{"id":362485,"date":"2022-09-13T10:25:23","date_gmt":"2022-09-13T12:25:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-gouvernements-et-organisations-asiatiques-cibles-par-les-dernieres-attaques-de-cyberespionnage\/"},"modified":"2022-09-13T10:25:24","modified_gmt":"2022-09-13T12:25:24","slug":"les-gouvernements-et-organisations-asiatiques-cibles-par-les-dernieres-attaques-de-cyberespionnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-gouvernements-et-organisations-asiatiques-cibles-par-les-dernieres-attaques-de-cyberespionnage\/","title":{"rendered":"Les gouvernements et organisations asiatiques cibl\u00e9s par les derni\u00e8res attaques de cyberespionnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le gouvernement et les organisations publiques d&#8217;un certain nombre de pays asiatiques ont \u00e9t\u00e9 cibl\u00e9s par un groupe distinct de pirates informatiques dans le cadre d&#8217;une mission de collecte de renseignements en cours depuis le d\u00e9but de 2021.<\/p>\n<p>&#8220;Une caract\u00e9ristique notable de ces attaques est que les attaquants ont exploit\u00e9 une large gamme de progiciels l\u00e9gitimes afin de charger leurs charges utiles de logiciels malveillants \u00e0 l&#8217;aide d&#8217;une technique connue sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Chargement lat\u00e9ral de DLL<\/a>&#8220;, l&#8217;\u00e9quipe Symantec Threat Hunter, qui fait partie de Broadcom Software, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/espionage-asia-governments\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>La campagne serait exclusivement destin\u00e9e aux institutions gouvernementales li\u00e9es \u00e0 la finance, \u00e0 l&#8217;a\u00e9rospatiale et \u00e0 la d\u00e9fense, ainsi qu&#8217;aux entreprises publiques de m\u00e9dias, d&#8217;informatique et de t\u00e9l\u00e9communications. <\/p>\n<p>Le chargement lat\u00e9ral de la biblioth\u00e8que de liens dynamiques (DLL) est une m\u00e9thode de cyberattaque populaire qui exploite la fa\u00e7on dont les applications Microsoft Windows g\u00e8rent les fichiers DLL.  Lors de ces intrusions, une DLL malveillante usurp\u00e9e est implant\u00e9e dans Windows Side-by-Side (<a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/windows-hardware\/manufacture\/desktop\/manage-the-component-store\" target=\"_blank\">WinSxS<\/a>) afin que le syst\u00e8me d&#8217;exploitation le charge \u00e0 la place du fichier l\u00e9gitime.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les attaques impliquent l&#8217;utilisation de versions anciennes et obsol\u00e8tes de solutions de s\u00e9curit\u00e9, de logiciels graphiques et de navigateurs Web qui ne disposent pas d&#8217;att\u00e9nuations pour le chargement lat\u00e9ral de DLL, les utilisant comme conduit pour charger un shellcode arbitraire con\u00e7u pour ex\u00e9cuter des charges utiles suppl\u00e9mentaires.<\/p>\n<p>En outre, les progiciels se doublent \u00e9galement d&#8217;un moyen de fournir des outils pour faciliter le vol d&#8217;informations d&#8217;identification et le mouvement lat\u00e9ral sur le r\u00e9seau compromis.<\/p>\n<p>&#8220;[The threat actor] ont exploit\u00e9 PsExec pour ex\u00e9cuter d&#8217;anciennes versions de logiciels l\u00e9gitimes qui ont ensuite \u00e9t\u00e9 utilis\u00e9es pour charger des outils malveillants suppl\u00e9mentaires tels que des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RATS) pr\u00eats \u00e0 l&#8217;emploi via le chargement lat\u00e9ral de DLL sur d&#8217;autres ordinateurs sur les r\u00e9seaux \u00bb, ont not\u00e9 les chercheurs.<\/p>\n<p>L&#8217;une des attaques contre une organisation gouvernementale du secteur de l&#8217;\u00e9ducation en Asie a dur\u00e9 d&#8217;avril \u00e0 juillet 2022, au cours de laquelle l&#8217;adversaire a acc\u00e9d\u00e9 \u00e0 des machines h\u00e9bergeant des bases de donn\u00e9es et des e-mails, avant d&#8217;acc\u00e9der au contr\u00f4leur de domaine.<\/p>\n<p>L&#8217;intrusion a \u00e9galement utilis\u00e9 une version vieille de 11 ans de Bitdefender Crash Handler (&#8220;javac.exe&#8221;) pour lancer une version renomm\u00e9e de Mimikatz (&#8220;calc.exe&#8221;), un framework de test d&#8217;intrusion Golang open source appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/k8gege\/LadonGo\" target=\"_blank\">LadonAller<\/a>et d&#8217;autres charges utiles personnalis\u00e9es sur plusieurs h\u00f4tes.<\/p>\n<p>L&#8217;un d&#8217;entre eux est un voleur d&#8217;informations riche en fonctionnalit\u00e9s, jusqu&#8217;alors non document\u00e9, capable d&#8217;enregistrer des frappes au clavier, de capturer des captures d&#8217;\u00e9cran, de se connecter et d&#8217;interroger des bases de donn\u00e9es SQL, de t\u00e9l\u00e9charger des fichiers et de voler des donn\u00e9es de presse-papiers.<\/p>\n<p>Un outil d&#8217;analyse intranet accessible au public nomm\u00e9 Fscan est \u00e9galement utilis\u00e9 dans l&#8217;attaque pour effectuer des tentatives d&#8217;exploitation en exploitant les vuln\u00e9rabilit\u00e9s de ProxyLogon Microsoft Exchange Server.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>L&#8217;identit\u00e9 du groupe de menaces n&#8217;est pas claire, bien qu&#8217;il ait utilis\u00e9 ShadowPad lors de campagnes pr\u00e9c\u00e9dentes, une porte d\u00e9rob\u00e9e modulaire con\u00e7ue comme un successeur de PlugX (alias Korplug) et partag\u00e9e par de nombreux acteurs chinois de la menace.<\/p>\n<p>Symantec a d\u00e9clar\u00e9 qu&#8217;il disposait de preuves limit\u00e9es reliant les attaques ant\u00e9rieures de l&#8217;acteur mena\u00e7ant impliquant le malware PlugX \u00e0 d&#8217;autres groupes de piratage chinois tels que APT41 (alias Wicked Panda) et Mustang Panda.  De plus, l&#8217;utilisation d&#8217;un fichier Bitdefender l\u00e9gitime pour charger le shellcode a \u00e9t\u00e9 observ\u00e9e lors d&#8217;attaques pr\u00e9c\u00e9dentes attribu\u00e9es \u00e0 APT41.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;applications l\u00e9gitimes pour faciliter le chargement lat\u00e9ral de DLL semble \u00eatre une tendance croissante parmi les acteurs d&#8217;espionnage op\u00e9rant dans la r\u00e9gion&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Bien qu&#8217;il s&#8217;agisse d&#8217;une technique bien connue, elle doit donner un certain succ\u00e8s aux attaquants compte tenu de sa popularit\u00e9 actuelle.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/asian-governments-and-organizations.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le gouvernement et les organisations publiques d&#8217;un certain nombre de pays asiatiques ont \u00e9t\u00e9 cibl\u00e9s par un groupe distinct de pirates informatiques dans le cadre d&#8217;une mission de collecte de renseignements en cours depuis le d\u00e9but de 2021. &#8220;Une caract\u00e9ristique notable de ces attaques est que les attaquants ont exploit\u00e9 une large gamme de progiciels [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":362486,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12395,8074,9589,4168,4158,4165,4161,77840,119,12508,4157,4159,4171,4170,65,4167,4160,4163,4162,12070,164,4172,4169,4166,4164],"class_list":["post-362485","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-asiatiques","tag-attaques","tag-cibles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberespionnage","tag-dernieres","tag-gouvernements","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-organisations","tag-par","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/362485","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=362485"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/362485\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/362486"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=362485"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=362485"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=362485"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}