{"id":364143,"date":"2022-09-14T09:33:27","date_gmt":"2022-09-14T11:33:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/sparklinggoblin-apt-hackers-utilisant-la-nouvelle-variante-linux-de-sidewalk-backdoor\/"},"modified":"2022-09-14T09:33:28","modified_gmt":"2022-09-14T11:33:28","slug":"sparklinggoblin-apt-hackers-utilisant-la-nouvelle-variante-linux-de-sidewalk-backdoor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/sparklinggoblin-apt-hackers-utilisant-la-nouvelle-variante-linux-de-sidewalk-backdoor\/","title":{"rendered":"SparklingGoblin APT Hackers utilisant la nouvelle variante Linux de SideWalk Backdoor"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une variante Linux d&#8217;une porte d\u00e9rob\u00e9e connue sous le nom de SideWalk a \u00e9t\u00e9 utilis\u00e9e pour cibler une universit\u00e9 de Hong Kong en f\u00e9vrier 2021, soulignant les capacit\u00e9s multiplateformes de l&#8217;implant. <\/p>\n<p>La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET, qui a d\u00e9tect\u00e9 le logiciel malveillant dans le r\u00e9seau de l&#8217;universit\u00e9, a attribu\u00e9 la porte d\u00e9rob\u00e9e \u00e0 un acteur de l&#8217;\u00c9tat-nation surnomm\u00e9 <strong>MousseuxGobelin<\/strong>.  L&#8217;universit\u00e9 sans nom aurait d\u00e9j\u00e0 \u00e9t\u00e9 cibl\u00e9e par le groupe en mai 2020 lors de la <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Timeline_of_the_2019%E2%80%932020_Hong_Kong_protests_(January_2020)\" target=\"_blank\">manifestations \u00e9tudiantes<\/a>.<\/p>\n<p>&#8220;Le groupe a continuellement cibl\u00e9 cette organisation sur une longue p\u00e9riode, compromettant avec succ\u00e8s plusieurs serveurs cl\u00e9s, y compris un serveur d&#8217;impression, un serveur de messagerie et un serveur utilis\u00e9 pour g\u00e9rer les horaires des \u00e9tudiants et les inscriptions aux cours&#8221;, ESET <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/09\/14\/you-never-walk-alone-sidewalk-backdoor-linux-variant\/\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>SparklingGoblin est le nom donn\u00e9 \u00e0 un groupe chinois de menace persistante avanc\u00e9e (APT) avec des connexions au <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/apt41-dual-espionage-and-cyber-crime-operation\" target=\"_blank\">Parapluie Winnti<\/a> (alias APT41, Baryum ou Wicked Panda).  Il est principalement connu pour ses attaques visant diverses entit\u00e9s en Asie de l&#8217;Est et du Sud-Est au moins depuis 2019, avec un accent particulier sur le secteur universitaire.<\/p>\n<p>En ao\u00fbt 2021, ESET a d\u00e9couvert un nouveau logiciel malveillant Windows personnalis\u00e9 nomm\u00e9 SideWalk qui a \u00e9t\u00e9 exclusivement exploit\u00e9 par l&#8217;acteur pour frapper une soci\u00e9t\u00e9 de vente au d\u00e9tail d&#8217;ordinateurs anonyme bas\u00e9e aux \u00c9tats-Unis.<\/p>\n<p>Les d\u00e9couvertes ult\u00e9rieures de Symantec, qui fait partie du logiciel Broadcom, ont li\u00e9 l&#8217;utilisation de SideWalk \u00e0 un groupe d&#8217;attaques d&#8217;espionnage qu&#8217;il suit sous le nom de Grayfly, tout en soulignant les similitudes du malware avec celui de Crosswalk.<\/p>\n<p>&#8220;Les tactiques, techniques et proc\u00e9dures (TTP) de SparklingGoblin se chevauchent partiellement avec les TTP APT41&#8221;, a d\u00e9clar\u00e9 Mathieu Tartare, chercheur sur les logiciels malveillants chez ESET, \u00e0 The Hacker News.  &#8220;La d\u00e9finition de Grayfly donn\u00e9e par Symantec semble (au moins partiellement) se chevaucher avec SparklingGoblin.&#8221;<\/p>\n<p>Les derni\u00e8res recherches d&#8217;ESET plongent dans l&#8217;homologue Linux de SideWalk (appel\u00e9 \u00e0 l&#8217;origine <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/esetresearch\/status\/1410864752948043778\" target=\"_blank\">StageClient<\/a> en juillet 2021), l&#8217;analyse r\u00e9v\u00e9lant \u00e9galement que <a rel=\"nofollow noopener\" href=\"https:\/\/blog.netlab.360.com\/ghost-in-action-the-specter-botnet\/\" target=\"_blank\">Spectre RAT<\/a>un botnet Linux apparu en septembre 2020, est en fait \u00e9galement une variante Linux de SideWalk.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Pirates APT SparklingGoblin\" border=\"0\" data-original-height=\"377\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663155206_281_SparklingGoblin-APT-Hackers-utilisant-la-nouvelle-variante-Linux-de-SideWalk.jpg\" title=\"Pirates APT SparklingGoblin\" \/><\/div>\n<p>Outre les multiples similitudes de code entre SideWalk Linux et divers outils SparklingGoblin, l&#8217;un des exemples Linux a \u00e9t\u00e9 trouv\u00e9 en utilisant une adresse de commande et de contr\u00f4le (66.42.103[.]222) qui \u00e9tait auparavant utilis\u00e9 par SparklingGoblin.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663127305_866_Plus-de-280-000-sites-WordPress-attaques-a-laide-de.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>D&#8217;autres points communs incluent l&#8217;utilisation de la m\u00eame impl\u00e9mentation ChaCha20 sur mesure, plusieurs threads pour ex\u00e9cuter une t\u00e2che particuli\u00e8re, l&#8217;algorithme ChaCha20 pour d\u00e9chiffrer sa configuration et un <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1102\/001\/\" target=\"_blank\">r\u00e9solveur de chute morte<\/a> charge utile.<\/p>\n<p>Malgr\u00e9 ces chevauchements, il y a quelques changements importants, le plus notable \u00e9tant le passage de C \u00e0 C++, l&#8217;ajout de nouveaux modules int\u00e9gr\u00e9s pour ex\u00e9cuter des t\u00e2ches planifi\u00e9es et collecter des informations syst\u00e8me, et des modifications de quatre commandes qui ne sont pas g\u00e9r\u00e9es dans la version Linux. .<\/p>\n<p>&#8220;Puisque nous n&#8217;avons vu la variante Linux qu&#8217;une seule fois dans notre t\u00e9l\u00e9m\u00e9trie (d\u00e9ploy\u00e9e dans une universit\u00e9 de Hong Kong en f\u00e9vrier 2021), on peut consid\u00e9rer que la variante Linux est moins r\u00e9pandue &#8212; mais nous avons \u00e9galement moins de visibilit\u00e9 sur les syst\u00e8mes Linux, ce qui pourrait expliquer cela, &#8221; dit Tartare.<\/p>\n<p>&#8220;D&#8217;autre part, la variante Spectre Linux est utilis\u00e9e contre les cam\u00e9ras IP et les appareils NVR et DVR (sur lesquels nous n&#8217;avons aucune visibilit\u00e9) et se propage massivement en exploitant une vuln\u00e9rabilit\u00e9 sur ces appareils.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/sparklinggoblin-apt-hackers-using-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une variante Linux d&#8217;une porte d\u00e9rob\u00e9e connue sous le nom de SideWalk a \u00e9t\u00e9 utilis\u00e9e pour cibler une universit\u00e9 de Hong Kong en f\u00e9vrier 2021, soulignant les capacit\u00e9s multiplateformes de l&#8217;implant. La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET, qui a d\u00e9tect\u00e9 le logiciel malveillant dans le r\u00e9seau de l&#8217;universit\u00e9, a attribu\u00e9 la porte d\u00e9rob\u00e9e \u00e0 un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":364144,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,8540,4168,4158,4165,4161,6578,4157,4159,4171,4170,18088,4167,4160,197,4163,4162,4172,4169,108770,108769,20349,25900,4166,4164],"class_list":["post-364143","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-backdoor","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-sidewalk","tag-sparklinggoblin","tag-utilisant","tag-variante","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/364143","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=364143"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/364143\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/364144"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=364143"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=364143"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=364143"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}