{"id":214796,"date":"2022-06-21T13:03:24","date_gmt":"2022-06-21T15:03:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouveau-groupe-toddycat-hacker-sur-le-radar-des-experts-apres-avoir-cible-les-serveurs-ms-exchange\/"},"modified":"2022-06-21T13:03:25","modified_gmt":"2022-06-21T15:03:25","slug":"nouveau-groupe-toddycat-hacker-sur-le-radar-des-experts-apres-avoir-cible-les-serveurs-ms-exchange","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouveau-groupe-toddycat-hacker-sur-le-radar-des-experts-apres-avoir-cible-les-serveurs-ms-exchange\/","title":{"rendered":"Nouveau groupe ToddyCat Hacker sur le radar des experts apr\u00e8s avoir cibl\u00e9 les serveurs MS Exchange"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur de menace persistante avanc\u00e9e (APT) nomm\u00e9 <b>ToddyChat<\/b> est li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques visant des entit\u00e9s de premier plan en Europe et en Asie depuis au moins d\u00e9cembre 2020.<\/p>\n<p>Le collectif contradictoire relativement nouveau aurait commenc\u00e9 ses op\u00e9rations en ciblant les serveurs Microsoft Exchange \u00e0 Ta\u00efwan et au Vietnam en utilisant un exploit inconnu pour d\u00e9ployer le shell Web China Chopper et activer une cha\u00eene d&#8217;infection en plusieurs \u00e9tapes.<\/p>\n<p>Parmi les autres pays de premier plan cibl\u00e9s figurent l&#8217;Afghanistan, l&#8217;Inde, l&#8217;Indon\u00e9sie, l&#8217;Iran, le Kirghizistan, la Malaisie, le Pakistan, la Russie, la Slovaquie, la Tha\u00eflande, le Royaume-Uni et l&#8217;Ouzb\u00e9kistan, tout comme l&#8217;acteur mena\u00e7ant a fait \u00e9voluer son ensemble d&#8217;outils au cours de diff\u00e9rentes campagnes.<\/p>\n<p>&#8220;La premi\u00e8re vague d&#8217;attaques ciblait exclusivement les serveurs Microsoft Exchange, qui ont \u00e9t\u00e9 compromis avec Samurai, une porte d\u00e9rob\u00e9e passive sophistiqu\u00e9e qui fonctionne g\u00e9n\u00e9ralement sur les ports 80 et 443&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/toddycat\/106799\/\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 aujourd&#8217;hui.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-bitbucket\" target=\"_blank\" title=\"DevOps backupy\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Microsoft-met-en-garde-contre-les-ecumeurs-Web-imitant-Google.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Le malware permet l&#8217;ex\u00e9cution arbitraire de code C # et est utilis\u00e9 avec plusieurs modules qui permettent \u00e0 l&#8217;attaquant d&#8217;administrer le syst\u00e8me distant et de se d\u00e9placer lat\u00e9ralement \u00e0 l&#8217;int\u00e9rieur du r\u00e9seau cibl\u00e9.&#8221;<\/p>\n<p>ToddyCat, \u00e9galement suivi sous le nom de Websiic par la soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET, a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en mars 2021 pour son exploitation des failles de ProxyLogon Exchange pour cibler des serveurs de messagerie appartenant \u00e0 des entreprises priv\u00e9es en Asie et \u00e0 un organisme gouvernemental en Europe.<\/p>\n<p>La s\u00e9quence d&#8217;attaque post-d\u00e9ploiement du web shell China Chopper conduit \u00e0 l&#8217;ex\u00e9cution d&#8217;un dropper qui, \u00e0 son tour, est utilis\u00e9 pour apporter des modifications au registre Windows afin de lancer un chargeur de deuxi\u00e8me \u00e9tage, qui, quant \u00e0 lui, est con\u00e7u pour d\u00e9clencher un chargeur .NET de troisi\u00e8me niveau responsable de l&#8217;ex\u00e9cution de Samurai.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"595\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655823804_610_Nouveau-groupe-ToddyCat-Hacker-sur-le-radar-des-experts-apres.jpg\" \/><\/div>\n<p>La porte d\u00e9rob\u00e9e, en plus d&#8217;utiliser des techniques telles que l&#8217;obscurcissement et l&#8217;aplatissement du flux de contr\u00f4le pour la rendre r\u00e9sistante \u00e0 l&#8217;ing\u00e9nierie inverse, est modulaire en ce que ses composants permettent d&#8217;ex\u00e9cuter des commandes arbitraires et d&#8217;exfiltrer des fichiers d&#8217;int\u00e9r\u00eat de l&#8217;h\u00f4te compromis.<\/p>\n<p>Un outil sophistiqu\u00e9 nomm\u00e9 Ninja, cr\u00e9\u00e9 par l&#8217;implant Samurai et fonctionnant probablement comme un outil collaboratif permettant \u00e0 plusieurs op\u00e9rateurs de travailler simultan\u00e9ment sur la m\u00eame machine, a \u00e9galement \u00e9t\u00e9 observ\u00e9 dans des incidents sp\u00e9cifiques.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Malgr\u00e9 ses similitudes avec d&#8217;autres kits d&#8217;outils de post-exploitation comme Cobalt Strike, le malware permet \u00e0 l&#8217;attaquant de &#8220;contr\u00f4ler les syst\u00e8mes distants, d&#8217;\u00e9viter la d\u00e9tection et de p\u00e9n\u00e9trer profond\u00e9ment dans un r\u00e9seau cibl\u00e9&#8221;.<\/p>\n<p>Malgr\u00e9 le fait que les victimes de ToddyCat soient li\u00e9es \u00e0 des pays et des secteurs traditionnellement cibl\u00e9s par des groupes de langue chinoise, il n&#8217;y a aucune preuve liant le modus operandi \u00e0 un acteur de menace connu.<\/p>\n<p>&#8220;ToddyCat est un groupe APT sophistiqu\u00e9 qui utilise plusieurs techniques pour \u00e9viter la d\u00e9tection et garde ainsi un profil bas&#8221;, a d\u00e9clar\u00e9 Giampaolo Dedola, chercheur en s\u00e9curit\u00e9 chez Kaspersky.<\/p>\n<p>&#8220;Les organisations concern\u00e9es, tant gouvernementales que militaires, montrent que ce groupe se concentre sur des cibles tr\u00e8s m\u00e9diatis\u00e9es et est probablement utilis\u00e9 pour atteindre des objectifs critiques, probablement li\u00e9s \u00e0 des int\u00e9r\u00eats g\u00e9opolitiques.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/new-toddycat-hacker-group-on-experts.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur de menace persistante avanc\u00e9e (APT) nomm\u00e9 ToddyChat est li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques visant des entit\u00e9s de premier plan en Europe et en Asie depuis au moins d\u00e9cembre 2020. Le collectif contradictoire relativement nouveau aurait commenc\u00e9 ses op\u00e9rations en ciblant les serveurs Microsoft Exchange \u00e0 Ta\u00efwan et au Vietnam en utilisant un exploit [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":214797,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[271,272,7087,4168,4158,4165,4161,133,7854,692,681,23179,4157,4159,4171,4170,65,4167,4160,680,4163,4162,7677,4172,4169,8541,60,80986,4166,4164],"class_list":["post-214796","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apres","tag-avoir","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-exchange","tag-experts","tag-groupe","tag-hacker","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-radar","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-sur","tag-toddycat","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/214796","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=214796"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/214796\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/214797"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=214796"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=214796"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=214796"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}