{"id":413802,"date":"2022-10-14T15:19:40","date_gmt":"2022-10-14T17:19:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouveau-groupe-de-cyberespionnage-chinois-ciblant-les-fournisseurs-de-services-informatiques-et-les-operateurs-de-telecommunications\/"},"modified":"2022-10-14T15:19:41","modified_gmt":"2022-10-14T17:19:41","slug":"nouveau-groupe-de-cyberespionnage-chinois-ciblant-les-fournisseurs-de-services-informatiques-et-les-operateurs-de-telecommunications","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouveau-groupe-de-cyberespionnage-chinois-ciblant-les-fournisseurs-de-services-informatiques-et-les-operateurs-de-telecommunications\/","title":{"rendered":"Nouveau groupe de cyberespionnage chinois ciblant les fournisseurs de services informatiques et les op\u00e9rateurs de t\u00e9l\u00e9communications"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les fournisseurs de services de t\u00e9l\u00e9communications et d&#8217;informatique au Moyen-Orient et en Asie sont cibl\u00e9s par un groupe de menaces de langue chinoise sans papiers, surnomm\u00e9 <b>WIP19<\/b>.<\/p>\n<p>Les attaques li\u00e9es \u00e0 l&#8217;espionnage se caract\u00e9risent par l&#8217;utilisation d&#8217;un certificat num\u00e9rique vol\u00e9 \u00e9mis par une soci\u00e9t\u00e9 cor\u00e9enne appel\u00e9e <b>DEEPSoft<\/b> pour signer les artefacts malveillants d\u00e9ploy\u00e9s au cours de la cha\u00eene d&#8217;infection pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p>&#8220;Presque toutes les op\u00e9rations effectu\u00e9es par l&#8217;acteur de la menace ont \u00e9t\u00e9 effectu\u00e9es \u00e0 la mani\u00e8re d&#8217;un &#8220;clavier pratique&#8221;, lors d&#8217;une session interactive avec des machines compromises&#8221;, ont d\u00e9clar\u00e9 Joey Chen et Amitai Ben Shushan Ehrlich, chercheurs de SentinelOne. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/wip19-espionage-new-chinese-apt-targets-it-service-providers-and-telcos-with-signed-malware\/\" target=\"_blank\">a dit<\/a> dans un rapport cette semaine.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Cela signifiait que l&#8217;attaquant avait abandonn\u00e9 une \u00e9curie [command-and-control] canal en \u00e9change de furtivit\u00e9.&#8221;<\/p>\n<p>WIP, abr\u00e9viation de travail en cours, est le surnom attribu\u00e9 par SentinelOne aux clusters d&#8217;activit\u00e9s \u00e9mergents ou jusqu&#8217;ici non attribu\u00e9s, similaires aux d\u00e9signations UNC####, DEV-#### et TAG-## donn\u00e9es par Mandiant, Microsoft et Recorded Future.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a \u00e9galement not\u00e9 que certaines parties des composants malveillants utilis\u00e9s par WIP19 ont \u00e9t\u00e9 cr\u00e9\u00e9s par un auteur de logiciels malveillants de langue chinoise appel\u00e9 WinEggDrop, qui est actif depuis 2014.<\/p>\n<p>On dit que WIP19 partage des liens vers un autre groupe nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/operation_shadow_force\" target=\"_blank\">Op\u00e9ration Shadow Force<\/a> en raison de chevauchements dans l&#8217;utilisation de logiciels malveillants cr\u00e9\u00e9s par WinEggDrop, de certificats vol\u00e9s et de chevauchements tactiques.<\/p>\n<p>Cela dit, a not\u00e9 SentinelOne, &#8220;il n&#8217;est pas clair s&#8217;il s&#8217;agit d&#8217;une nouvelle it\u00e9ration de l&#8217;op\u00e9ration&#8221; Shadow Force &#8220;ou simplement d&#8217;un acteur diff\u00e9rent utilisant des TTP similaires&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Groupe de cyberespionnage chinois\" border=\"0\" data-original-height=\"452\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665767980_282_Nouveau-groupe-de-cyberespionnage-chinois-ciblant-les-fournisseurs-de-services.jpg\" title=\"Groupe de cyberespionnage chinois\" \/><\/div>\n<p>Les intrusions mont\u00e9es par le collectif contradictoire reposent sur un ensemble d&#8217;outils sur mesure qui comprend une combinaison d&#8217;un dumper d&#8217;informations d&#8217;identification, d&#8217;un scanner de r\u00e9seau, d&#8217;un voleur de navigateur, d&#8217;un enregistreur de frappe et d&#8217;un enregistreur d&#8217;\u00e9cran (ScreenCap), et d&#8217;un implant connu sous le nom de SQLMaggie.<\/p>\n<p>SQLMaggie a \u00e9galement fait l&#8217;objet d&#8217;une analyse approfondie par la soci\u00e9t\u00e9 allemande de cybers\u00e9curit\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@DCSO_CyTec\/mssql-meet-maggie-898773df3b01\" target=\"_blank\">DCSO CyTec<\/a> plus t\u00f4t ce mois-ci, appelant \u00e0 sa capacit\u00e9 \u00e0 p\u00e9n\u00e9trer dans les serveurs Microsoft SQL et \u00e0 tirer parti de l&#8217;acc\u00e8s pour ex\u00e9cuter des commandes arbitraires via des requ\u00eates SQL.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Nouvelle-version-PHP-du-logiciel-malveillant-Ducktail-piratant-les-comptes.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Une analyse des donn\u00e9es de t\u00e9l\u00e9m\u00e9trie a en outre r\u00e9v\u00e9l\u00e9 la pr\u00e9sence de SQLMaggie dans 285 serveurs r\u00e9partis dans 42 pays, principalement la Cor\u00e9e du Sud, l&#8217;Inde, le Vietnam, la Chine, Ta\u00efwan, la Russie, la Tha\u00eflande, l&#8217;Allemagne, l&#8217;Iran et les \u00c9tats-Unis.<\/p>\n<p>Le fait que les attaques soient cibl\u00e9es avec pr\u00e9cision et de faible volume, sans parler du fait qu&#8217;elles ont cibl\u00e9 le secteur des t\u00e9l\u00e9communications, indique que le motif principal de la campagne pourrait \u00eatre de recueillir des renseignements.<\/p>\n<p>Les r\u00e9sultats sont une autre indication de la fa\u00e7on dont les groupes de piratage align\u00e9s sur la Chine sont \u00e0 la fois \u00e9tendus et fluides en raison de la r\u00e9utilisation du logiciel malveillant par plusieurs acteurs de la menace.<\/p>\n<p>&#8220;WIP19 est un exemple de la plus grande ampleur de l&#8217;activit\u00e9 d&#8217;espionnage chinoise exp\u00e9riment\u00e9e dans les industries d&#8217;infrastructures critiques&#8221;, ont d\u00e9clar\u00e9 les chercheurs de SentineOne.<\/p>\n<p>&#8220;L&#8217;existence d&#8217;intendants fiables et de d\u00e9veloppeurs communs permet un paysage de groupes de menaces difficiles \u00e0 identifier qui utilisent des outils similaires, ce qui rend les clusters de menaces difficiles \u00e0 distinguer du point de vue des d\u00e9fenseurs.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/new-chinese-cyberespionage-group.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les fournisseurs de services de t\u00e9l\u00e9communications et d&#8217;informatique au Moyen-Orient et en Asie sont cibl\u00e9s par un groupe de menaces de langue chinoise sans papiers, surnomm\u00e9 WIP19. Les attaques li\u00e9es \u00e0 l&#8217;espionnage se caract\u00e9risent par l&#8217;utilisation d&#8217;un certificat num\u00e9rique vol\u00e9 \u00e9mis par une soci\u00e9t\u00e9 cor\u00e9enne appel\u00e9e DEEPSoft pour signer les artefacts malveillants d\u00e9ploy\u00e9s au cours [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":413803,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5663,4175,4168,4158,4165,4161,77840,3555,681,8154,4157,4159,4171,4170,65,4167,4160,680,4163,4162,14696,4172,4169,3831,34776,4166,4164],"class_list":["post-413802","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chinois","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberespionnage","tag-fournisseurs","tag-groupe","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-operateurs","tag-securite-informatique","tag-securite-internet","tag-services","tag-telecommunications","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/413802","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=413802"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/413802\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/413803"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=413802"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=413802"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=413802"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}