{"id":365991,"date":"2022-09-15T11:18:26","date_gmt":"2022-09-15T13:18:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-webworm-utilisent-des-rat-modifies-dans-les-dernieres-attaques-de-cyberespionnage\/"},"modified":"2022-09-15T11:18:27","modified_gmt":"2022-09-15T13:18:27","slug":"les-pirates-webworm-utilisent-des-rat-modifies-dans-les-dernieres-attaques-de-cyberespionnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-webworm-utilisent-des-rat-modifies-dans-les-dernieres-attaques-de-cyberespionnage\/","title":{"rendered":"Les pirates Webworm utilisent des RAT modifi\u00e9s dans les derni\u00e8res attaques de cyberespionnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur mena\u00e7ant suivi sous le surnom <b>Webworm<\/b> a \u00e9t\u00e9 li\u00e9 \u00e0 des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance Windows sur mesure, dont certains seraient en phase de pr\u00e9-d\u00e9ploiement ou de test.<\/p>\n<p>&#8220;Le groupe a d\u00e9velopp\u00e9 des versions personnalis\u00e9es de trois anciens chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT), y compris <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.trochilus_rat\" target=\"_blank\">Trochilus RAT<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.ghost_rat\" target=\"_blank\">Gh0st RAT<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.9002\" target=\"_blank\">9002 RAT<\/a>&#8220;, l&#8217;\u00e9quipe Symantec Threat Hunter, qui fait partie de Broadcom Software, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/webworm-espionage-rats\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 qu&#8217;au moins un des indicateurs de compromission (IOC) avait \u00e9t\u00e9 utilis\u00e9 dans une attaque contre un fournisseur de services informatiques op\u00e9rant dans plusieurs pays asiatiques.<\/p>\n<p>Il convient de souligner que les trois portes d\u00e9rob\u00e9es sont principalement associ\u00e9es \u00e0 des acteurs mena\u00e7ants chinois tels que Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) et Judgment Panda (APT31), entre autres, bien qu&#8217;ils aient \u00e9t\u00e9 mis \u00e0 profit par d&#8217;autres groupes de piratage.<\/p>\n<p>Symantec a d\u00e9clar\u00e9 que l&#8217;acteur de la menace Webworm pr\u00e9sente des chevauchements tactiques avec un autre nouveau collectif contradictoire document\u00e9 par Positive Technologies plus t\u00f4t en mai comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.ptsecurity.com\/ww-en\/analytics\/pt-esc-threat-intelligence\/space-pirates-tools-and-connections\/\" target=\"_blank\">Pirates de l&#8217;espace<\/a>qui a trouv\u00e9 des entit\u00e9s frappantes dans l&#8217;industrie a\u00e9rospatiale russe avec de nouveaux logiciels malveillants.<\/p>\n<p>Space Pirates, pour sa part, recoupe une activit\u00e9 d&#8217;espionnage chinoise pr\u00e9c\u00e9demment identifi\u00e9e connue sous le nom de Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) et Night Dragon en raison de l&#8217;utilisation partag\u00e9e de la post-exploitation. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/threat-analysis-report-plugx-rat-loader-evolution\" target=\"_blank\">RAT modulaires<\/a> comme PlugX et ShadowPad.<\/p>\n<p>Parmi les autres outils de son arsenal de logiciels malveillants figurent Zupdax, Deed RAT, une version modifi\u00e9e de Gh0st RAT connue sous le nom de BH_A006 et MyKLoadClient.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Webworm, actif depuis 2017, a fait ses preuves aupr\u00e8s d&#8217;agences gouvernementales et d&#8217;entreprises impliqu\u00e9es dans les services informatiques, l&#8217;a\u00e9rospatiale et les industries de l&#8217;\u00e9nergie \u00e9lectrique situ\u00e9es en Russie, en G\u00e9orgie, en Mongolie et dans plusieurs autres pays asiatiques.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque impliquent l&#8217;utilisation de logiciels malveillants dropper qui h\u00e9bergent un chargeur con\u00e7u pour lancer des versions modifi\u00e9es des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance Trochilus, Gh0st et 9002.  La plupart des changements visent \u00e0 \u00e9chapper \u00e0 la d\u00e9tection, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n<p>&#8220;L&#8217;utilisation par Webworm de versions personnalis\u00e9es d&#8217;anciens logiciels malveillants, et dans certains cas open source, ainsi que les chevauchements de code avec le groupe connu sous le nom de Space Pirates, sugg\u00e8rent qu&#8217;il pourrait s&#8217;agir du m\u00eame groupe de menaces&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Cependant, l&#8217;utilisation commune de ces types d&#8217;outils et l&#8217;\u00e9change d&#8217;outils entre groupes dans cette r\u00e9gion peuvent obscurcir les traces de groupes de menaces distincts, ce qui est probablement l&#8217;une des raisons pour lesquelles cette approche est adopt\u00e9e, une autre \u00e9tant le co\u00fbt, car le d\u00e9veloppement de syst\u00e8mes sophistiqu\u00e9s les logiciels malveillants peuvent \u00eatre co\u00fbteux en termes d&#8217;argent et de temps.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/webworm-hackers-using-modified-rats-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur mena\u00e7ant suivi sous le surnom Webworm a \u00e9t\u00e9 li\u00e9 \u00e0 des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance Windows sur mesure, dont certains seraient en phase de pr\u00e9-d\u00e9ploiement ou de test. &#8220;Le groupe a d\u00e9velopp\u00e9 des versions personnalis\u00e9es de trois anciens chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT), y compris Trochilus RAT, Gh0st RATet [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":365992,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,4168,4158,4165,4161,77840,429,119,133,4157,4159,4171,4170,65,4167,4160,105216,4163,4162,4394,46743,4172,4169,10784,4166,4164,109053],"class_list":["post-365991","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberespionnage","tag-dans","tag-dernieres","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-modifies","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-rat","tag-securite-informatique","tag-securite-internet","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-webworm"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/365991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=365991"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/365991\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/365992"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=365991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=365991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=365991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}