{"id":367854,"date":"2022-09-16T12:54:29","date_gmt":"2022-09-16T14:54:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-nord-coreens-diffusent-des-versions-cheval-de-troie-de-lapplication-client-putty\/"},"modified":"2022-09-16T12:54:30","modified_gmt":"2022-09-16T14:54:30","slug":"des-pirates-nord-coreens-diffusent-des-versions-cheval-de-troie-de-lapplication-client-putty","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-nord-coreens-diffusent-des-versions-cheval-de-troie-de-lapplication-client-putty\/","title":{"rendered":"Des pirates nord-cor\u00e9ens diffusent des versions cheval de Troie de l&#8217;application client PuTTY"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une menace avec un lien avec la Cor\u00e9e du Nord a \u00e9t\u00e9 d\u00e9couverte en utilisant une \u00ab nouvelle m\u00e9thodologie de phishing harpon \u00bb qui implique l&#8217;utilisation de versions trojanis\u00e9es du client PuTTY SSH et Telnet.<\/p>\n<p>La soci\u00e9t\u00e9 de renseignement sur les menaces Mandiant, propri\u00e9t\u00e9 de Google, a attribu\u00e9 la nouvelle campagne \u00e0 un groupe de menaces \u00e9mergentes qu&#8217;elle suit sous le nom <strong>UNC4034<\/strong>.<\/p>\n<p>&#8220;UNC4034 a \u00e9tabli une communication avec la victime via WhatsApp et l&#8217;a incit\u00e9e \u00e0 t\u00e9l\u00e9charger un package ISO malveillant concernant une fausse offre d&#8217;emploi qui a conduit au d\u00e9ploiement de la porte d\u00e9rob\u00e9e AIRDRY.V2 via une instance trojanis\u00e9e de l&#8217;utilitaire PuTTY&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Mandiant. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/dprk-whatsapp-phishing\" target=\"_blank\">a dit<\/a>.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;utilisation de leurres d&#8217;emploi fabriqu\u00e9s comme voie de distribution de logiciels malveillants est une tactique souvent utilis\u00e9e par les acteurs nord-cor\u00e9ens parrain\u00e9s par l&#8217;\u00c9tat, y compris le groupe Lazarus, dans le cadre d&#8217;une campagne durable appel\u00e9e Operation Dream Job.<\/p>\n<p>Le point d&#8217;entr\u00e9e de l&#8217;attaque est un fichier ISO qui se fait passer pour une \u00e9valuation Amazon dans le cadre d&#8217;une opportunit\u00e9 d&#8217;emploi potentielle chez le g\u00e9ant de la technologie.  Le fichier a \u00e9t\u00e9 partag\u00e9 sur WhatApp apr\u00e8s avoir \u00e9tabli un premier contact par e-mail.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Hackers nord-cor\u00e9ens\" border=\"0\" data-original-height=\"666\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663340069_773_Des-pirates-nord-coreens-diffusent-des-versions-cheval-de-Troie-de.jpg\" title=\"Hackers nord-cor\u00e9ens\" \/><\/div>\n<p>L&#8217;archive, pour sa part, contient un fichier texte contenant une adresse IP et des identifiants de connexion, ainsi qu&#8217;une version modifi\u00e9e de PuTTY qui, \u00e0 son tour, charge un compte-gouttes appel\u00e9 DAVESHELL, qui d\u00e9ploie une nouvelle variante d&#8217;une porte d\u00e9rob\u00e9e appel\u00e9e AIRDRY.<\/p>\n<p>Il est probable que l&#8217;auteur de la menace ait convaincu la victime de lancer une session PuTTY et d&#8217;utiliser les informations d&#8217;identification fournies dans le fichier TXT pour se connecter \u00e0 l&#8217;h\u00f4te distant, activant ainsi l&#8217;infection.<\/p>\n<p>AIRDRY, \u00e9galement connu sous le nom de BLINDINGCAN, a \u00e9t\u00e9 utilis\u00e9 par le pass\u00e9 par des pirates informatiques li\u00e9s \u00e0 la Cor\u00e9e du Nord pour frapper des sous-traitants et des entit\u00e9s de la d\u00e9fense am\u00e9ricaine en Cor\u00e9e du Sud et en Lettonie.<\/p>\n<p>Alors que les versions ant\u00e9rieures du logiciel malveillant comportaient pr\u00e8s de 30 commandes pour le transfert de fichiers, la gestion de fichiers et l&#8217;ex\u00e9cution de commandes, la derni\u00e8re version a \u00e9t\u00e9 trouv\u00e9e pour \u00e9viter l&#8217;approche bas\u00e9e sur les commandes en faveur de plugins qui sont t\u00e9l\u00e9charg\u00e9s et ex\u00e9cut\u00e9s en m\u00e9moire.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Mandiant a d\u00e9clar\u00e9 qu&#8217;il \u00e9tait en mesure de contenir le compromis avant que toute autre activit\u00e9 post-exploitation puisse avoir lieu apr\u00e8s le d\u00e9ploiement de l&#8217;implant. <\/p>\n<p>Ce d\u00e9veloppement est un autre signe que l&#8217;utilisation de fichiers ISO pour l&#8217;acc\u00e8s initial gagne du terrain parmi les acteurs de la menace pour fournir \u00e0 la fois des logiciels malveillants de base et cibl\u00e9s.<\/p>\n<p>Ce changement est \u00e9galement attribuable \u00e0 la d\u00e9cision de Microsoft de bloquer par d\u00e9faut les macros Excel 4.0 (XLM ou XL4) et Visual Basic pour Applications (VBA) pour les applications Office t\u00e9l\u00e9charg\u00e9es depuis Internet.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/north-korean-hackers-spreading.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une menace avec un lien avec la Cor\u00e9e du Nord a \u00e9t\u00e9 d\u00e9couverte en utilisant une \u00ab nouvelle m\u00e9thodologie de phishing harpon \u00bb qui implique l&#8217;utilisation de versions trojanis\u00e9es du client PuTTY SSH et Telnet. La soci\u00e9t\u00e9 de renseignement sur les menaces Mandiant, propri\u00e9t\u00e9 de Google, a attribu\u00e9 la nouvelle campagne \u00e0 un groupe de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":367855,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[7968,5376,4168,4158,4165,4161,133,4382,4157,4159,4171,4170,838,4167,4160,24722,4163,4162,4394,109369,4172,4169,8915,11408,4166,4164],"class_list":["post-367854","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cheval","tag-client","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-diffusent","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapplication","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nordcoreens","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-putty","tag-securite-informatique","tag-securite-internet","tag-troie","tag-versions","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/367854","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=367854"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/367854\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/367855"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=367854"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=367854"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=367854"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}