{"id":218107,"date":"2022-06-23T05:55:13","date_gmt":"2022-06-23T07:55:13","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-distribuent-un-outil-sms-bomber-avec-des-logiciels-malveillants-caches-a-linterieur\/"},"modified":"2022-06-23T05:55:13","modified_gmt":"2022-06-23T07:55:13","slug":"des-pirates-chinois-distribuent-un-outil-sms-bomber-avec-des-logiciels-malveillants-caches-a-linterieur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-distribuent-un-outil-sms-bomber-avec-des-logiciels-malveillants-caches-a-linterieur\/","title":{"rendered":"Des pirates chinois distribuent un outil SMS Bomber avec des logiciels malveillants cach\u00e9s \u00e0 l&#8217;int\u00e9rieur"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un groupe de menaces li\u00e9 \u00e0 un groupe de piratage appel\u00e9 <b>Soldat des tropiques<\/b> a \u00e9t\u00e9 rep\u00e9r\u00e9 en train d&#8217;utiliser un logiciel malveillant pr\u00e9c\u00e9demment non document\u00e9 cod\u00e9 en langage Nim pour frapper des cibles dans le cadre d&#8217;une campagne r\u00e9cemment d\u00e9couverte.<\/p>\n<p>Le nouveau chargeur, surnomm\u00e9 Nimbda, est \u00ab fourni avec un outil &#8216;SMS Bomber&#8217; de greyware en langue chinoise qui est tr\u00e8s probablement distribu\u00e9 ill\u00e9galement sur le Web de langue chinoise \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Check Point. <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2022\/chinese-actor-takes-aim-armed-with-nim-language-and-bizarro-aes\/\" target=\"_blank\">a dit<\/a> dans un rapport.<\/p>\n<p>&#8220;Celui qui a con\u00e7u le chargeur Nim a pris un soin particulier \u00e0 lui donner la m\u00eame ic\u00f4ne ex\u00e9cutable que le SMS Bomber qu&#8217;il d\u00e9pose et ex\u00e9cute&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Par cons\u00e9quent, l&#8217;ensemble du bundle fonctionne comme un binaire cheval de Troie.&#8221;<\/p>\n<p>SMS Bomber, comme son nom l&#8217;indique, permet \u00e0 un utilisateur de saisir un num\u00e9ro de t\u00e9l\u00e9phone (pas le sien) afin d&#8217;inonder l&#8217;appareil de la victime de messages et de le rendre potentiellement inutilisable lors d&#8217;une attaque par d\u00e9ni de service (DoS).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-gitlab\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Fronton-un-botnet-IoT-russe-concu-pour-mener-des-campagnes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Le fait que le binaire se double de SMS Bomber et d&#8217;une porte d\u00e9rob\u00e9e sugg\u00e8re que les attaques ne visent pas seulement ceux qui utilisent l&#8217;outil &#8211; une &#8220;cible plut\u00f4t peu orthodoxe&#8221; &#8211; mais aussi de nature tr\u00e8s cibl\u00e9e.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/18\/c\/tropic-trooper-new-strategy.html\" target=\"_blank\">Soldat des tropiques<\/a>\u00e9galement connu sous les surnoms Earth Centaur, KeyBoy et Pirate Panda, a fait ses preuves en frappant des cibles situ\u00e9es \u00e0 Ta\u00efwan, \u00e0 Hong Kong et aux Philippines, se concentrant principalement sur les industries gouvernementales, de la sant\u00e9, des transports et de la haute technologie.<\/p>\n<p>Qualifiant le collectif sinophone de &#8220;particuli\u00e8rement sophistiqu\u00e9 et bien \u00e9quip\u00e9&#8221;, Trend Micro a soulign\u00e9 l&#8217;ann\u00e9e derni\u00e8re la capacit\u00e9 du groupe \u00e0 faire \u00e9voluer ses TTP pour rester sous le radar et s&#8217;appuyer sur une large gamme d&#8217;outils personnalis\u00e9s pour compromettre ses objectifs.<\/p>\n<p>La derni\u00e8re cha\u00eene d&#8217;attaque document\u00e9e par Check Point commence par l&#8217;outil SMS Bomber falsifi\u00e9, le chargeur Nimbda, qui lance un ex\u00e9cutable int\u00e9gr\u00e9, dans ce cas la charge utile l\u00e9gitime du bombardier SMS, tout en injectant \u00e9galement un morceau de shellcode s\u00e9par\u00e9 dans un processus notepad.exe .<\/p>\n<p>Cela lance un processus d&#8217;infection \u00e0 trois niveaux qui implique le t\u00e9l\u00e9chargement d&#8217;un binaire de l&#8217;\u00e9tape suivante \u00e0 partir d&#8217;une adresse IP masqu\u00e9e sp\u00e9cifi\u00e9e dans un fichier de d\u00e9marquage (&#8220;EULA.md&#8221;) h\u00e9berg\u00e9 dans un r\u00e9f\u00e9rentiel GitHub ou Gitee contr\u00f4l\u00e9 par l&#8217;attaquant.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le binaire r\u00e9cup\u00e9r\u00e9 est une version am\u00e9lior\u00e9e d&#8217;un cheval de Troie nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/20\/e\/tropic-troopers-back-usbferry-attack-targets-air-gapped-environments.html\" target=\"_blank\">Yahoyah<\/a> qui est con\u00e7u pour collecter des informations sur les r\u00e9seaux sans fil locaux \u00e0 proximit\u00e9 de la machine victime ainsi que d&#8217;autres m\u00e9tadonn\u00e9es syst\u00e8me et exfiltrer les d\u00e9tails vers un serveur de commande et de contr\u00f4le (C2).<\/p>\n<p>Yahoyah, pour sa part, agit \u00e9galement comme un conduit pour r\u00e9cup\u00e9rer le malware de derni\u00e8re \u00e9tape, qui est t\u00e9l\u00e9charg\u00e9 sous la forme d&#8217;une image \u00e0 partir du serveur C2.  La charge utile cod\u00e9e st\u00e9ganographiquement est une porte d\u00e9rob\u00e9e connue sous le nom de TClient et a \u00e9t\u00e9 d\u00e9ploy\u00e9e par le groupe lors de campagnes pr\u00e9c\u00e9dentes.<\/p>\n<p>&#8220;Le groupe d&#8217;activit\u00e9s observ\u00e9 brosse le tableau d&#8217;un acteur concentr\u00e9 et d\u00e9termin\u00e9 avec un objectif clair en t\u00eate&#8221;, ont conclu les chercheurs.<\/p>\n<p>&#8220;Habituellement, lorsque des outils tiers b\u00e9nins (ou d&#8217;apparence b\u00e9nigne) sont tri\u00e9s sur le volet pour \u00eatre ins\u00e9r\u00e9s dans une cha\u00eene d&#8217;infection, ils sont choisis pour \u00eatre les moins visibles possibles\u00a0; le choix d&#8217;un outil &#8216;SMS Bomber&#8217; \u00e0 cette fin est troublant, et raconte toute une histoire d\u00e8s l&#8217;instant o\u00f9 l&#8217;on ose extrapoler un mobile et une victime vis\u00e9e.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/chinese-hackers-distributing-sms-bomber.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de menaces li\u00e9 \u00e0 un groupe de piratage appel\u00e9 Soldat des tropiques a \u00e9t\u00e9 rep\u00e9r\u00e9 en train d&#8217;utiliser un logiciel malveillant pr\u00e9c\u00e9demment non document\u00e9 cod\u00e9 en langage Nim pour frapper des cibles dans le cadre d&#8217;une campagne r\u00e9cemment d\u00e9couverte. Le nouveau chargeur, surnomm\u00e9 Nimbda, est \u00ab fourni avec un outil &#8216;SMS Bomber&#8217; de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":218108,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,13861,20265,5663,4168,4158,4165,4161,133,20531,4157,4159,4171,4170,7902,4167,4589,4590,4160,4163,4162,5527,4394,4172,4169,33702,4166,4164],"class_list":["post-218107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-bomber","tag-caches","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-distribuent","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linterieur","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-outil","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-sms","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/218107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=218107"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/218107\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/218108"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=218107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=218107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=218107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}