{"id":418755,"date":"2022-10-18T10:29:52","date_gmt":"2022-10-18T12:29:52","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-malware-chinois-spyder-loader-a-ete-repere-ciblant-des-organisations-a-hong-kong\/"},"modified":"2022-10-18T10:29:54","modified_gmt":"2022-10-18T12:29:54","slug":"le-malware-chinois-spyder-loader-a-ete-repere-ciblant-des-organisations-a-hong-kong","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-malware-chinois-spyder-loader-a-ete-repere-ciblant-des-organisations-a-hong-kong\/","title":{"rendered":"Le malware chinois \u00ab\u00a0Spyder Loader\u00a0\u00bb a \u00e9t\u00e9 rep\u00e9r\u00e9 ciblant des organisations \u00e0 Hong Kong"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;acteur ax\u00e9 sur l&#8217;espionnage align\u00e9 sur la Chine, surnomm\u00e9 Winnti, a jet\u00e9 son d\u00e9volu sur les organisations gouvernementales de Hong Kong dans le cadre d&#8217;une campagne en cours baptis\u00e9e <strong>Op\u00e9ration CuckooBees<\/strong>.<\/p>\n<p>Actif depuis au moins 2007, Winnti (alias APT41, Barium, Bronze Atlas et Wicked Panda) est le nom donn\u00e9 \u00e0 un groupe prolifique de cybermenaces qui m\u00e8ne des activit\u00e9s d&#8217;espionnage parrain\u00e9es par l&#8217;\u00c9tat chinois, visant principalement \u00e0 voler la propri\u00e9t\u00e9 intellectuelle d&#8217;organisations dans des pays d\u00e9velopp\u00e9s. \u00e9conomies.<\/p>\n<p>Les campagnes de l&#8217;acteur mena\u00e7ant ont cibl\u00e9 les secteurs de la sant\u00e9, des t\u00e9l\u00e9communications, de la haute technologie, des m\u00e9dias, de l&#8217;agriculture et de l&#8217;\u00e9ducation, les cha\u00eenes d&#8217;infection reposant principalement sur des e-mails de harponnage avec pi\u00e8ces jointes pour p\u00e9n\u00e9trer initialement dans les r\u00e9seaux des victimes.<\/p>\n<p>Plus t\u00f4t en mai, Cybereason a r\u00e9v\u00e9l\u00e9 des attaques de longue dur\u00e9e orchestr\u00e9es par le groupe depuis 2019 pour siphonner les secrets technologiques des entreprises technologiques et de fabrication principalement situ\u00e9es en Asie de l&#8217;Est, en Europe occidentale et en Am\u00e9rique du Nord.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>On estime que les intrusions, matraqu\u00e9es sous le nom d&#8217;Op\u00e9ration CuckooBees, ont entra\u00een\u00e9 l&#8217;exfiltration de &#8220;centaines de gigaoctets d&#8217;informations&#8221;, a r\u00e9v\u00e9l\u00e9 la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9.<\/p>\n<p>La derni\u00e8re activit\u00e9, selon le <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/spyder-loader-cuckoobees-hong-kong\" target=\"_blank\">Symantec<\/a> L&#8217;\u00e9quipe Threat Hunter, qui fait partie de Broadcom Software, est une continuation de la campagne de vol de donn\u00e9es exclusive, mais avec un accent sur Hong Kong.<\/p>\n<p>Les attaquants sont rest\u00e9s actifs sur certains des r\u00e9seaux compromis pendant un an, la soci\u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/spyder-loader-cuckoobees-hong-kong\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News, ajoutant que les intrusions ont ouvert la voie au d\u00e9ploiement d&#8217;un chargeur de logiciels malveillants appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.spyder\" target=\"_blank\">Espion<\/a>qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en mars 2021.<\/p>\n<p>&#8220;[Spyder] est utilis\u00e9 pour des attaques cibl\u00e9es sur les syst\u00e8mes de stockage d&#8217;informations, la collecte d&#8217;informations sur les appareils corrompus, l&#8217;ex\u00e9cution de charges utiles malveillantes, la coordination de l&#8217;ex\u00e9cution de scripts et la communication du serveur C&amp;C \u00bb, l&#8217;\u00e9quipe de recherche sur les menaces de SonicWall Capture Labs <a rel=\"nofollow noopener\" href=\"https:\/\/securitynews.sonicwall.com\/xmlpost\/chinas-winnti-spyder-module\/\" target=\"_blank\">c&#8217;est not\u00e9<\/a> \u00e0 l&#8217;\u00e9poque.<\/p>\n<p>Outre Spyder, d&#8217;autres outils de post-exploitation ont \u00e9galement \u00e9t\u00e9 d\u00e9ploy\u00e9s, tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.varonis.com\/blog\/what-is-mimikatz\" target=\"_blank\">Mimikatz<\/a> et un module DLL zlib trojanis\u00e9 capable de recevoir des commandes d&#8217;un serveur distant ou de charger une charge utile arbitraire.<\/p>\n<p>Symantec a d\u00e9clar\u00e9 qu&#8217;il n&#8217;avait observ\u00e9 la livraison d&#8217;aucun logiciel malveillant de phase finale, bien que les motifs de la campagne soient soup\u00e7onn\u00e9s d&#8217;\u00eatre li\u00e9s \u00e0 la collecte de renseignements bas\u00e9e sur des chevauchements tactiques avec des attaques pr\u00e9c\u00e9dentes.<\/p>\n<p>&#8220;Le fait que cette campagne soit en cours depuis plusieurs ann\u00e9es, avec diff\u00e9rentes variantes du logiciel malveillant Spyder Loader d\u00e9ploy\u00e9es \u00e0 cette \u00e9poque, indique que les acteurs derri\u00e8re cette activit\u00e9 sont des adversaires persistants et cibl\u00e9s, capables d&#8217;effectuer des op\u00e9rations furtives sur les r\u00e9seaux victimes. sur une longue p\u00e9riode \u00bb, a d\u00e9clar\u00e9 Symantec.<\/p>\n<h3>Winnti cible des entit\u00e9s gouvernementales sri-lankaises<\/h3>\n<p>Signe suppl\u00e9mentaire de la sophistication de Winnti, Malwarebytes <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2022\/10\/winnti-apt-group-docks-in-sri-lanka-for-new-campaign\" target=\"_blank\">d\u00e9couvert<\/a> une s\u00e9rie distincte d&#8217;attaques ciblant des entit\u00e9s gouvernementales au Sri Lanka d\u00e9but ao\u00fbt avec une nouvelle porte d\u00e9rob\u00e9e appel\u00e9e DBoxAgent qui exploite Dropbox pour le commandement et le contr\u00f4le.<\/p>\n<p>&#8220;\u00c0 notre connaissance, Winnti (une APT soutenue par la Chine) cible le Sri Lanka pour la premi\u00e8re fois&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe de Malwarebytes Threat Intelligence.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Nouvelle-version-PHP-du-logiciel-malveillant-Ducktail-piratant-les-comptes.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La killchain se distingue \u00e9galement par l&#8217;utilisation d&#8217;une image ISO h\u00e9berg\u00e9e sur Google Drive qui pr\u00e9tend \u00eatre un document contenant des informations sur l&#8217;aide \u00e9conomique, indiquant une tentative de l&#8217;acteur de la menace de capitaliser sur le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/2019%E2%80%93present_Sri_Lankan_economic_crisis\" target=\"_blank\">crise \u00e9conomique en cours<\/a> dans la nation.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"425\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666096192_354_Le-malware-chinois-Spyder-Loader-a-ete-repere-ciblant-des.jpg\" \/><\/div>\n<p>Le lancement d&#8217;un fichier LNK contenu dans l&#8217;image ISO conduit \u00e0 l&#8217;ex\u00e9cution de l&#8217;implant DBoxAgent qui permet \u00e0 l&#8217;adversaire de r\u00e9quisitionner \u00e0 distance la machine et d&#8217;exporter des donn\u00e9es sensibles vers le service de stockage en nuage.  Dropbox a depuis d\u00e9sactiv\u00e9 le compte escroc.<\/p>\n<p>La porte d\u00e9rob\u00e9e agit en outre comme un conduit pour abandonner les outils d&#8217;exploitation qui ouvriraient la porte \u00e0 d&#8217;autres attaques et \u00e0 l&#8217;exfiltration de donn\u00e9es, y compris l&#8217;activation d&#8217;une s\u00e9quence d&#8217;infection en plusieurs \u00e9tapes qui aboutit \u00e0 l&#8217;utilisation d&#8217;une porte d\u00e9rob\u00e9e C++ avanc\u00e9e nomm\u00e9e KEYPLUG, qui a \u00e9t\u00e9 document\u00e9e par Mandiant de Google. en mars 2022.<\/p>\n<p>Le d\u00e9veloppement marque la premi\u00e8re fois qu&#8217;APT41 a \u00e9t\u00e9 observ\u00e9 utilisant Dropbox \u00e0 des fins de C&amp;C, illustrant l&#8217;utilisation croissante par les attaquants d&#8217;offres l\u00e9gitimes de logiciel en tant que service et de cloud pour h\u00e9berger du contenu malveillant.<\/p>\n<p>&#8220;Winnti reste actif et son arsenal ne cesse de cro\u00eetre pour devenir l&#8217;un des groupes les plus sophistiqu\u00e9s de nos jours&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.  &#8220;L&#8217;emplacement du Sri Lanka en Asie du Sud est strat\u00e9gique pour la Chine car il a un acc\u00e8s ouvert \u00e0 l&#8217;oc\u00e9an Indien et est proche de l&#8217;Inde.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/chinese-spyder-loader-malware-spotted.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur ax\u00e9 sur l&#8217;espionnage align\u00e9 sur la Chine, surnomm\u00e9 Winnti, a jet\u00e9 son d\u00e9volu sur les organisations gouvernementales de Hong Kong dans le cadre d&#8217;une campagne en cours baptis\u00e9e Op\u00e9ration CuckooBees. Actif depuis au moins 2007, Winnti (alias APT41, Barium, Bronze Atlas et Wicked Panda) est le nom donn\u00e9 \u00e0 un groupe prolifique de cybermenaces [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":418756,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5663,4175,4168,4158,4165,4161,133,162,4479,4480,4157,4159,4171,4170,38953,4167,4174,4160,4163,4162,12070,21044,4172,4169,117539,4166,4164],"class_list":["post-418755","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chinois","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-ete","tag-hong","tag-kong","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-loader","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-organisations","tag-repere","tag-securite-informatique","tag-securite-internet","tag-spyder","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/418755","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=418755"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/418755\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/418756"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=418755"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=418755"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=418755"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}