APT41, l’acteur de la menace parrain\u00e9 par l’\u00c9tat et affili\u00e9 \u00e0 la Chine, a pirat\u00e9 au moins six r\u00e9seaux gouvernementaux am\u00e9ricains entre mai 2021 et f\u00e9vrier 2022 en r\u00e9organisant ses vecteurs d’attaque pour tirer parti des applications Web vuln\u00e9rables accessibles sur Internet.<\/p>\n
Les vuln\u00e9rabilit\u00e9s exploit\u00e9es comprenaient \u00ab une vuln\u00e9rabilit\u00e9 zero-day dans l’application USAHERDS (CVE-2021-44207<\/a>) ainsi que le d\u00e9sormais tristement c\u00e9l\u00e8bre zero-day dans Log4j (CVE-2021-44228)”, les chercheurs de Mandiant mentionn\u00e9<\/a> dans un rapport publi\u00e9 mardi, qualifiant cela de “campagne d\u00e9lib\u00e9r\u00e9e”.<\/p>\n Outre les compromissions Web, les attaques persistantes impliquaient \u00e9galement la militarisation de l’exploitation des vuln\u00e9rabilit\u00e9s de d\u00e9s\u00e9rialisation, d’injection SQL et de travers\u00e9e de r\u00e9pertoires, a not\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 et de r\u00e9ponse aux incidents.<\/p>\n La menace persistante avanc\u00e9e prolifique, \u00e9galement connue sous les surnoms Barium et Winnti, a un palmar\u00e8s<\/a> de cibler des organisations des secteurs public et priv\u00e9 pour orchestrer des activit\u00e9s d’espionnage parall\u00e8lement \u00e0 des op\u00e9rations \u00e0 motivation financi\u00e8re.<\/p>\n D\u00e9but 2020, le groupe a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne mondiale d’intrusion qui a exploit\u00e9 une vari\u00e9t\u00e9 d’exploits impliquant Citrix NetScaler\/ADC, les routeurs Cisco et Zoho ManageEngine Desktop Central pour frapper des dizaines d’entit\u00e9s dans 20 pays avec des charges utiles malveillantes.<\/p>\n La derni\u00e8re divulgation poursuit la tendance d’APT41 \u00e0 coopter rapidement les vuln\u00e9rabilit\u00e9s nouvellement divulgu\u00e9es telles que Log4Shell pour obtenir un acc\u00e8s initial aux r\u00e9seaux cibles de deux gouvernements d’\u00c9tats am\u00e9ricains aux c\u00f4t\u00e9s de soci\u00e9t\u00e9s d’assurance et de t\u00e9l\u00e9communications dans les heures qui suivent leur diffusion publique.<\/p>\n Les intrusions se sont poursuivies jusqu’en f\u00e9vrier 2022 lorsque l’\u00e9quipe de piratage a compromis \u00e0 nouveau deux victimes du gouvernement de l’\u00c9tat am\u00e9ricain qui ont \u00e9t\u00e9 infiltr\u00e9es pour la premi\u00e8re fois en mai et juin 2021, “d\u00e9montrant leur d\u00e9sir incessant d’acc\u00e9der aux r\u00e9seaux du gouvernement de l’\u00c9tat”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n De plus, l’implantation \u00e9tablie apr\u00e8s l’exploitation de Log4Shell a entra\u00een\u00e9 le d\u00e9ploiement d’une nouvelle variante d’une porte d\u00e9rob\u00e9e C++ modulaire appel\u00e9e KEYPLUG sur les syst\u00e8mes Linux, mais pas avant d’avoir effectu\u00e9 une reconnaissance et une collecte d’informations d’identification approfondies des environnements cibles.<\/p>\n Un compte-gouttes en m\u00e9moire appel\u00e9 DUSTPAN (aka Vecteur furtif<\/a>) qui est orchestr\u00e9e pour ex\u00e9cuter la charge utile de l’\u00e9tape suivante, aux c\u00f4t\u00e9s d’outils post-compromis avanc\u00e9s tels que \u0152IL MORT<\/a>un chargeur de logiciels malveillants charg\u00e9 de lancer le DISCRET<\/a> implant.<\/p>\n Le principal parmi la vari\u00e9t\u00e9 de techniques, de m\u00e9thodes d’\u00e9vasion et de capacit\u00e9s utilis\u00e9es par APT41 impliquait l’utilisation “consid\u00e9rablement accrue” des services Cloudflare pour les communications de commande et de contr\u00f4le (C2) et l’exfiltration de donn\u00e9es, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n Bien que Mandiant ait not\u00e9 avoir trouv\u00e9 des preuves que les adversaires exfiltraient des informations personnellement identifiables qui sont g\u00e9n\u00e9ralement conformes \u00e0 une op\u00e9ration d’espionnage, le but ultime de la campagne n’est actuellement pas clair.<\/p>\n Les d\u00e9couvertes marquent \u00e9galement la deuxi\u00e8me fois qu’un groupe d’\u00c9tats-nations chinois a abus\u00e9 des failles de s\u00e9curit\u00e9 de la biblioth\u00e8que omnipr\u00e9sente Apache Log4j pour p\u00e9n\u00e9trer des cibles.<\/p>\n En janvier 2022, Microsoft a d\u00e9taill\u00e9 une campagne d’attaque mont\u00e9e par Hafnium – l’acteur de la menace derri\u00e8re l’exploitation g\u00e9n\u00e9ralis\u00e9e des failles d’Exchange Server il y a un an – qui a utilis\u00e9 la vuln\u00e9rabilit\u00e9 pour “attaquer l’infrastructure de virtualisation pour \u00e9tendre son ciblage typique”.<\/p>\n Si quoi que ce soit, les derni\u00e8res activit\u00e9s sont encore un autre signe d’un adversaire en constante adaptation qui est capable de d\u00e9placer ses poteaux de but ainsi que d’affiner son arsenal de logiciels malveillants pour frapper des entit\u00e9s \u00e0 travers le monde qui pr\u00e9sentent un int\u00e9r\u00eat strat\u00e9gique.<\/p>\n Les cyber-op\u00e9rations d’APT41 contre les secteurs de la sant\u00e9, de la haute technologie et des t\u00e9l\u00e9communications au fil des ans ont depuis attir\u00e9 l’attention du minist\u00e8re am\u00e9ricain de la Justice, qui a port\u00e9 des accusations contre cinq membres du groupe en 2020, ce qui a permis aux pirates de se faire une place sur les sites les plus recherch\u00e9s du FBI. liste.<\/p>\n “APT41 peut rapidement adapter ses techniques d’acc\u00e8s initiales en compromettant \u00e0 nouveau un environnement via un vecteur diff\u00e9rent, ou en op\u00e9rationnalisant rapidement une nouvelle vuln\u00e9rabilit\u00e9”, ont d\u00e9clar\u00e9 les chercheurs. “Le groupe d\u00e9montre \u00e9galement une volont\u00e9 de r\u00e9outiller et de d\u00e9ployer des capacit\u00e9s via de nouveaux vecteurs d’attaque au lieu de les conserver pour une utilisation future.”<\/p>\n Dans un d\u00e9veloppement connexe, le groupe d’analyse des menaces de Google mentionn\u00e9<\/a> il a pris des mesures pour bloquer une campagne de phishing organis\u00e9e par un autre groupe soutenu par l’\u00c9tat chinois suivi comme APT31<\/a> (alias Zirconium) le mois dernier qui visait “les utilisateurs de haut niveau de Gmail affili\u00e9s au gouvernement am\u00e9ricain”.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646124018_583_Le-logiciel-malveillant-Daxin-lie-a-la-Chine-a-cible.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646853979_254_Des-hackers-APT41-chinois-ont-fait-irruption-dans-au-moins.jpeg\")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n