{"id":247675,"date":"2022-07-09T08:59:15","date_gmt":"2022-07-09T10:59:15","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-le-bogue-follina-pour-deployer-rozena-backdoor\/"},"modified":"2022-07-09T08:59:16","modified_gmt":"2022-07-09T10:59:16","slug":"les-pirates-exploitent-le-bogue-follina-pour-deployer-rozena-backdoor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-le-bogue-follina-pour-deployer-rozena-backdoor\/","title":{"rendered":"Les pirates exploitent le bogue Follina pour d\u00e9ployer Rozena Backdoor"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une campagne de phishing r\u00e9cemment observ\u00e9e exploite la vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 Follina r\u00e9cemment r\u00e9v\u00e9l\u00e9e pour distribuer une porte d\u00e9rob\u00e9e auparavant non document\u00e9e sur les syst\u00e8mes Windows.<\/p>\n<p>&#8220;Rozena est un logiciel malveillant de porte d\u00e9rob\u00e9e capable d&#8217;injecter une connexion shell distante sur la machine de l&#8217;attaquant&#8221;, a d\u00e9clar\u00e9 Cara Lin, chercheuse chez Fortinet FortiGuard Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/follina-rozena-leveraging-discord-to-distribute-a-backdoor\" target=\"_blank\">a dit<\/a> dans un rapport cette semaine.<\/p>\n<p>Suivie sous le nom de CVE-2022-30190, la vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance Microsoft Windows Support Diagnostic Tool (MSDT) d\u00e9sormais corrig\u00e9e a \u00e9t\u00e9 fortement exploit\u00e9e ces derni\u00e8res semaines depuis sa d\u00e9couverte fin mai 2022.<\/p>\n<p>Le point de d\u00e9part de la derni\u00e8re cha\u00eene d&#8217;attaque observ\u00e9e par Fortinet est une arme <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/432bae48edf446539cae5e20623c39507ad65e21cb757fb514aba635d3ae67d6\/details\" target=\"_blank\">Document de bureau<\/a> qui, une fois ouvert, se connecte \u00e0 une URL Discord CDN pour r\u00e9cup\u00e9rer un fichier HTML (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/3558840ffbc81839a5923ed2b675c1970cdd7c9e0036a91a0a728af14f80eff3\/details\" target=\"_blank\">index.htm<\/a>&#8220;) qui, \u00e0 son tour, appelle l&#8217;utilitaire de diagnostic \u00e0 l&#8217;aide d&#8217;une commande PowerShell pour t\u00e9l\u00e9charger les charges utiles de l&#8217;\u00e9tape suivante \u00e0 partir du m\u00eame espace de pi\u00e8ce jointe CDN.<\/p>\n<p>Cela inclut l&#8217;implant Rozena (&#8220;Word.exe&#8221;) et un fichier de commandes (&#8220;cd.bat&#8221;) con\u00e7u pour mettre fin aux processus MSDT, \u00e9tablir la persistance de la porte d\u00e9rob\u00e9e au moyen de la modification du registre Windows et t\u00e9l\u00e9charger un document Word inoffensif comme leurre .<\/p>\n<p>La fonction principale du malware est d&#8217;injecter un shellcode qui lance un reverse shell sur l&#8217;h\u00f4te de l&#8217;attaquant (&#8220;microsofto.duckdns[.]org&#8221;), permettant finalement \u00e0 l&#8217;attaquant de prendre le contr\u00f4le du syst\u00e8me requis pour surveiller et capturer les informations, tout en maintenant une porte d\u00e9rob\u00e9e vers le syst\u00e8me compromis.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Porte d\u00e9rob\u00e9e de Rozena\" border=\"0\" data-original-height=\"267\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657364354_250_Les-pirates-exploitent-le-bogue-Follina-pour-deployer-Rozena-Backdoor.jpg\" title=\"Porte d\u00e9rob\u00e9e de Rozena\" \/><\/div>\n<p>L&#8217;exploitation de la faille Follina pour distribuer des logiciels malveillants via des documents Word malveillants intervient sous la forme d&#8217;attaques d&#8217;ing\u00e9nierie sociale <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/notable-droppers-emerge-in-recent-threat-campaigns\" target=\"_blank\">s&#8217;appuyer<\/a> sur Microsoft Excel, le raccourci Windows (LNK) et les fichiers image ISO en tant que compte-gouttes pour d\u00e9ployer des logiciels malveillants tels qu&#8217;Emotet, QBot, IcedID et Bumblebee sur l&#8217;appareil d&#8217;une victime.<\/p>\n<p>On dit que les droppers sont distribu\u00e9s via des e-mails qui contiennent directement le dropper ou un ZIP prot\u00e9g\u00e9 par mot de passe en pi\u00e8ce jointe, un fichier HTML qui extrait le dropper lorsqu&#8217;il est ouvert, ou un lien pour t\u00e9l\u00e9charger le dropper dans le corps de l&#8217;email.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Alors que les attaques rep\u00e9r\u00e9es d\u00e9but avril mettaient en \u00e9vidence des fichiers Excel avec des macros XLM, la d\u00e9cision de Microsoft de bloquer les macros par d\u00e9faut \u00e0 peu pr\u00e8s au m\u00eame moment aurait forc\u00e9 les acteurs de la menace \u00e0 se tourner vers des m\u00e9thodes alternatives comme la contrebande HTML ainsi que les fichiers .LNK et .ISO. .<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Porte d\u00e9rob\u00e9e de Rozena\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657364355_941_Les-pirates-exploitent-le-bogue-Follina-pour-deployer-Rozena-Backdoor.jpg\" title=\"Porte d\u00e9rob\u00e9e de Rozena\" \/><\/div>\n<p>Le mois dernier, Cyble a divulgu\u00e9 les d\u00e9tails d&#8217;un outil malveillant appel\u00e9 Quantum qui est vendu sur des forums clandestins afin de doter les cybercriminels de capacit\u00e9s pour cr\u00e9er des fichiers .LNK et .ISO malveillants.<\/p>\n<p>Il vaut la peine de noter que <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/microsoft-365\/security\/intelligence\/macro-malware\" target=\"_blank\">macros<\/a> ont \u00e9t\u00e9 un vecteur d&#8217;attaque \u00e9prouv\u00e9 pour les adversaires cherchant \u00e0 d\u00e9poser des ran\u00e7ongiciels et autres logiciels malveillants sur les syst\u00e8mes Windows, que ce soit par le biais d&#8217;e-mails de phishing ou d&#8217;autres moyens.<\/p>\n<p>Microsoft a depuis temporairement suspendu ses projets de d\u00e9sactivation des macros Office dans les fichiers t\u00e9l\u00e9charg\u00e9s sur Internet, la soci\u00e9t\u00e9 ayant d\u00e9clar\u00e9 \u00e0 The Hacker News qu&#8217;elle prenait le temps d&#8217;apporter &#8220;des modifications suppl\u00e9mentaires pour am\u00e9liorer la convivialit\u00e9&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/hackers-exploiting-follina-bug-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une campagne de phishing r\u00e9cemment observ\u00e9e exploite la vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 Follina r\u00e9cemment r\u00e9v\u00e9l\u00e9e pour distribuer une porte d\u00e9rob\u00e9e auparavant non document\u00e9e sur les syst\u00e8mes Windows. &#8220;Rozena est un logiciel malveillant de porte d\u00e9rob\u00e9e capable d&#8217;injecter une connexion shell distante sur la machine de l&#8217;attaquant&#8221;, a d\u00e9clar\u00e9 Cara Lin, chercheuse chez Fortinet FortiGuard Labs. a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":247676,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8540,6813,4168,4158,4165,4161,9886,8736,74592,4157,4159,4171,4170,65,4167,4160,4163,4162,4394,185,87762,4172,4169,4166,4164],"class_list":["post-247675","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-backdoor","tag-bogue","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-exploitent","tag-follina","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-rozena","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/247675","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=247675"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/247675\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/247676"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=247675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=247675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=247675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}