{"id":321706,"date":"2022-08-19T14:24:34","date_gmt":"2022-08-19T16:24:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/donot-team-hackers-a-mis-a-jour-sa-boite-a-outils-contre-les-logiciels-malveillants-avec-des-capacites-ameliorees\/"},"modified":"2022-08-19T14:24:35","modified_gmt":"2022-08-19T16:24:35","slug":"donot-team-hackers-a-mis-a-jour-sa-boite-a-outils-contre-les-logiciels-malveillants-avec-des-capacites-ameliorees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/donot-team-hackers-a-mis-a-jour-sa-boite-a-outils-contre-les-logiciels-malveillants-avec-des-capacites-ameliorees\/","title":{"rendered":"DoNot Team Hackers a mis \u00e0 jour sa bo\u00eete \u00e0 outils contre les logiciels malveillants avec des capacit\u00e9s am\u00e9lior\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>La <b>Ne pas l&#8217;\u00e9quipe<\/b> l&#8217;acteur de la menace a mis \u00e0 jour son <b>Jaca<\/b> Bo\u00eete \u00e0 outils Windows contre les logiciels malveillants avec des fonctionnalit\u00e9s am\u00e9lior\u00e9es, y compris un module de vol remani\u00e9 con\u00e7u pour piller les informations des navigateurs Google Chrome et Mozilla Firefox.<\/p>\n<p>Les am\u00e9liorations incluent \u00e9galement une nouvelle cha\u00eene d&#8217;infection qui int\u00e8gre des composants auparavant non document\u00e9s au cadre modulaire, les chercheurs de Morphisec Hido Cohen et Arnold Osipov <a rel=\"nofollow noopener\" href=\"https:\/\/blog.morphisec.com\/apt-c-35-new-windows-framework-revealed\" target=\"_blank\">divulgu\u00e9<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>\u00c9galement connue sous le nom d&#8217;APT-C-35 et de Viceroy Tiger, l&#8217;\u00e9quipe Donot est connue pour avoir jet\u00e9 son d\u00e9volu sur des entit\u00e9s de d\u00e9fense, diplomatiques, gouvernementales et militaires en Inde, au Pakistan, au Sri Lanka et au Bangladesh, entre autres au moins depuis 2016.<\/p>\n<p>Des preuves d\u00e9couvertes par Amnesty International en octobre 2021 reliaient l&#8217;infrastructure d&#8217;attaque du groupe \u00e0 une soci\u00e9t\u00e9 indienne de cybers\u00e9curit\u00e9 appel\u00e9e Innefu Labs.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les campagnes de harponnage contenant des documents Microsoft Office malveillants sont la voie de diffusion pr\u00e9f\u00e9r\u00e9e des logiciels malveillants, suivies par l&#8217;exploitation des macros et d&#8217;autres vuln\u00e9rabilit\u00e9s connues dans le logiciel de productivit\u00e9 pour lancer la porte d\u00e9rob\u00e9e.<\/p>\n<p>Les derni\u00e8res d\u00e9couvertes de Morphisec s&#8217;appuient sur un rapport ant\u00e9rieur de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 ESET, qui d\u00e9taillait les intrusions de l&#8217;adversaire contre des organisations militaires bas\u00e9es en Asie du Sud en utilisant plusieurs versions de son framework de logiciels malveillants yty, dont Jaca.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Les hackers de l'\u00e9quipe DoNot\" border=\"0\" data-original-height=\"592\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660926273_351_DoNot-Team-Hackers-a-mis-a-jour-sa-boite-a.jpg\" title=\"Les hackers de l'\u00e9quipe DoNot\" \/><\/div>\n<p>Cela implique l&#8217;utilisation de documents RTF qui incitent les utilisateurs \u00e0 activer des macros, ce qui entra\u00eene l&#8217;ex\u00e9cution d&#8217;un morceau de shellcode inject\u00e9 dans la m\u00e9moire qui, \u00e0 son tour, est orchestr\u00e9 pour t\u00e9l\u00e9charger un shellcode de deuxi\u00e8me \u00e9tape \u00e0 partir de son command-and-control (C2) serveur.<\/p>\n<p>La deuxi\u00e8me \u00e9tape agit ensuite comme un canal pour r\u00e9cup\u00e9rer un fichier DLL (&#8220;pgixedfxglmjirdc.dll&#8221; \u00e0 partir d&#8217;un autre serveur distant, qui d\u00e9marre l&#8217;infection r\u00e9elle en signalant les informations syst\u00e8me au serveur C2, en \u00e9tablissant la persistance via une t\u00e2che planifi\u00e9e et en r\u00e9cup\u00e9rant la DLL de l&#8217;\u00e9tape suivante (&#8220;WavemsMp.dll&#8221;). <\/p>\n<p>&#8220;Le but principal de cette \u00e9tape est de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter les modules utilis\u00e9s pour voler les informations de l&#8217;utilisateur&#8221;, ont not\u00e9 les chercheurs.  &#8220;Pour comprendre quels modules sont utilis\u00e9s dans l&#8217;infection actuelle, le logiciel malveillant communique avec un autre serveur C2.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le domaine C2, quant \u00e0 lui, est obtenu en acc\u00e9dant \u00e0 un lien embarqu\u00e9 qui pointe vers un document Google Drive, permettant au malware d&#8217;acc\u00e9der \u00e0 une configuration qui dicte les modules \u00e0 t\u00e9l\u00e9charger et \u00e0 ex\u00e9cuter.<\/p>\n<p>Ces modules \u00e9tendent les fonctionnalit\u00e9s du logiciel malveillant et collectent un large \u00e9ventail de donn\u00e9es telles que les frappes au clavier, les captures d&#8217;\u00e9cran, les fichiers et les informations stock\u00e9es dans les navigateurs Web.  En outre, une partie de l&#8217;ensemble d&#8217;outils est un module de shell invers\u00e9 qui accorde \u00e0 l&#8217;acteur un acc\u00e8s \u00e0 distance \u00e0 la machine victime.<\/p>\n<p>Ce d\u00e9veloppement est un autre signe que les acteurs de la menace adaptent activement leurs tactiques et techniques qui sont les plus efficaces pour obtenir l&#8217;infection initiale et maintenir l&#8217;acc\u00e8s \u00e0 distance pendant de longues p\u00e9riodes.<\/p>\n<p>&#8220;Se d\u00e9fendre contre des APT comme l&#8217;\u00e9quipe Donot n\u00e9cessite une strat\u00e9gie de d\u00e9fense en profondeur qui utilise plusieurs couches de s\u00e9curit\u00e9 pour assurer la redondance en cas de violation d&#8217;une couche donn\u00e9e&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/donot-team-hackers-updated-its-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La Ne pas l&#8217;\u00e9quipe l&#8217;acteur de la menace a mis \u00e0 jour son Jaca Bo\u00eete \u00e0 outils Windows contre les logiciels malveillants avec des fonctionnalit\u00e9s am\u00e9lior\u00e9es, y compris un module de vol remani\u00e9 con\u00e7u pour piller les informations des navigateurs Google Chrome et Mozilla Firefox. Les am\u00e9liorations incluent \u00e9galement une nouvelle cha\u00eene d&#8217;infection qui int\u00e8gre [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":321707,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[44826,84,5905,24352,4168,841,4158,4165,4161,133,101517,6578,3995,4157,4159,4171,4170,65,4167,4589,4590,4103,4160,4163,4162,24879,4172,4169,2944,4166,4164],"class_list":["post-321706","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ameliorees","tag-avec","tag-boite","tag-capacites","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-donot","tag-hackers","tag-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mis","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-outils","tag-securite-informatique","tag-securite-internet","tag-team","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/321706","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=321706"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/321706\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/321707"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=321706"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=321706"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=321706"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}