeGrippo, vice-pr\u00e9sident de la recherche sur les menaces, dans un communiqu\u00e9 partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;La reconnaissance approfondie men\u00e9e par le deuxi\u00e8me script PowerShell montre qu&#8217;un acteur s&#8217;int\u00e9resse \u00e0 une grande vari\u00e9t\u00e9 de logiciels sur l&#8217;ordinateur d&#8217;une cible. Ceci, associ\u00e9 au ciblage serr\u00e9 du gouvernement europ\u00e9en et des gouvernements am\u00e9ricains locaux, nous a amen\u00e9s \u00e0 soup\u00e7onner que cette campagne a un lien align\u00e9 sur l&#8217;\u00c9tat. .&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/state-backed-hackers-exploit-microsoft.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur pr\u00e9sum\u00e9 de la menace align\u00e9 sur l&#8217;\u00c9tat a \u00e9t\u00e9 attribu\u00e9 \u00e0 une nouvelle s\u00e9rie d&#8217;attaques exploitant la vuln\u00e9rabilit\u00e9 Microsoft Office &#8220;Follina&#8221; pour cibler des entit\u00e9s gouvernementales en Europe et aux \u00c9tats-Unis La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint a d\u00e9clar\u00e9 avoir bloqu\u00e9 les tentatives d&#8217;exploitation de la faille d&#8217;ex\u00e9cution de code \u00e0 distance, qui [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":185613,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,6813,11338,4168,4158,4165,4161,133,32776,3118,1654,8736,74592,8154,4157,4159,4171,4170,251,4167,8362,4160,4163,4162,164,4394,185,4172,4169,70368,4166,4164],"class_list":["post-185612","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-bogue","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-entites","tag-etatsunis","tag-europe","tag-exploitent","tag-follina","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-letat","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-soutenus","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/185612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=185612"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/185612\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/185613"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=185612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=185612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=185612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}