{"id":383675,"date":"2022-09-26T11:45:27","date_gmt":"2022-09-26T13:45:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-chinois-ciblent-les-tibetains-en-utilisant-la-nouvelle-porte-derobee-lowzero\/"},"modified":"2022-09-26T11:45:28","modified_gmt":"2022-09-26T13:45:28","slug":"des-pirates-informatiques-chinois-ciblent-les-tibetains-en-utilisant-la-nouvelle-porte-derobee-lowzero","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-chinois-ciblent-les-tibetains-en-utilisant-la-nouvelle-porte-derobee-lowzero\/","title":{"rendered":"Des pirates informatiques chinois ciblent les Tib\u00e9tains en utilisant la nouvelle porte d\u00e9rob\u00e9e LOWZERO"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur avanc\u00e9 de menace persistante align\u00e9 sur la Chine connu sous le nom de TA413 a militaris\u00e9 les failles r\u00e9cemment r\u00e9v\u00e9l\u00e9es dans Sophos Firewall et Microsoft Office pour d\u00e9ployer une porte d\u00e9rob\u00e9e in\u00e9dite appel\u00e9e <b>BASZ\u00c9RO <\/b>dans le cadre d&#8217;une campagne d&#8217;espionnage visant des entit\u00e9s tib\u00e9taines.<\/p>\n<p>Les cibles \u00e9taient principalement des organisations associ\u00e9es \u00e0 la communaut\u00e9 tib\u00e9taine, y compris des entreprises associ\u00e9es au gouvernement tib\u00e9tain en exil.<\/p>\n<p>Les intrusions impliquaient l&#8217;exploitation de CVE-2022-1040 et CVE-2022-30190 (alias &#8220;Follina&#8221;), deux vuln\u00e9rabilit\u00e9s d&#8217;ex\u00e9cution de code \u00e0 distance dans Sophos Firewall et Microsoft Office, respectivement.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/LUkraine-arrete-un-groupe-de-cybercriminalite-pour-avoir-vendu-les.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Cette volont\u00e9 d&#8217;int\u00e9grer rapidement de nouvelles techniques et m\u00e9thodes d&#8217;acc\u00e8s initial contraste avec l&#8217;utilisation continue par le groupe de capacit\u00e9s bien connues et signal\u00e9es, telles que le militariseur Royal Road RTF, et les tendances souvent laxistes en mati\u00e8re d&#8217;approvisionnement en infrastructures&#8221;, a d\u00e9clar\u00e9 Recorded Future. <a rel=\"nofollow noopener\" href=\"https:\/\/www.recordedfuture.com\/chinese-state-sponsored-group-ta413-adopts-new-capabilities-in-pursuit-of-tibetan-targets\" target=\"_blank\">a dit<\/a> dans une nouvelle analyse technique.<\/p>\n<p>TA413, \u00e9galement connu sous le nom de LuckyCat, a \u00e9t\u00e9 li\u00e9 au ciblage sans rel\u00e2che d&#8217;organisations et d&#8217;individus associ\u00e9s \u00e0 la communaut\u00e9 tib\u00e9taine au moins depuis 2020 en utilisant des logiciels malveillants tels que ExileRAT, Sepulcher et une extension de navigateur Mozilla Firefox malveillante appel\u00e9e FriarFox.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Hackers d'espionnage chinois\" border=\"0\" data-original-height=\"402\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1664199926_186_Des-pirates-informatiques-chinois-ciblent-les-Tibetains-en-utilisant-la.jpg\" title=\"Hackers d'espionnage chinois\" \/><\/div>\n<p>L&#8217;exploitation par le groupe de la faille Follina avait d\u00e9j\u00e0 \u00e9t\u00e9 mise en \u00e9vidence par Proofpoint en juin 2022, m\u00eame si l&#8217;objectif ultime des cha\u00eenes d&#8217;infection restait flou.<\/p>\n<p>Un document RTF malveillant a \u00e9galement \u00e9t\u00e9 utilis\u00e9 dans une attaque de spear-phishing identifi\u00e9e en mai 2022 qui exploitait les failles de Microsoft Equation Editor pour supprimer l&#8217;implant LOWZERO personnalis\u00e9.  Ceci est r\u00e9alis\u00e9 en employant un <a rel=\"nofollow noopener\" href=\"https:\/\/nao-sec.org\/2020\/01\/an-overhead-view-of-the-royal-road.html\" target=\"_blank\">Outil de militarisation Royal Road RTF<\/a>qui est largement partag\u00e9 par les acteurs chinois de la menace.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1664172218_621_LUkraine-arrete-un-groupe-de-cybercriminalite-pour-avoir-vendu-les.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Dans un autre e-mail de phishing envoy\u00e9 \u00e0 une cible tib\u00e9taine fin mai, une pi\u00e8ce jointe Microsoft Word h\u00e9berg\u00e9e sur le service Google Firebase a tent\u00e9 d&#8217;exploiter la vuln\u00e9rabilit\u00e9 Follina pour ex\u00e9cuter une commande PowerShell con\u00e7ue pour t\u00e9l\u00e9charger la porte d\u00e9rob\u00e9e \u00e0 partir d&#8217;un serveur distant.<\/p>\n<p>LOWZERO, la porte d\u00e9rob\u00e9e, est capable de recevoir des modules suppl\u00e9mentaires de son serveur de commande et de contr\u00f4le (C2), mais uniquement \u00e0 condition que la machine compromise soit consid\u00e9r\u00e9e comme pr\u00e9sentant un int\u00e9r\u00eat pour l&#8217;auteur de la menace.<\/p>\n<p>&#8220;Le groupe continue d&#8217;int\u00e9grer de nouvelles capacit\u00e9s tout en s&#8217;appuyant sur des outils \u00e9prouv\u00e9s [tactics, techniques, and procedures,&#8221; the cybersecurity firm said.<\/p>\n<p>&#8220;TA413&#8217;s adoption of both zero-day and recently published vulnerabilities is indicative of <a rel=\"nofollow noopener\" href=\"https:\/\/www.technologyreview.com\/2022\/02\/28\/1046575\/how-china-built-a-one-of-a-kind-cyber-espionage-behemoth-to-last\/\" target=\"_blank\">wider<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/global-threat-report\/\" target=\"_blank\">trends<\/a> with Chinese cyber-espionage groups whereby exploits regularly appear in use by multiple distinct Chinese activity groups prior to their widespread public availability.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/chinese-espionage-hackers-target.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur avanc\u00e9 de menace persistante align\u00e9 sur la Chine connu sous le nom de TA413 a militaris\u00e9 les failles r\u00e9cemment r\u00e9v\u00e9l\u00e9es dans Sophos Firewall et Microsoft Office pour d\u00e9ployer une porte d\u00e9rob\u00e9e in\u00e9dite appel\u00e9e BASZ\u00c9RO dans le cadre d&#8217;une campagne d&#8217;espionnage visant des entit\u00e9s tib\u00e9taines. Les cibles \u00e9taient principalement des organisations associ\u00e9es \u00e0 la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":383676,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5663,5863,4168,4158,4165,4161,7084,133,8154,4157,4159,4171,4170,65,4167,111979,4160,197,4163,4162,4394,2742,4172,4169,111978,20349,4166,4164],"class_list":["post-383675","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chinois","tag-ciblent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-des","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-lowzero","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-porte","tag-securite-informatique","tag-securite-internet","tag-tibetains","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/383675","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=383675"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/383675\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/383676"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=383675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=383675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=383675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}