{"id":199718,"date":"2022-06-13T15:16:03","date_gmt":"2022-06-13T17:16:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-chinois-gallium-utilisent-le-nouveau-logiciel-malveillant-pingpull-dans-les-attaques-de-cyberespionnage\/"},"modified":"2022-06-13T15:16:04","modified_gmt":"2022-06-13T17:16:04","slug":"les-pirates-informatiques-chinois-gallium-utilisent-le-nouveau-logiciel-malveillant-pingpull-dans-les-attaques-de-cyberespionnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-chinois-gallium-utilisent-le-nouveau-logiciel-malveillant-pingpull-dans-les-attaques-de-cyberespionnage\/","title":{"rendered":"Les pirates informatiques chinois &#8220;Gallium&#8221; utilisent le nouveau logiciel malveillant PingPull dans les attaques de cyberespionnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une menace persistante avanc\u00e9e (APT) chinoise connue sous le nom de Gallium a \u00e9t\u00e9 observ\u00e9e en utilisant un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance auparavant non document\u00e9 dans ses attaques d&#8217;espionnage ciblant des entreprises op\u00e9rant en Asie du Sud-Est, en Europe et en Afrique.<\/p>\n<p>Appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/pingpull-gallium\/\" target=\"_blank\"><strong>PingPull<\/strong><\/a>la porte d\u00e9rob\u00e9e &#8220;difficile \u00e0 d\u00e9tecter&#8221; se distingue par son utilisation du protocole de message de contr\u00f4le Internet (<a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/en-in\/learning\/ddos\/glossary\/internet-control-message-protocol-icmp\/\" target=\"_blank\">ICMP<\/a>) pour les communications de commande et de contr\u00f4le (C2), selon une nouvelle \u00e9tude publi\u00e9e aujourd&#8217;hui par l&#8217;unit\u00e9 42 de Palo Alto Networks.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Gallium est connu pour ses attaques visant principalement les entreprises de t\u00e9l\u00e9communications remontant \u00e0 2012. \u00c9galement suivi sous le nom <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/research\/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers\" target=\"_blank\">Cellule douce<\/a> par Cybereason, l&#8217;acteur parrain\u00e9 par l&#8217;\u00c9tat a \u00e9t\u00e9 connect\u00e9 \u00e0 un ensemble plus large d&#8217;attaques ciblant cinq grandes entreprises de t\u00e9l\u00e9communications situ\u00e9es dans les pays d&#8217;Asie du Sud-Est depuis 2017.<\/p>\n<p>Au cours de l&#8217;ann\u00e9e \u00e9coul\u00e9e, cependant, le groupe aurait \u00e9largi son empreinte victimologique pour inclure des institutions financi\u00e8res et des entit\u00e9s gouvernementales situ\u00e9es en Afghanistan, en Australie, en Belgique, au Cambodge, en Malaisie, au Mozambique, aux Philippines, en Russie et au Vietnam.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant PingPull dans les attaques de cyberespionnage\" border=\"0\" data-original-height=\"243\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655140563_656_Les-pirates-informatiques-chinois-Gallium-utilisent-le-nouveau-logiciel-malveillant.jpg\" title=\"Logiciel malveillant PingPull dans les attaques de cyberespionnage\" \/><\/div>\n<p>PingPull, un logiciel malveillant bas\u00e9 sur Visual C++, offre \u00e0 un pirate la possibilit\u00e9 d&#8217;acc\u00e9der \u00e0 un shell invers\u00e9 et d&#8217;ex\u00e9cuter des commandes arbitraires sur un h\u00f4te compromis.  Cela comprend l&#8217;ex\u00e9cution d&#8217;op\u00e9rations sur les fichiers, l&#8217;\u00e9num\u00e9ration des volumes de stockage et <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/006\/\" target=\"_blank\">horodatage<\/a> des dossiers.<\/p>\n<p>&#8220;Les \u00e9chantillons PingPull qui utilisent ICMP pour les communications C2 envoient des paquets ICMP Echo Request (ping) au serveur C2&#8221;, ont d\u00e9taill\u00e9 les chercheurs.  &#8220;Le serveur C2 r\u00e9pondra \u00e0 ces demandes d&#8217;\u00e9cho avec un paquet de r\u00e9ponse d&#8217;\u00e9cho pour envoyer des commandes au syst\u00e8me.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Sont \u00e9galement identifi\u00e9es des variantes de PingPull qui s&#8217;appuient sur HTTPS et TCP pour communiquer avec son serveur C2 au lieu d&#8217;ICMP et plus de 170 adresses IP associ\u00e9es au groupe depuis fin 2020.<\/p>\n<p>On ne sait pas imm\u00e9diatement comment les r\u00e9seaux cibl\u00e9s sont pirat\u00e9s, bien que l&#8217;acteur de la menace soit connu pour exploiter les applications expos\u00e9es \u00e0 Internet pour prendre pied et d\u00e9ployer une version modifi\u00e9e du <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.chinachopper\" target=\"_blank\">Hachoir de Chine<\/a> shell Web pour \u00e9tablir la persistance.<\/p>\n<p>&#8220;Le gallium reste une menace active pour les t\u00e9l\u00e9communications, la finance et les organisations gouvernementales en Asie du Sud-Est, en Europe et en Afrique&#8221;, ont not\u00e9 les chercheurs.<\/p>\n<p>&#8220;Bien que l&#8217;utilisation du tunneling ICMP ne soit pas une nouvelle technique, PingPull utilise ICMP pour rendre plus difficile la d\u00e9tection de ses communications C2, car peu d&#8217;organisations mettent en \u0153uvre l&#8217;inspection du trafic ICMP sur leurs r\u00e9seaux.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/chinese-gallium-hackers-using-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une menace persistante avanc\u00e9e (APT) chinoise connue sous le nom de Gallium a \u00e9t\u00e9 observ\u00e9e en utilisant un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance auparavant non document\u00e9 dans ses attaques d&#8217;espionnage ciblant des entreprises op\u00e9rant en Asie du Sud-Est, en Europe et en Afrique. Appel\u00e9 PingPullla porte d\u00e9rob\u00e9e &#8220;difficile \u00e0 d\u00e9tecter&#8221; se distingue par son [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":199719,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,5663,4168,4158,4165,4161,77840,429,77838,8154,4157,4159,4171,4170,65,6816,4167,7733,4160,680,4163,4162,77839,4394,4172,4169,10784,4166,4164],"class_list":["post-199718","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberespionnage","tag-dans","tag-gallium","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pingpull","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/199718","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=199718"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/199718\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/199719"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=199718"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=199718"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=199718"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}