{"id":192798,"date":"2022-06-09T19:03:11","date_gmt":"2022-06-09T21:03:11","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-campagne-despionnage-chinoise-dune-decennie-cible-lasie-du-sud-est-et-laustralie\/"},"modified":"2022-06-09T19:03:12","modified_gmt":"2022-06-09T21:03:12","slug":"une-campagne-despionnage-chinoise-dune-decennie-cible-lasie-du-sud-est-et-laustralie","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-campagne-despionnage-chinoise-dune-decennie-cible-lasie-du-sud-est-et-laustralie\/","title":{"rendered":"Une campagne d&#8217;espionnage chinoise d&#8217;une d\u00e9cennie cible l&#8217;Asie du Sud-Est et l&#8217;Australie"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur de menace persistante avanc\u00e9e (APT) parlant chinois auparavant sans papiers surnomm\u00e9 <strong>Dragon Aoqin<\/strong> a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques \u00e0 caract\u00e8re d&#8217;espionnage visant des entit\u00e9s gouvernementales, \u00e9ducatives et de t\u00e9l\u00e9communications, principalement en Asie du Sud-Est et en Australie, remontant \u00e0 2013.<\/p>\n<p>&#8220;Aoqin Dragon recherche un acc\u00e8s initial principalement par le biais d&#8217;exploits de documents et de l&#8217;utilisation de faux p\u00e9riph\u00e9riques amovibles&#8221;, a d\u00e9clar\u00e9 Joey Chen, chercheur \u00e0 SentinelOne. <a rel=\"nofollow noopener\" href=\"https:\/\/s1.ai\/aoqin\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.  &#8220;Les autres techniques utilis\u00e9es par l&#8217;attaquant incluent le d\u00e9tournement de DLL, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.malwarebytes.com\/detections\/trojan-malpack-themida\/\" target=\"_blank\">Fichiers remplis de Themida<\/a>et le tunneling DNS pour \u00e9chapper \u00e0 la d\u00e9tection post-compromis.&#8221;<\/p>\n<p>Le groupe aurait un certain niveau d&#8217;association tactique avec un autre acteur mena\u00e7ant connu sous le nom de Naikon (alias Override Panda), les campagnes \u00e9tant principalement dirig\u00e9es contre des cibles en Australie, au Cambodge, \u00e0 Hong Kong, \u00e0 Singapour et au Vietnam.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les cha\u00eenes d&#8217;infections mont\u00e9es par Aoqin Dragon ont mis\u00e9 sur les affaires politiques de l&#8217;Asie-Pacifique et les leurres de documents \u00e0 th\u00e8me pornographique ainsi que sur les techniques de raccourci USB pour d\u00e9clencher le d\u00e9ploiement de l&#8217;une des deux portes d\u00e9rob\u00e9es : Mongall et une version modifi\u00e9e de l&#8217;open-source <a rel=\"nofollow noopener\" href=\"https:\/\/heyoka.sourceforge.net\/\" target=\"_blank\">Projet Heyoka<\/a>.<\/p>\n<p>Jusqu&#8217;en 2015, cela impliquait de tirer parti des exploits pour les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 anciennes et non corrig\u00e9es (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2012-0158\" target=\"_blank\">CVE-2012-0158<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2010-3333\" target=\"_blank\">CVE-2010-3333<\/a>) dans les documents leurres con\u00e7us pour inciter les cibles \u00e0 les ouvrir.  Au fil des ans, l&#8217;acteur de la menace a fait \u00e9voluer son approche pour utiliser des droppers ex\u00e9cutables se faisant passer pour des logiciels antivirus de McAfee et Bkav pour d\u00e9ployer l&#8217;implant et se connecter \u00e0 un serveur distant.<\/p>\n<p>&#8220;Bien que des fichiers ex\u00e9cutables avec de fausses ic\u00f4nes de fichiers aient \u00e9t\u00e9 utilis\u00e9s par divers acteurs, cela reste un outil efficace, en particulier pour les cibles APT&#8221;, a expliqu\u00e9 Chen.  &#8220;Combin\u00e9s \u00e0 un contenu d&#8217;e-mail &#8220;int\u00e9ressant&#8221; et \u00e0 un nom de fichier accrocheur, les utilisateurs peuvent \u00eatre socialement incit\u00e9s \u00e0 cliquer sur le fichier.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Campagne d'espionnage chinois\" border=\"0\" data-original-height=\"469\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1654808591_246_Une-campagne-despionnage-chinoise-dune-decennie-cible-lAsie-du-Sud-Est.jpg\" title=\"Campagne d'espionnage chinois\" \/><\/div>\n<p>Cela dit, le plus r\u00e9cent vecteur d&#8217;acc\u00e8s initial d&#8217;Aoqin Dragon depuis 2018 est son utilisation d&#8217;un faux fichier de raccourci de p\u00e9riph\u00e9rique amovible (.LNK), qui, lorsqu&#8217;il est cliqu\u00e9, ex\u00e9cute un ex\u00e9cutable (&#8220;RemovableDisc.exe&#8221;) masqu\u00e9 avec l&#8217;ic\u00f4ne du l&#8217;application de prise de notes populaire Evernote, mais est con\u00e7ue pour fonctionner comme un chargeur pour deux charges utiles diff\u00e9rentes.<\/p>\n<p>L&#8217;un des composants de la cha\u00eene d&#8217;infection est un diffuseur qui copie tous les fichiers malveillants sur d&#8217;autres p\u00e9riph\u00e9riques amovibles et le second module est une porte d\u00e9rob\u00e9e crypt\u00e9e qui s&#8217;injecte dans <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/rundll32\" target=\"_blank\">rundll32<\/a>la m\u00e9moire, un <a rel=\"nofollow noopener\" href=\"https:\/\/redcanary.com\/threat-detection-report\/techniques\/rundll32\/\" target=\"_blank\">processus Windows natif<\/a> utilis\u00e9 pour charger et ex\u00e9cuter des fichiers DLL.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Connu pour \u00eatre <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2013\/12\/Advanced-Persistent-Threats.pdf\" target=\"_blank\">utilis\u00e9<\/a> depuis au moins 2013, Mongall (&#8220;HJ-client.dll&#8221;) est d\u00e9crit comme un implant pas si &#8220;particuli\u00e8rement riche en fonctionnalit\u00e9s&#8221; mais qui contient suffisamment de fonctionnalit\u00e9s pour cr\u00e9er un shell distant et t\u00e9l\u00e9charger des fichiers arbitraires vers et depuis l&#8217;attaquant -serveur de contr\u00f4le.<\/p>\n<p>L&#8217;adversaire utilise \u00e9galement une variante retravaill\u00e9e de Heyoka (&#8220;srvdll.dll&#8221;), un outil d&#8217;exfiltration de preuve de concept (PoC) &#8220;qui utilise des requ\u00eates DNS usurp\u00e9es pour cr\u00e9er un tunnel bidirectionnel&#8221;.  La porte d\u00e9rob\u00e9e Heyoka modifi\u00e9e est plus puissante, dot\u00e9e de capacit\u00e9s pour cr\u00e9er, supprimer et rechercher des fichiers, cr\u00e9er et terminer des processus et recueillir des informations de processus sur un h\u00f4te compromis.<\/p>\n<p>&#8220;Aoqin Dragon est un groupe de cyberespionnage actif qui op\u00e8re depuis pr\u00e8s d&#8217;une d\u00e9cennie&#8221;, a d\u00e9clar\u00e9 Chen, ajoutant, &#8220;il est probable qu&#8217;ils continueront \u00e9galement \u00e0 faire progresser leur m\u00e9tier, en trouvant de nouvelles m\u00e9thodes pour \u00e9chapper \u00e0 la d\u00e9tection et en restant plus longtemps dans leur r\u00e9seau cible. .&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/a-decade-long-chinese-espionage.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur de menace persistante avanc\u00e9e (APT) parlant chinois auparavant sans papiers surnomm\u00e9 Dragon Aoqin a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques \u00e0 caract\u00e8re d&#8217;espionnage visant des entit\u00e9s gouvernementales, \u00e9ducatives et de t\u00e9l\u00e9communications, principalement en Asie du Sud-Est et en Australie, remontant \u00e0 2013. &#8220;Aoqin Dragon recherche un acc\u00e8s initial principalement par le biais d&#8217;exploits [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":192799,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2930,17192,7087,4168,4158,4165,4161,29838,10729,1326,4157,4159,4171,4170,47526,9347,4167,4160,4163,4162,4172,4169,9258,196,4166,4164],"class_list":["post-192798","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-campagne","tag-chinoise","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decennie","tag-despionnage","tag-dune","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lasie","tag-laustralie","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-sudest","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/192798","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=192798"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/192798\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/192799"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=192798"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=192798"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=192798"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}