{"id":198695,"date":"2022-06-13T02:25:02","date_gmt":"2022-06-13T04:25:02","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-iraniens-reperes-en-train-dutiliser-un-nouveau-logiciel-malveillant-de-piratage-dns-lors-dattaques-recentes\/"},"modified":"2022-06-13T02:25:03","modified_gmt":"2022-06-13T04:25:03","slug":"des-pirates-iraniens-reperes-en-train-dutiliser-un-nouveau-logiciel-malveillant-de-piratage-dns-lors-dattaques-recentes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-iraniens-reperes-en-train-dutiliser-un-nouveau-logiciel-malveillant-de-piratage-dns-lors-dattaques-recentes\/","title":{"rendered":"Des pirates iraniens rep\u00e9r\u00e9s en train d&#8217;utiliser un nouveau logiciel malveillant de piratage DNS lors d&#8217;attaques r\u00e9centes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;acteur de la menace parrain\u00e9 par l&#8217;\u00c9tat iranien suivi sous le nom de Lyceum s&#8217;est tourn\u00e9 vers l&#8217;utilisation d&#8217;une nouvelle porte d\u00e9rob\u00e9e personnalis\u00e9e bas\u00e9e sur .NET dans les r\u00e9centes campagnes dirig\u00e9es contre le Moyen-Orient.<\/p>\n<p>&#8220;Le nouveau malware est une porte d\u00e9rob\u00e9e DNS bas\u00e9e sur .NET qui est une version personnalis\u00e9e de l&#8217;outil open source &#8216;DIG.net'&#8221;, ont d\u00e9clar\u00e9 Niraj Shivtarkar et Avinash Kumar, chercheurs de Zscaler ThreatLabz. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/lyceum-net-dns-backdoor\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>&#8220;Le logiciel malveillant exploite une technique d&#8217;attaque DNS appel\u00e9e&#8221; DNS Hijacking &#8220;dans laquelle un serveur DNS contr\u00f4l\u00e9 par l&#8217;attaquant manipule la r\u00e9ponse des requ\u00eates DNS et les r\u00e9sout en fonction de leurs exigences malveillantes.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/soc2-gitprotect\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Le-package-PyPI-populaire-ctx-et-la-bibliotheque-PHP-phpass.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Le piratage DNS est un <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/en-in\/learning\/security\/global-dns-hijacking-threat\/\" target=\"_blank\">attaque de redirection<\/a> dans lequel les requ\u00eates DNS vers des sites Web authentiques sont intercept\u00e9es pour amener un utilisateur sans m\u00e9fiance vers des pages frauduleuses sous le contr\u00f4le d&#8217;un adversaire.  Contrairement \u00e0 l&#8217;empoisonnement du cache, le d\u00e9tournement DNS cible l&#8217;enregistrement DNS du site Web sur le serveur de noms, plut\u00f4t que le cache d&#8217;un r\u00e9solveur.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant de d\u00e9tournement de DNS\" border=\"0\" data-original-height=\"297\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655094302_137_Des-pirates-iraniens-reperes-en-train-dutiliser-un-nouveau-logiciel.jpg\" title=\"Logiciel malveillant de d\u00e9tournement de DNS\" \/><\/div>\n<p>Lyceum, \u00e9galement connu sous le nom d&#8217;Hexane, Spirlin ou Siamesekitten, est principalement connu pour ses cyberattaques au Moyen-Orient et en Afrique.  Plus t\u00f4t cette ann\u00e9e, la soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET a li\u00e9 ses activit\u00e9s \u00e0 un autre acteur mena\u00e7ant appel\u00e9 OilRig (alias APT34).<\/p>\n<p>La derni\u00e8re cha\u00eene d&#8217;infection implique l&#8217;utilisation d&#8217;un document Microsoft contenant des macros t\u00e9l\u00e9charg\u00e9 \u00e0 partir d&#8217;un domaine nomm\u00e9 &#8220;news-spot[.]vivre \u00bb, se faisant passer pour un <a rel=\"nofollow noopener\" href=\"https:\/\/www.rferl.org\/a\/iran-drone-program-threats-interests\/31660048.html\" target=\"_blank\">reportage l\u00e9gitime<\/a> de Radio Free Europe\/Radio Liberty sur les frappes de drones iraniens en d\u00e9cembre 2021.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant de d\u00e9tournement de DNS\" border=\"0\" data-original-height=\"383\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655094302_121_Des-pirates-iraniens-reperes-en-train-dutiliser-un-nouveau-logiciel.jpg\" title=\"Logiciel malveillant de d\u00e9tournement de DNS\" \/><\/div>\n<p>L&#8217;activation de la macro entra\u00eene l&#8217;ex\u00e9cution d&#8217;un code malveillant qui d\u00e9pose l&#8217;implant sur le <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/windows\/add-an-app-to-run-automatically-at-startup-in-windows-10-150da165-dcd9-7230-517b-cf3c295d89dd\" target=\"_blank\">Dossier de d\u00e9marrage de Windows<\/a> pour \u00e9tablir la persistance et s&#8217;assurer qu&#8217;il s&#8217;ex\u00e9cute automatiquement \u00e0 chaque red\u00e9marrage du syst\u00e8me.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La porte d\u00e9rob\u00e9e DNS .NET, surnomm\u00e9e DnsSystem, est une variante retravaill\u00e9e de l&#8217;open-source <a rel=\"nofollow noopener\" href=\"https:\/\/www.codeproject.com\/Articles\/23673\/DNS-NET-Resolver-C\" target=\"_blank\">DIG.net<\/a> Outil de r\u00e9solution DNS, permettant \u00e0 l&#8217;acteur Lyceum d&#8217;analyser les r\u00e9ponses DNS \u00e9mises par le serveur DNS (&#8220;cyberclub[.]one&#8221;) et r\u00e9aliser ses objectifs inf\u00e2mes.<\/p>\n<p>En plus d&#8217;abuser du protocole DNS pour les communications de commande et de contr\u00f4le (C2) afin d&#8217;\u00e9chapper \u00e0 la d\u00e9tection, le logiciel malveillant est \u00e9quip\u00e9 pour t\u00e9l\u00e9charger et t\u00e9l\u00e9charger des fichiers arbitraires vers et depuis le serveur distant, ainsi que pour ex\u00e9cuter des commandes syst\u00e8me malveillantes \u00e0 distance sur l&#8217;h\u00f4te compromis.<\/p>\n<p>&#8220;Les acteurs de la menace APT font \u00e9voluer en permanence leurs tactiques et leurs logiciels malveillants pour mener \u00e0 bien des attaques contre leurs cibles&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Les attaquants adoptent en permanence de nouvelles astuces anti-analyse pour \u00e9chapper aux solutions de s\u00e9curit\u00e9\u00a0; le reconditionnement des logiciels malveillants rend l&#8217;analyse statique encore plus difficile.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/iranian-hackers-spotted-using-new-dns.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur de la menace parrain\u00e9 par l&#8217;\u00c9tat iranien suivi sous le nom de Lyceum s&#8217;est tourn\u00e9 vers l&#8217;utilisation d&#8217;une nouvelle porte d\u00e9rob\u00e9e personnalis\u00e9e bas\u00e9e sur .NET dans les r\u00e9centes campagnes dirig\u00e9es contre le Moyen-Orient. &#8220;Le nouveau malware est une porte d\u00e9rob\u00e9e DNS bas\u00e9e sur .NET qui est une version personnalis\u00e9e de l&#8217;outil open source &#8216;DIG.net&#8217;&#8221;, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":198696,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,5728,133,6016,6101,10783,4157,4159,4171,4170,6816,4167,320,7733,4160,680,4163,4162,5666,4394,4991,9129,4172,4169,9171,4166,4164],"class_list":["post-198695","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dattaques","tag-des","tag-dns","tag-dutiliser","tag-iraniens","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-lors","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-piratage","tag-pirates","tag-recentes","tag-reperes","tag-securite-informatique","tag-securite-internet","tag-train","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/198695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=198695"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/198695\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/198696"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=198695"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=198695"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=198695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}