{"id":242022,"date":"2022-07-06T09:17:14","date_gmt":"2022-07-06T11:17:14","guid":{"rendered":"https:\/\/teknomers.com\/fr\/bitter-apt-hackers-continue-de-cibler-les-entites-militaires-du-bangladesh\/"},"modified":"2022-07-06T09:17:14","modified_gmt":"2022-07-06T11:17:14","slug":"bitter-apt-hackers-continue-de-cibler-les-entites-militaires-du-bangladesh","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/bitter-apt-hackers-continue-de-cibler-les-entites-militaires-du-bangladesh\/","title":{"rendered":"Bitter APT Hackers continue de cibler les entit\u00e9s militaires du Bangladesh"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les entit\u00e9s militaires situ\u00e9es au Bangladesh continuent d&#8217;\u00eatre la cible de cyberattaques soutenues par une menace persistante avanc\u00e9e identifi\u00e9e comme Bitter.<\/p>\n<p>&#8220;Par le biais de fichiers de documents malveillants et d&#8217;\u00e9tapes interm\u00e9diaires de logiciels malveillants, les acteurs de la menace m\u00e8nent l&#8217;espionnage en d\u00e9ployant des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SECUINFRA. <a rel=\"nofollow noopener\" href=\"https:\/\/www.secuinfra.com\/en\/techtalk\/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh\/\" target=\"_blank\">a dit<\/a> dans un nouvel article publi\u00e9 le 5 juillet.<\/p>\n<p>Les conclusions de la soci\u00e9t\u00e9 bas\u00e9e \u00e0 Berlin s&#8217;appuient sur un rapport pr\u00e9c\u00e9dent de Cisco Talos en mai, qui r\u00e9v\u00e9lait l&#8217;expansion du groupe dans le ciblage des organisations gouvernementales bangladaises avec une porte d\u00e9rob\u00e9e appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/c3rb3ru5d3d53c.github.io\/malware-blog\/2022-07-04-bitter-apt-zxxz-backdoor\/\" target=\"_blank\">ZxxZ<\/a>.<\/p>\n<p>Bitter, \u00e9galement suivi sous les noms de code APT-C-08 et T-APT-17, serait actif <a rel=\"nofollow noopener\" href=\"https:\/\/www.forcepoint.com\/blog\/x-labs\/bitter-targeted-attack-against-pakistan\" target=\"_blank\">depuis au moins fin 2013<\/a> et a l&#8217;habitude de cibler la Chine, le Pakistan et l&#8217;Arabie saoudite \u00e0 l&#8217;aide de diff\u00e9rents outils tels que BitterRAT et ArtraDownloader.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"265\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgugRYg4qB1B0qEEVepYJ3tAKj5IxgHd_ns0gUn19wVfnyzMYmWlFIutPxNHaLiYKKI3nQo6gsTH9QUkGKYE_7duhoBGSzGTJVWK8zLFI-daoX9gqg8V_TSbhl7tMlQDWzhvXbQLkwfDPIR52x6WoCFpN_sFFpEiz86xj_5waC3BIN2JGfDQzoLr1Ql\/s728-e100\/falcon.jpg\" \/><\/div>\n<p>La derni\u00e8re cha\u00eene d&#8217;attaque d\u00e9taill\u00e9e par SECUINFRA aurait \u00e9t\u00e9 men\u00e9e \u00e0 la mi-mai 2022, \u00e0 l&#8217;origine d&#8217;un document Excel militaris\u00e9 probablement distribu\u00e9 au moyen d&#8217;un e-mail de harponnage qui, une fois ouvert, exploite l&#8217;exploit Microsoft Equation Editor (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-0798\" target=\"_blank\">CVE-2018-0798<\/a>) pour supprimer le binaire de l&#8217;\u00e9tape suivante d&#8217;un serveur distant.<\/p>\n<p>ZxxZ (ou MuuyDownloader du Qi-Anxin Threat Intelligence Center), comme on appelle la charge utile t\u00e9l\u00e9charg\u00e9e, est impl\u00e9ment\u00e9 dans Visual C++ et fonctionne comme un implant de deuxi\u00e8me \u00e9tape qui permet \u00e0 l&#8217;adversaire de d\u00e9ployer des logiciels malveillants suppl\u00e9mentaires.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le changement le plus notable dans le logiciel malveillant est qu&#8217;il a abandonn\u00e9 l&#8217;utilisation de &#8220;ZxxZ&#8221; comme s\u00e9parateur utilis\u00e9 lors du renvoi d&#8217;informations au serveur de commande et de contr\u00f4le (C2) en faveur d&#8217;un trait de soulignement, ce qui sugg\u00e8re que le groupe apporte activement des modifications \u00e0 son code source pour rester sous le radar.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"394\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657106234_192_Bitter-APT-Hackers-continue-de-cibler-les-entites-militaires-du.jpg\" \/><\/div>\n<p>L&#8217;auteur de la menace utilise \u00e9galement dans ses campagnes une porte d\u00e9rob\u00e9e appel\u00e9e Almond RAT, un RAT bas\u00e9 sur .NET qui <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/binlmmhc\/status\/1530115191069110273\" target=\"_blank\">est apparu pour la premi\u00e8re fois<\/a> en mai 2022 et offre des fonctionnalit\u00e9s de collecte de donn\u00e9es de base et la possibilit\u00e9 d&#8217;ex\u00e9cuter des commandes arbitraires.  De plus, l&#8217;implant utilise des techniques d&#8217;obscurcissement et de cryptage de cha\u00eene pour \u00e9chapper \u00e0 la d\u00e9tection et entraver l&#8217;analyse.<\/p>\n<p>&#8220;Les principaux objectifs des Almond RAT semblent \u00eatre la d\u00e9couverte de syst\u00e8mes de fichiers, l&#8217;exfiltration de donn\u00e9es et un moyen de charger plus d&#8217;outils\/d&#8217;\u00e9tablir la persistance&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;La conception des outils semble \u00eatre con\u00e7ue de mani\u00e8re \u00e0 pouvoir \u00eatre rapidement modifi\u00e9e et adapt\u00e9e au sc\u00e9nario d&#8217;attaque actuel.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/bitter-apt-hackers-continue-to-target.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les entit\u00e9s militaires situ\u00e9es au Bangladesh continuent d&#8217;\u00eatre la cible de cyberattaques soutenues par une menace persistante avanc\u00e9e identifi\u00e9e comme Bitter. &#8220;Par le biais de fichiers de documents malveillants et d&#8217;\u00e9tapes interm\u00e9diaires de logiciels malveillants, les acteurs de la menace m\u00e8nent l&#8217;espionnage en d\u00e9ployant des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":242023,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,62215,11755,11338,4168,708,4158,4165,4161,32776,6578,4157,4159,4171,4170,65,4167,4621,4160,4163,4162,4172,4169,4166,4164],"class_list":["post-242022","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-bangladesh","tag-bitter","tag-cibler","tag-comment-pirater","tag-continue","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-entites","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-militaires","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/242022","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=242022"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/242022\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/242023"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=242022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=242022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=242022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}