{"id":340885,"date":"2022-08-31T02:51:25","date_gmt":"2022-08-31T04:51:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-ont-utilise-le-framework-scanbox-dans-les-recentes-attaques-de-cyberespionnage\/"},"modified":"2022-08-31T02:51:26","modified_gmt":"2022-08-31T04:51:26","slug":"les-pirates-chinois-ont-utilise-le-framework-scanbox-dans-les-recentes-attaques-de-cyberespionnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-ont-utilise-le-framework-scanbox-dans-les-recentes-attaques-de-cyberespionnage\/","title":{"rendered":"Les pirates chinois ont utilis\u00e9 le framework ScanBox dans les r\u00e9centes attaques de cyberespionnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une campagne de cyberespionnage de plusieurs mois men\u00e9e par un groupe d&#8217;\u00c9tats-nations chinois a cibl\u00e9 plusieurs entit\u00e9s avec des logiciels malveillants de reconnaissance afin de glaner des informations sur ses victimes et d&#8217;atteindre ses objectifs strat\u00e9giques.<\/p>\n<p>&#8220;Les cibles de cette r\u00e9cente campagne couvraient l&#8217;Australie, la Malaisie et l&#8217;Europe, ainsi que des entit\u00e9s op\u00e9rant dans la mer de Chine m\u00e9ridionale&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint. <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/chasing-currents-espionage-south-china-sea\" target=\"_blank\">a dit<\/a> dans une publication en partenariat avec PwC.<\/p>\n<p>Les cibles englobent les agences gouvernementales australiennes locales et f\u00e9d\u00e9rales, les soci\u00e9t\u00e9s de m\u00e9dias d&#8217;information australiennes et les fabricants mondiaux de l&#8217;industrie lourde qui effectuent la maintenance des flottes d&#8217;\u00e9oliennes dans la mer de Chine m\u00e9ridionale.<\/p>\n<p>Proofpoint et PwC ont attribu\u00e9 les intrusions avec une confiance mod\u00e9r\u00e9e \u00e0 un acteur de la menace suivi par les deux soci\u00e9t\u00e9s sous les noms respectifs de TA423 et Red Ladon, \u00e9galement connu sous les noms d&#8217;APT40 et de Leviathan.<\/p>\n<p>APT40 est le nom attribu\u00e9 \u00e0 un acteur de menace bas\u00e9 en Chine et motiv\u00e9 par l&#8217;espionnage, connu pour \u00eatre actif depuis 2013 et qui a un sch\u00e9ma d&#8217;entit\u00e9s frappantes dans la r\u00e9gion Asie-Pacifique, avec un accent principal sur la mer de Chine m\u00e9ridionale.  En juillet 2021, le gouvernement am\u00e9ricain et ses alli\u00e9s <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/chasing-currents-espionage-south-china-sea\" target=\"_blank\">li\u00e9<\/a> le collectif contradictoire au minist\u00e8re chinois de la S\u00e9curit\u00e9 d&#8217;\u00c9tat (MSS).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les attaques ont pris la forme de plusieurs vagues de campagnes de phishing entre le 12 avril et le 15 juin qui ont utilis\u00e9 des URL se faisant passer pour des entreprises de m\u00e9dias australiennes pour livrer le <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/7795936ed1bdb7a5756c1ff821b2dc8739966abbb00e3e0ae114ee728bf1cf1a\/detection\" target=\"_blank\">Bo\u00eete de num\u00e9risation<\/a> cadre de reconnaissance.  Les e-mails de phishing \u00e9taient accompagn\u00e9s d&#8217;objets tels que &#8220;Cong\u00e9 de maladie&#8221;, &#8220;Recherche d&#8217;utilisateurs&#8221; et &#8220;Demande de coop\u00e9ration&#8221;.<\/p>\n<p>Contrairement aux trous d&#8217;eau ou aux compromis Web strat\u00e9giques dans lesquels un site Web l\u00e9gitime connu pour \u00eatre visit\u00e9 par les cibles est infect\u00e9 par un code JavaScript malveillant, l&#8217;activit\u00e9 APT40 exploite un domaine contr\u00f4l\u00e9 par un acteur qui est utilis\u00e9 pour diffuser le logiciel malveillant.<\/p>\n<p>&#8220;L&#8217;acteur de la menace se ferait souvent passer pour un employ\u00e9 de la publication m\u00e9diatique fictive&#8221; Australian Morning News &#8220;, fournissant une URL vers le domaine malveillant et sollicitant des cibles pour consulter son site Web ou partager le contenu de recherche que le site Web publierait&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Attaques de cyberespionnage\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661921485_181_Les-pirates-chinois-ont-utilise-le-framework-ScanBox-dans-les.jpg\" title=\"Attaques de cyberespionnage\" \/><\/div>\n<p>ScanBox, utilis\u00e9 dans <a rel=\"nofollow noopener\" href=\"https:\/\/cybersecurity.att.com\/blogs\/labs-research\/scanbox-a-reconnaissance-framework-used-on-watering-hole-attacks\" target=\"_blank\">attaques<\/a> d\u00e8s 2014, est un <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/js.scanbox\" target=\"_blank\">Logiciels malveillants bas\u00e9s sur JavaScript<\/a> qui permet aux acteurs de la menace de profiler leurs victimes ainsi que de fournir des charges utiles de la prochaine \u00e9tape aux cibles d&#8217;int\u00e9r\u00eat.  Il est \u00e9galement connu pour \u00eatre partag\u00e9 en priv\u00e9 entre plusieurs groupes de piratage bas\u00e9s en Chine, tout comme HUI Loader, PlugX et ShadowPad.<\/p>\n<p>Certains des acteurs de menace notables qui ont d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9s \u00e0 l&#8217;aide de ScanBox incluent APT10 (alias Red Apollo ou Stone Panda), APT27 (alias Emissary Panda, Lucky Mouse ou Red Phoenix) et TA413 (alias Lucky Cat).<\/p>\n<p>Un certain nombre de plug-ins lui permettent \u00e9galement d&#8217;enregistrer les frappes au clavier, d&#8217;identifier le navigateur, de rassembler une liste des modules compl\u00e9mentaires de navigateur install\u00e9s, de communiquer avec les machines infect\u00e9es et de v\u00e9rifier la pr\u00e9sence de Logiciel Kaspersky Internet Security (KIS).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Ce n&#8217;est pas la premi\u00e8re fois qu&#8217;APT40 adopte le modus operandi consistant \u00e0 utiliser de faux sites Web d&#8217;informations pour d\u00e9ployer ScanBox.  Une campagne de phishing en 2018 <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/chinese-espionage-group-targets-cambodia-ahead-of-elections\" target=\"_blank\">d\u00e9couvert<\/a> par Mandiant a utilis\u00e9 des URL d&#8217;articles de presse h\u00e9berg\u00e9s sur un domaine escroc comme leurres pour inciter les destinataires \u00e0 t\u00e9l\u00e9charger le logiciel malveillant.<\/p>\n<p>Fait int\u00e9ressant, les attaques d&#8217;avril \u00e0 juin font partie d&#8217;une activit\u00e9 de phishing soutenue li\u00e9e au m\u00eame acteur mena\u00e7ant ciblant des organisations bas\u00e9es en Malaisie et en Australie ainsi que des entreprises mondiales potentiellement li\u00e9es \u00e0 des projets \u00e9nerg\u00e9tiques offshore en mer de Chine m\u00e9ridionale de mars 2021 \u00e0 mars 2022.<\/p>\n<p>Ces attaques ont utilis\u00e9 des documents RTF malveillants pour fournir un t\u00e9l\u00e9chargeur de premi\u00e8re \u00e9tape qui a ensuite agi comme un conduit pour r\u00e9cup\u00e9rer les versions cod\u00e9es du shellcode Meterpreter.  L&#8217;une des victimes de cette campagne de mars 2022 \u00e9tait un fabricant europ\u00e9en d&#8217;\u00e9quipements lourds utilis\u00e9s dans les parcs \u00e9oliens offshore du d\u00e9troit de Taiwan.<\/p>\n<p>Ce n&#8217;est pas tout.  APT40 a \u00e9galement \u00e9t\u00e9 attribu\u00e9 \u00e0 l&#8217;origine des compromis copier-coller que le Centre australien de cybers\u00e9curit\u00e9 (ACSC) a divulgu\u00e9s en juin 2020 et qui \u00e9taient dirig\u00e9s contre des agences gouvernementales.<\/p>\n<p>&#8220;Cet acteur de la menace a d\u00e9montr\u00e9 une concentration constante sur les entit\u00e9s impliqu\u00e9es dans l&#8217;exploration \u00e9nerg\u00e9tique en mer de Chine m\u00e9ridionale, en tandem avec des cibles nationales australiennes, notamment la d\u00e9fense et la sant\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/chinese-hackers-used-scanbox-framework.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une campagne de cyberespionnage de plusieurs mois men\u00e9e par un groupe d&#8217;\u00c9tats-nations chinois a cibl\u00e9 plusieurs entit\u00e9s avec des logiciels malveillants de reconnaissance afin de glaner des informations sur ses victimes et d&#8217;atteindre ses objectifs strat\u00e9giques. &#8220;Les cibles de cette r\u00e9cente campagne couvraient l&#8217;Australie, la Malaisie et l&#8217;Europe, ainsi que des entit\u00e9s op\u00e9rant dans la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":340886,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,5663,4168,4158,4165,4161,77840,429,39961,4157,4159,4171,4170,65,4167,4160,4163,4162,249,4394,4991,104780,4172,4169,1282,4166,4164],"class_list":["post-340885","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberespionnage","tag-dans","tag-framework","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-pirates","tag-recentes","tag-scanbox","tag-securite-informatique","tag-securite-internet","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/340885","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=340885"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/340885\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/340886"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=340885"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=340885"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=340885"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}