{"id":220238,"date":"2022-06-24T07:37:14","date_gmt":"2022-06-24T09:37:14","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-soutenus-par-letat-utilisent-des-rancongiciels-comme-leurre-pour-des-attaques-de-cyberespionnage\/"},"modified":"2022-06-24T07:37:15","modified_gmt":"2022-06-24T09:37:15","slug":"des-pirates-informatiques-soutenus-par-letat-utilisent-des-rancongiciels-comme-leurre-pour-des-attaques-de-cyberespionnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-soutenus-par-letat-utilisent-des-rancongiciels-comme-leurre-pour-des-attaques-de-cyberespionnage\/","title":{"rendered":"Des pirates informatiques soutenus par l&#8217;\u00c9tat utilisent des ran\u00e7ongiciels comme leurre pour des attaques de cyberespionnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un groupe de menaces persistantes avanc\u00e9es (APT) bas\u00e9 en Chine d\u00e9ploie peut-\u00eatre des familles de ran\u00e7ongiciels de courte dur\u00e9e comme leurre pour dissimuler les v\u00e9ritables objectifs op\u00e9rationnels et tactiques derri\u00e8re ses campagnes.<\/p>\n<p>Le cluster d&#8217;activit\u00e9s, attribu\u00e9 \u00e0 un groupe de piratage surnomm\u00e9 <strong>Lumi\u00e8re des \u00e9toiles en bronze<\/strong> par Secureworks, implique le d\u00e9ploiement de ran\u00e7ongiciels post-intrusion tels que LockFile, Atom Silo, Rook, Night Sky, Pandora et LockBit 2.0.<\/p>\n<p>&#8220;Le ransomware pourrait emp\u00eacher les intervenants d&#8217;identifier la v\u00e9ritable intention des acteurs de la menace et r\u00e9duire la probabilit\u00e9 d&#8217;attribuer l&#8217;activit\u00e9 malveillante \u00e0 un groupe de menace chinois parrain\u00e9 par le gouvernement&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/bronze-starlight-ransomware-operations-use-hui-loader\" target=\"_blank\">a dit<\/a> dans un nouveau rapport.  &#8220;Dans chaque cas, le ransomware cible un petit nombre de victimes sur une p\u00e9riode de temps relativement br\u00e8ve avant de cesser ses op\u00e9rations, apparemment de fa\u00e7on permanente.&#8221;<\/p>\n<p>Bronze Starlight, actif depuis la mi-2021, est \u00e9galement suivi par Microsoft sous le nom de cluster de menaces \u00e9mergentes DEV-0401, le g\u00e9ant de la technologie soulignant son implication \u00e0 toutes les \u00e9tapes du cycle d&#8217;attaque du ransomware d\u00e8s l&#8217;acc\u00e8s initial au d\u00e9ploiement de la charge utile.<\/p>\n<p>Contrairement \u00e0 d&#8217;autres groupes RaaS qui ach\u00e8tent l&#8217;acc\u00e8s aupr\u00e8s des courtiers d&#8217;acc\u00e8s initiaux (IAB) pour entrer dans un r\u00e9seau, les attaques mont\u00e9es par l&#8217;acteur se caract\u00e9risent par l&#8217;utilisation de vuln\u00e9rabilit\u00e9s non corrig\u00e9es affectant Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence (y compris la faille r\u00e9cemment r\u00e9v\u00e9l\u00e9e) , et Apache Log4j.<\/p>\n<p>Depuis ao\u00fbt 2021, le groupe aurait parcouru jusqu&#8217;\u00e0 six souches de ran\u00e7ongiciels diff\u00e9rentes telles que LockFile (ao\u00fbt), Atom Silo (octobre), Rook (novembre), Night Sky (d\u00e9cembre), Pandora (f\u00e9vrier 2022) et plus r\u00e9cemment LockBit 2.0 (avril).<\/p>\n<p>De plus, des similitudes ont \u00e9t\u00e9 d\u00e9couvertes entre LockFile et Atom Silo ainsi qu&#8217;entre Rook, Night Sky et Pandora &#8211; ces trois derniers d\u00e9riv\u00e9s du ran\u00e7ongiciel Babuk, dont le code source a \u00e9t\u00e9 divulgu\u00e9 en septembre 2021 &#8211; indiquant le travail d&#8217;un acteur commun.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Ransomware comme leurre\" border=\"0\" data-original-height=\"401\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1656063434_907_Des-pirates-informatiques-soutenus-par-lEtat-utilisent-des-rancongiciels-comme.jpg\" title=\"Ransomware comme leurre\" \/><\/div>\n<p>&#8220;Parce que DEV-0401 maintient et renomme fr\u00e9quemment ses propres charges utiles de ransomware, ils peuvent appara\u00eetre comme des groupes diff\u00e9rents dans les rapports bas\u00e9s sur la charge utile et \u00e9chapper aux d\u00e9tections et aux actions \u00e0 leur encontre&#8221;, Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/security\/blog\/2022\/05\/09\/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself\/#DEV-0401\" target=\"_blank\">c&#8217;est not\u00e9<\/a> le mois dernier.<\/p>\n<p>Apr\u00e8s avoir pris pied dans un r\u00e9seau, Bronze Starlight est connu pour s&#8217;appuyer sur des techniques telles que l&#8217;utilisation de Cobalt Strike et Windows Management Instrumentation (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Windows_Management_Instrumentation\" target=\"_blank\">WMI<\/a>) pour le mouvement lat\u00e9ral, bien qu&#8217;\u00e0 partir de ce mois-ci, le groupe ait commenc\u00e9 \u00e0 remplacer Cobalt Strike par le cadre Sliver dans ses attaques.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Ransomware comme leurre\" border=\"0\" data-original-height=\"298\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1656063434_424_Des-pirates-informatiques-soutenus-par-lEtat-utilisent-des-rancongiciels-comme.jpg\" title=\"Ransomware comme leurre\" \/><\/div>\n<p>D&#8217;autres artisanats observ\u00e9s concernent l&#8217;utilisation de <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.hui_loader\" target=\"_blank\">Chargeur HUI<\/a> pour lancer des charges utiles crypt\u00e9es de la prochaine \u00e9tape telles que PlugX et Cobalt Strike Beacons, cette derni\u00e8re \u00e9tant utilis\u00e9e pour fournir le ransomware, mais pas avant d&#8217;avoir obtenu les informations d&#8217;identification privil\u00e9gi\u00e9es de l&#8217;administrateur de domaine.<\/p>\n<p>&#8220;L&#8217;utilisation de HUI Loader pour charger Cobalt Strike Beacon, les informations de configuration de Cobalt Strike Beacon, l&#8217;infrastructure C2 et le chevauchement de code sugg\u00e8rent que le m\u00eame groupe de menaces est associ\u00e9 \u00e0 ces cinq familles de ran\u00e7ongiciels&#8221;, ont expliqu\u00e9 les chercheurs. <\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Il convient de souligner que HUI Loader et PlugX, aux c\u00f4t\u00e9s de ShadowPad, sont des logiciels malveillants historiquement utilis\u00e9s par les collectifs antagonistes des \u00c9tats-nations chinois, ce qui donne du cr\u00e9dit \u00e0 la possibilit\u00e9 que Bronze Starlight soit davantage ax\u00e9 sur l&#8217;espionnage que sur les avantages mon\u00e9taires imm\u00e9diats.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"261\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1656063434_483_Des-pirates-informatiques-soutenus-par-lEtat-utilisent-des-rancongiciels-comme.jpg\" \/><\/div>\n<p>En plus de cela, le mod\u00e8le de victimologie couvrant les diff\u00e9rentes souches de ransomwares montre qu&#8217;une majorit\u00e9 des cibles sont susceptibles d&#8217;int\u00e9resser davantage les groupes parrain\u00e9s par le gouvernement chinois qui se concentrent sur la collecte de renseignements \u00e0 long terme.<\/p>\n<p>Les principales victimes comprennent des soci\u00e9t\u00e9s pharmaceutiques au Br\u00e9sil et aux \u00c9tats-Unis, une organisation m\u00e9diatique bas\u00e9e aux \u00c9tats-Unis avec des bureaux en Chine et \u00e0 Hong Kong, des concepteurs et fabricants de composants \u00e9lectroniques en Lituanie et au Japon, un cabinet d&#8217;avocats aux \u00c9tats-Unis et une division a\u00e9rospatiale et d\u00e9fense de un conglom\u00e9rat indien.<\/p>\n<p>\u00c0 cette fin, les op\u00e9rations de ransomware, en plus de fournir un moyen d&#8217;exfiltrer des donn\u00e9es dans le cadre du syst\u00e8me de double extorsion &#8220;nom et honte&#8221;, offrent \u00e9galement un double avantage en ce sens qu&#8217;elles permettent \u00e0 l&#8217;auteur de la menace de d\u00e9truire les preuves m\u00e9dico-l\u00e9gales de leurs activit\u00e9s malveillantes et agir comme une distraction contre le vol de donn\u00e9es.<\/p>\n<p>&#8220;Il est plausible que Bronze Starlight d\u00e9ploie un ransomware comme \u00e9cran de fum\u00e9e plut\u00f4t que pour un gain financier, avec la motivation sous-jacente de voler la propri\u00e9t\u00e9 intellectuelle ou de mener de l&#8217;espionnage&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/state-backed-hackers-using-ransomware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de menaces persistantes avanc\u00e9es (APT) bas\u00e9 en Chine d\u00e9ploie peut-\u00eatre des familles de ran\u00e7ongiciels de courte dur\u00e9e comme leurre pour dissimuler les v\u00e9ritables objectifs op\u00e9rationnels et tactiques derri\u00e8re ses campagnes. Le cluster d&#8217;activit\u00e9s, attribu\u00e9 \u00e0 un groupe de piratage surnomm\u00e9 Lumi\u00e8re des \u00e9toiles en bronze par Secureworks, implique le d\u00e9ploiement de ran\u00e7ongiciels post-intrusion [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":220239,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,1756,4168,4158,4165,4161,77840,133,8154,4157,4159,4171,4170,251,33790,4167,4160,4163,4162,164,4394,185,80120,4172,4169,70368,10784,4166,4164],"class_list":["post-220238","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-comme","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberespionnage","tag-des","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-letat","tag-leurre","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pirates","tag-pour","tag-rancongiciels","tag-securite-informatique","tag-securite-internet","tag-soutenus","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/220238","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=220238"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/220238\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/220239"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=220238"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=220238"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=220238"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}