{"id":295272,"date":"2022-08-04T10:29:34","date_gmt":"2022-08-04T12:29:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-ont-exploite-le-bogue-atlassian-confluence-pour-deployer-la-porte-derobee-ljl-a-des-fins-despionnage\/"},"modified":"2022-08-04T10:29:35","modified_gmt":"2022-08-04T12:29:35","slug":"les-pirates-ont-exploite-le-bogue-atlassian-confluence-pour-deployer-la-porte-derobee-ljl-a-des-fins-despionnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-ont-exploite-le-bogue-atlassian-confluence-pour-deployer-la-porte-derobee-ljl-a-des-fins-despionnage\/","title":{"rendered":"Les pirates ont exploit\u00e9 le bogue Atlassian Confluence pour d\u00e9ployer la porte d\u00e9rob\u00e9e Ljl \u00e0 des fins d&#8217;espionnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur mena\u00e7ant aurait &#8220;tr\u00e8s probablement&#8221; exploit\u00e9 une faille de s\u00e9curit\u00e9 dans un serveur Atlassian Confluence obsol\u00e8te pour d\u00e9ployer une porte d\u00e9rob\u00e9e in\u00e9dite contre une organisation anonyme du secteur de la recherche et des services techniques.<\/p>\n<p>L&#8217;attaque, qui s&#8217;est d\u00e9roul\u00e9e sur une p\u00e9riode de sept jours \u00e0 la fin du mois de mai, a \u00e9t\u00e9 attribu\u00e9e \u00e0 un cluster d&#8217;activit\u00e9s de menace suivi par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Deepwatch comme <strong>TAC-040<\/strong>.<\/p>\n<p>&#8220;Les preuves indiquent que l&#8217;auteur de la menace a ex\u00e9cut\u00e9 des commandes malveillantes avec un processus parent de tomcat9.exe dans le r\u00e9pertoire Confluence d&#8217;Atlassian&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepwatch.com\/labs\/deepwatch-ati-detects-and-responds-to-never-before-discovered-backdoor-deployed-using-confluence-vulnerability-for-suspected-espionage\/\" target=\"_blank\">a dit<\/a>.  &#8220;Apr\u00e8s la compromission initiale, l&#8217;auteur de la menace a ex\u00e9cut\u00e9 diverses commandes pour \u00e9num\u00e9rer le syst\u00e8me local, le r\u00e9seau et l&#8217;environnement Active Directory.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La vuln\u00e9rabilit\u00e9 Atlassian soup\u00e7onn\u00e9e d&#8217;avoir \u00e9t\u00e9 exploit\u00e9e est CVE-2022-26134, une faille d&#8217;injection OGNL (Object-Graph Navigation Language) qui ouvre la voie \u00e0 l&#8217;ex\u00e9cution de code arbitraire sur une instance Confluence Server ou Data Center.<\/p>\n<p>Suite \u00e0 des rapports d&#8217;exploitation active dans des attaques r\u00e9elles, le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu par la soci\u00e9t\u00e9 australienne le 4 juin 2022.<\/p>\n<p>Mais \u00e9tant donn\u00e9 l&#8217;absence d&#8217;artefacts m\u00e9dico-l\u00e9gaux, Deepwatch a \u00e9mis l&#8217;hypoth\u00e8se que la violation aurait pu impliquer l&#8217;exploitation de la vuln\u00e9rabilit\u00e9 Spring4Shell (CVE-2022-22965) pour obtenir un acc\u00e8s initial \u00e0 l&#8217;application Web Confluence.<\/p>\n<p>On ne sait pas grand-chose sur TAC-040 autre que le fait que les objectifs du collectif contradictoire pourraient \u00eatre li\u00e9s \u00e0 l&#8217;espionnage, bien que la possibilit\u00e9 que le groupe ait pu agir par gain financier n&#8217;ait pas \u00e9t\u00e9 exclue, citant la pr\u00e9sence d&#8217;un chargeur pour un crypto-mineur XMRig sur le syst\u00e8me.<\/p>\n<p>Bien qu&#8217;il n&#8217;y ait aucune preuve que le mineur ait \u00e9t\u00e9 ex\u00e9cut\u00e9 lors de cet incident, l&#8217;adresse Monero d\u00e9tenue par les acteurs de la menace a rapport\u00e9 au moins 652 XMR (106 000 $) en d\u00e9tournant les ressources informatiques d&#8217;autres syst\u00e8mes pour exploiter illicitement la crypto-monnaie.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La cha\u00eene d&#8217;attaque est \u00e9galement remarquable pour le d\u00e9ploiement d&#8217;un implant auparavant non document\u00e9 appel\u00e9 Ljl Backdoor sur le serveur compromis.  On estime qu&#8217;environ 700 Mo de donn\u00e9es archiv\u00e9es ont \u00e9t\u00e9 exfiltr\u00e9es avant que le serveur ne soit mis hors ligne par la victime, selon une analyse des journaux du r\u00e9seau.<\/p>\n<p>Le malware, pour sa part, est un virus cheval de Troie complet con\u00e7u pour collecter des fichiers et des comptes d&#8217;utilisateurs, charger des charges utiles .NET arbitraires et amasser des informations syst\u00e8me ainsi que l&#8217;emplacement g\u00e9ographique de la victime. <\/p>\n<p>&#8220;La victime a refus\u00e9 \u00e0 l&#8217;acteur de la menace la possibilit\u00e9 de se d\u00e9placer lat\u00e9ralement dans l&#8217;environnement en mettant le serveur hors ligne, emp\u00eachant potentiellement l&#8217;exfiltration de donn\u00e9es sensibles suppl\u00e9mentaires et limitant la capacit\u00e9 de l&#8217;acteur de la menace \u00e0 mener d&#8217;autres activit\u00e9s malveillantes.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/hackers-exploited-atlassian-confluence.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur mena\u00e7ant aurait &#8220;tr\u00e8s probablement&#8221; exploit\u00e9 une faille de s\u00e9curit\u00e9 dans un serveur Atlassian Confluence obsol\u00e8te pour d\u00e9ployer une porte d\u00e9rob\u00e9e in\u00e9dite contre une organisation anonyme du secteur de la recherche et des services techniques. L&#8217;attaque, qui s&#8217;est d\u00e9roul\u00e9e sur une p\u00e9riode de sept jours \u00e0 la fin du mois de mai, a \u00e9t\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":295273,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[54518,6813,4168,35371,4158,4165,4161,9886,7084,133,10729,7727,15298,4157,4159,4171,4170,65,96752,4167,4160,4163,4162,249,4394,2742,185,4172,4169,4166,4164],"class_list":["post-295272","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-atlassian","tag-bogue","tag-comment-pirater","tag-confluence","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-derobee","tag-des","tag-despionnage","tag-exploite","tag-fins","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-ljl","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-pirates","tag-porte","tag-pour","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/295272","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=295272"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/295272\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/295273"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=295272"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=295272"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=295272"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}