{"id":411317,"date":"2022-10-13T06:01:41","date_gmt":"2022-10-13T08:01:41","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-des-portes-derobees-personnalisees-et-des-outils-despionnage-utilises-par-les-pirates-de-polonium\/"},"modified":"2022-10-13T06:01:42","modified_gmt":"2022-10-13T08:01:42","slug":"des-chercheurs-decouvrent-des-portes-derobees-personnalisees-et-des-outils-despionnage-utilises-par-les-pirates-de-polonium","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-des-portes-derobees-personnalisees-et-des-outils-despionnage-utilises-par-les-pirates-de-polonium\/","title":{"rendered":"Des chercheurs d\u00e9couvrent des portes d\u00e9rob\u00e9es personnalis\u00e9es et des outils d&#8217;espionnage utilis\u00e9s par les pirates de Polonium"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur mena\u00e7ant suivi sous le nom de Polonium a \u00e9t\u00e9 li\u00e9 \u00e0 plus d&#8217;une douzaine d&#8217;attaques tr\u00e8s cibl\u00e9es visant des entit\u00e9s isra\u00e9liennes avec sept portes d\u00e9rob\u00e9es personnalis\u00e9es diff\u00e9rentes depuis au moins septembre 2021.<\/p>\n<p>Les intrusions visaient des organisations de divers secteurs verticaux, tels que l&#8217;ing\u00e9nierie, les technologies de l&#8217;information, le droit, les communications, l&#8217;image de marque et le marketing, les m\u00e9dias, les assurances et les services sociaux, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 ESET.<\/p>\n<p>Le polonium est le surnom sur le th\u00e8me des \u00e9l\u00e9ments chimiques donn\u00e9 par Microsoft \u00e0 un groupe op\u00e9rationnel sophistiqu\u00e9 qui serait bas\u00e9 au Liban et qui est connu pour frapper exclusivement des cibles isra\u00e9liennes.<\/p>\n<p>Les activit\u00e9s entreprises par le groupe ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es pour la premi\u00e8re fois au d\u00e9but du mois de juin lorsque le fabricant de Windows a r\u00e9v\u00e9l\u00e9 qu&#8217;il avait suspendu plus de 20 comptes OneDrive malveillants cr\u00e9\u00e9s par l&#8217;adversaire \u00e0 des fins de commande et de contr\u00f4le (C2).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Au c\u0153ur des attaques se trouve l&#8217;utilisation d&#8217;implants appel\u00e9s CreepyDrive et CreepyBox pour leur capacit\u00e9 \u00e0 exfiltrer des donn\u00e9es sensibles vers des comptes OneDrive et Dropbox contr\u00f4l\u00e9s par des acteurs.  Une porte d\u00e9rob\u00e9e PowerShell appel\u00e9e CreepySnail est \u00e9galement d\u00e9ploy\u00e9e.<\/p>\n<p>La derni\u00e8re d\u00e9couverte par ESET de cinq autres portes d\u00e9rob\u00e9es auparavant non document\u00e9es met en lumi\u00e8re un acteur de menace actif ax\u00e9 sur l&#8217;espionnage qui affine et r\u00e9organise constamment son arsenal de logiciels malveillants.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Les pirates du polonium\" border=\"0\" data-original-height=\"303\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665648100_59_Des-chercheurs-decouvrent-des-portes-derobees-personnalisees-et-des-outils.jpg\" title=\"Les pirates du polonium\" \/><\/p>\n<p>&#8220;Les nombreuses versions et modifications introduites par Polonium dans ses outils personnalis\u00e9s montrent un effort continu et \u00e0 long terme pour espionner les cibles du groupe&#8221;, a d\u00e9clar\u00e9 Mat\u00edas Porolli, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/10\/11\/polonium-targets-israel-creepy-malware\/\" target=\"_blank\">a dit<\/a>.  &#8220;Le groupe ne semble pas s&#8217;engager dans des actions de sabotage ou de ransomware.&#8221;<\/p>\n<p>La liste des outils de piratage sur mesure est la suivante &#8211;<\/p>\n<ul>\n<li><strong>CreepyDrive\/CreepyBox<\/strong> &#8211; Une porte d\u00e9rob\u00e9e PowerShell qui lit et ex\u00e9cute des commandes \u00e0 partir d&#8217;un fichier texte stock\u00e9 sur OneDrive ou Dropbox.<\/li>\n<li><strong>EffrayantEscargot<\/strong> &#8211; Une porte d\u00e9rob\u00e9e PowerShell qui re\u00e7oit les commandes du propre serveur C2 de l&#8217;attaquant<\/li>\n<li><strong>DeepCreep<\/strong> &#8211; Porte d\u00e9rob\u00e9e AC# qui lit les commandes d&#8217;un fichier texte stock\u00e9 dans les comptes Dropbox et exfiltre les donn\u00e9es<\/li>\n<li><strong>M\u00e9gaCreep<\/strong> &#8211; Porte d\u00e9rob\u00e9e AC # qui lit les commandes \u00e0 partir d&#8217;un fichier texte stock\u00e9 dans le service de stockage en nuage Mega<\/li>\n<li><strong>FlipCreep<\/strong> &#8211; Porte d\u00e9rob\u00e9e AC# qui lit les commandes d&#8217;un fichier texte stock\u00e9 sur un serveur FTP et exfiltre les donn\u00e9es<\/li>\n<li><strong>TechnoCreep<\/strong> &#8211; Porte d\u00e9rob\u00e9e AC# qui communique avec le serveur C2 via des sockets TCP pour ex\u00e9cuter des commandes et exfiltrer des donn\u00e9es<\/li>\n<li><strong>PapaCreep<\/strong> &#8211; Une porte d\u00e9rob\u00e9e C++ qui peut recevoir et ex\u00e9cuter des commandes depuis un serveur distant via des sockets TCP<\/li>\n<\/ul>\n<p>PapaCreep, rep\u00e9r\u00e9 aussi r\u00e9cemment qu&#8217;en septembre 2022, est un logiciel malveillant modulaire qui contient quatre composants diff\u00e9rents con\u00e7us pour ex\u00e9cuter des commandes, recevoir et envoyer des commandes et leurs sorties, et charger et t\u00e9l\u00e9charger des fichiers.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir \u00e9galement d\u00e9couvert plusieurs autres modules charg\u00e9s de consigner les frappes au clavier, de capturer des captures d&#8217;\u00e9cran, de prendre des photos via webcam et d&#8217;\u00e9tablir un shell invers\u00e9 sur la machine compromise.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Les pirates du polonium\" border=\"0\" data-original-height=\"656\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665648101_468_Des-chercheurs-decouvrent-des-portes-derobees-personnalisees-et-des-outils.jpg\" title=\"Les pirates du polonium\" \/><\/div>\n<p>Malgr\u00e9 l&#8217;abondance de logiciels malveillants utilis\u00e9s dans les attaques, le vecteur d&#8217;acc\u00e8s initial utilis\u00e9 pour violer les r\u00e9seaux est actuellement inconnu, bien que l&#8217;on soup\u00e7onne qu&#8217;il ait pu impliquer l&#8217;exploitation de failles VPN.<\/p>\n<p>&#8220;La plupart des modules malveillants du groupe sont petits, avec des fonctionnalit\u00e9s limit\u00e9es&#8221;, explique Porolli. <a rel=\"nofollow noopener\" href=\"https:\/\/www.eset.com\/int\/about\/newsroom\/press-releases\/research\/iran-affiliated-apt-group-polonium-targets-israel-with-creepy-backdoors-and-abuses-popular-cloud-ser\/\" target=\"_blank\">a dit<\/a>.  &#8220;Ils aiment diviser le code dans leurs portes d\u00e9rob\u00e9es, distribuant des fonctionnalit\u00e9s malveillantes dans diverses petites DLL, s&#8217;attendant peut-\u00eatre \u00e0 ce que les d\u00e9fenseurs ou les chercheurs n&#8217;observent pas la cha\u00eene d&#8217;attaque compl\u00e8te.&#8221;<\/p>\n<\/div>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/researchers-uncover-custom-backdoors.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur mena\u00e7ant suivi sous le nom de Polonium a \u00e9t\u00e9 li\u00e9 \u00e0 plus d&#8217;une douzaine d&#8217;attaques tr\u00e8s cibl\u00e9es visant des entit\u00e9s isra\u00e9liennes avec sept portes d\u00e9rob\u00e9es personnalis\u00e9es diff\u00e9rentes depuis au moins septembre 2021. Les intrusions visaient des organisations de divers secteurs verticaux, tels que l&#8217;ing\u00e9nierie, les technologies de l&#8217;information, le droit, les communications, l&#8217;image [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":411318,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,4158,4165,4161,3073,82224,133,10729,4157,4159,4171,4170,65,4167,4160,4163,4162,24879,164,24731,4394,116375,1384,4172,4169,22610,4166,4164],"class_list":["post-411317","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrent","tag-derobees","tag-des","tag-despionnage","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-outils","tag-par","tag-personnalisees","tag-pirates","tag-polonium","tag-portes","tag-securite-informatique","tag-securite-internet","tag-utilises","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/411317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=411317"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/411317\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/411318"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=411317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=411317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=411317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}