{"id":228129,"date":"2022-06-28T16:45:18","date_gmt":"2022-06-28T18:45:18","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-apt-ciblent-les-systemes-de-controle-industriels-avec-la-porte-derobee-shadowpad\/"},"modified":"2022-06-28T16:45:19","modified_gmt":"2022-06-28T18:45:19","slug":"les-pirates-apt-ciblent-les-systemes-de-controle-industriels-avec-la-porte-derobee-shadowpad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-apt-ciblent-les-systemes-de-controle-industriels-avec-la-porte-derobee-shadowpad\/","title":{"rendered":"Les pirates APT ciblent les syst\u00e8mes de contr\u00f4le industriels avec la porte d\u00e9rob\u00e9e ShadowPad"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des entit\u00e9s situ\u00e9es en Afghanistan, en Malaisie et au Pakistan sont dans le collimateur d&#8217;une campagne d&#8217;attaques qui cible les serveurs Microsoft Exchange non corrig\u00e9s comme vecteur d&#8217;acc\u00e8s initial pour d\u00e9ployer le malware ShadowPad.<\/p>\n<p>La soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky, qui a d\u00e9tect\u00e9 l&#8217;activit\u00e9 pour la premi\u00e8re fois \u00e0 la mi-octobre 2021, <a rel=\"nofollow noopener\" href=\"https:\/\/ics-cert.kaspersky.com\/publications\/reports\/2022\/06\/27\/attacks-on-industrial-control-systems-using-shadowpad\/\" target=\"_blank\">attribu\u00e9<\/a> \u00e0 un acteur mena\u00e7ant de langue chinoise jusque-l\u00e0 inconnu.  Les cibles comprennent les organisations des secteurs des t\u00e9l\u00e9communications, de la fabrication et des transports.<\/p>\n<p>&#8220;Lors des attaques initiales, le groupe a exploit\u00e9 une vuln\u00e9rabilit\u00e9 MS Exchange pour d\u00e9ployer le malware ShadowPad et infiltr\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Building_automation\" target=\"_blank\">syst\u00e8mes d&#8217;automatisation du b\u00e2timent<\/a> de l&#8217;une des victimes&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. &#8220;En prenant le contr\u00f4le de ces syst\u00e8mes, l&#8217;attaquant peut atteindre d&#8217;autres syst\u00e8mes encore plus sensibles de l&#8217;organisation attaqu\u00e9e.&#8221;<\/p>\n<p>ShadowPad, qui a \u00e9merg\u00e9 en 2015 en tant que successeur de PlugX, est une plate-forme de logiciels malveillants modulaire vendue en priv\u00e9 qui a \u00e9t\u00e9 utilis\u00e9e par de nombreux acteurs d&#8217;espionnage chinois au fil des ans. <\/p>\n<p>Alors que sa conception permet aux utilisateurs de d\u00e9ployer \u00e0 distance des plug-ins suppl\u00e9mentaires qui peuvent \u00e9tendre ses fonctionnalit\u00e9s au-del\u00e0 de la collecte de donn\u00e9es secr\u00e8tes, ce qui rend ShadowPad dangereux, c&#8217;est la technique anti-l\u00e9gale et anti-analyse int\u00e9gr\u00e9e au malware.<\/p>\n<p>&#8220;Lors des attaques de l&#8217;acteur observ\u00e9, la porte d\u00e9rob\u00e9e ShadowPad a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e sur les ordinateurs attaqu\u00e9s sous le couvert d&#8217;un logiciel l\u00e9gitime&#8221;, a d\u00e9clar\u00e9 Kaspersky.  &#8220;Dans de nombreux cas, le groupe attaquant a exploit\u00e9 une vuln\u00e9rabilit\u00e9 connue dans MS Exchange et a saisi les commandes manuellement, indiquant la nature hautement cibl\u00e9e de leurs campagnes.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les preuves sugg\u00e8rent que les intrusions mont\u00e9es par l&#8217;adversaire ont commenc\u00e9 en mars 2021, \u00e0 peu pr\u00e8s au moment o\u00f9 les vuln\u00e9rabilit\u00e9s ProxyLogon dans les serveurs Exchange sont devenues publiques.  Certaines des cibles auraient \u00e9t\u00e9 viol\u00e9es en exploitant CVE-2021-26855, une vuln\u00e9rabilit\u00e9 de falsification de requ\u00eate c\u00f4t\u00e9 serveur (SSRF) dans le serveur de messagerie.<\/p>\n<p>Outre le d\u00e9ploiement de ShadowPad en tant que &#8220;mscoree.dll&#8221;, un composant authentique de Microsoft .NET Framework, les attaques impliquaient \u00e9galement l&#8217;utilisation de Cobalt Strike, une variante PlugX appel\u00e9e THOR, et des shells Web pour l&#8217;acc\u00e8s \u00e0 distance.<\/p>\n<p>Bien que les objectifs finaux de la campagne restent inconnus, les attaquants seraient int\u00e9ress\u00e9s par la collecte de renseignements \u00e0 long terme.<\/p>\n<p>&#8220;Les syst\u00e8mes d&#8217;automatisation des b\u00e2timents sont des cibles rares pour les acteurs de menaces avanc\u00e9s&#8221;, a d\u00e9clar\u00e9 Kirill Kruglov, chercheur de Kaspersky ICS CERT.  &#8220;Cependant, ces syst\u00e8mes peuvent \u00eatre une source pr\u00e9cieuse d&#8217;informations hautement confidentielles et peuvent fournir aux attaquants une porte d\u00e9rob\u00e9e vers d&#8217;autres zones d&#8217;infrastructures plus s\u00e9curis\u00e9es.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/apt-hackers-targeting-industrial.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des entit\u00e9s situ\u00e9es en Afghanistan, en Malaisie et au Pakistan sont dans le collimateur d&#8217;une campagne d&#8217;attaques qui cible les serveurs Microsoft Exchange non corrig\u00e9s comme vecteur d&#8217;acc\u00e8s initial pour d\u00e9ployer le malware ShadowPad. La soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky, qui a d\u00e9tect\u00e9 l&#8217;activit\u00e9 pour la premi\u00e8re fois \u00e0 la mi-octobre 2021, attribu\u00e9 \u00e0 un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":228130,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,84,5863,4168,3976,4158,4165,4161,7084,70694,4157,4159,4171,4170,65,4167,4160,4163,4162,4394,2742,4172,4169,83812,5046,4166,4164],"class_list":["post-228129","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-avec","tag-ciblent","tag-comment-pirater","tag-controle","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-industriels","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-porte","tag-securite-informatique","tag-securite-internet","tag-shadowpad","tag-systemes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/228129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=228129"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/228129\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/228130"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=228129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=228129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=228129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}