{"id":420656,"date":"2022-10-19T12:06:35","date_gmt":"2022-10-19T14:06:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-ciblant-les-casinos-en-ligne-avec-le-logiciel-malveillant-gameplayerframework\/"},"modified":"2022-10-19T12:06:37","modified_gmt":"2022-10-19T14:06:37","slug":"des-pirates-chinois-ciblant-les-casinos-en-ligne-avec-le-logiciel-malveillant-gameplayerframework","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-ciblant-les-casinos-en-ligne-avec-le-logiciel-malveillant-gameplayerframework\/","title":{"rendered":"Des pirates chinois ciblant les casinos en ligne avec le logiciel malveillant GamePlayerFramework"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un groupe de menaces persistantes avanc\u00e9es (APT) d&#8217;origine chinoise dont le nom de code est <strong>DiceyF<\/strong> est li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques visant des casinos en ligne en Asie du Sud-Est depuis des ann\u00e9es.<\/p>\n<p>La soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky a d\u00e9clar\u00e9 que l&#8217;activit\u00e9 s&#8217;aligne sur un autre ensemble d&#8217;intrusions attribu\u00e9es \u00e0 Earth Berberoka (alias GamblingPuppet) et DRBControl, citant des similitudes tactiques et de ciblage ainsi que l&#8217;abus de clients de messagerie s\u00e9curis\u00e9e.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Nous avons peut-\u00eatre un m\u00e9lange d&#8217;espionnage et de [intellectual property] vol, mais les v\u00e9ritables motivations restent un myst\u00e8re \u00bb, les chercheurs Kurt Baumgartner et Georgy Kucherin <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/diceyf-deploys-gameplayerframework-in-online-casino-development-studio\/107723\/\" target=\"_blank\">a dit<\/a> dans un article technique publi\u00e9 cette semaine.<\/p>\n<p>Le point de d\u00e9part de l&#8217;enqu\u00eate a eu lieu en novembre 2021 lorsque Kaspersky a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 plusieurs chargeurs PlugX et autres charges utiles qui ont \u00e9t\u00e9 d\u00e9ploy\u00e9s via un service de surveillance des employ\u00e9s et un service de d\u00e9ploiement de packages de s\u00e9curit\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant GamePlayerFramework\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666188394_28_Des-pirates-chinois-ciblant-les-casinos-en-ligne-avec-le.jpg\" title=\"Logiciel malveillant GamePlayerFramework\" \/><\/div>\n<p>La m\u00e9thode d&#8217;infection initiale &#8211; la distribution du framework via des packages de solutions de s\u00e9curit\u00e9 &#8211; a permis \u00e0 l&#8217;acteur de la menace &#8220;d&#8217;effectuer des activit\u00e9s de cyberespionnage avec un certain niveau de furtivit\u00e9&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Par la suite, le m\u00eame service de d\u00e9ploiement de package de s\u00e9curit\u00e9 aurait \u00e9t\u00e9 utilis\u00e9 pour fournir ce qu&#8217;on appelle le GamePlayerFramework, une variante C # d&#8217;un malware bas\u00e9 sur C ++ connu sous le nom de PuppetLoader.<\/p>\n<p>&#8220;Ce&#8221; cadre &#8220;inclut des t\u00e9l\u00e9chargeurs, des lanceurs et un ensemble de plugins qui fournissent un acc\u00e8s \u00e0 distance et volent les frappes au clavier et les donn\u00e9es du presse-papiers&#8221;, ont expliqu\u00e9 les chercheurs.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant GamePlayerFramework\" border=\"0\" data-original-height=\"603\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666188394_240_Des-pirates-chinois-ciblant-les-casinos-en-ligne-avec-le.jpg\" title=\"Logiciel malveillant GamePlayerFramework\" \/><\/div>\n<p>Les indications sont que l&#8217;activit\u00e9 DiceyF est une campagne de suivi de Earth Berberoka avec un ensemble d&#8217;outils de logiciels malveillants r\u00e9organis\u00e9s, m\u00eame si le cadre est maintenu via deux branches distinctes appel\u00e9es Tifa et Yuna, qui viennent avec diff\u00e9rents modules de diff\u00e9rents niveaux de sophistication.<\/p>\n<p>Alors que la branche Tifa contient un t\u00e9l\u00e9chargeur et un composant principal, Yuna est plus complexe en termes de fonctionnalit\u00e9s, incorporant un t\u00e9l\u00e9chargeur, un ensemble de plugins et au moins 12 modules PuppetLoader.  Cela dit, on pense que les deux branches sont activement et progressivement mises \u00e0 jour.<\/p>\n<p>Quelle que soit la variante utilis\u00e9e, le GamePlayerFramework, une fois lanc\u00e9, se connecte \u00e0 un command-and-control (C2) et transmet des informations sur l&#8217;h\u00f4te compromis et le contenu du presse-papiers, apr\u00e8s quoi le C2 r\u00e9pond avec l&#8217;une des 15 commandes qui permettent au malware de prendre le contr\u00f4le de la machine.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Cela inclut \u00e9galement le lancement d&#8217;un plugin sur le syst\u00e8me victime qui peut \u00eatre t\u00e9l\u00e9charg\u00e9 depuis le serveur C2 lorsque le framework est instanci\u00e9 ou r\u00e9cup\u00e9r\u00e9 \u00e0 l&#8217;aide de la commande &#8220;InstallPlugin&#8221; envoy\u00e9e par le serveur.<\/p>\n<p>Ces plugins, \u00e0 leur tour, permettent de voler les cookies des navigateurs Google Chrome et Mozilla Firefox, de capturer les donn\u00e9es de frappe et de presse-papiers, de configurer des sessions de bureau virtuel et m\u00eame de se connecter \u00e0 distance \u00e0 la machine via SSH.<\/p>\n<p>Kaspersky a \u00e9galement soulign\u00e9 l&#8217;utilisation d&#8217;une application malveillante qui imite un autre logiciel appel\u00e9 Mango Employee Account Data Synchronizer, une application de messagerie utilis\u00e9e dans les entit\u00e9s cibl\u00e9es, pour supprimer le GamePlayerFramework au sein du r\u00e9seau.<\/p>\n<p>&#8220;Les campagnes DiceyF et les TTP pr\u00e9sentent de nombreuses caract\u00e9ristiques int\u00e9ressantes&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Le groupe modifie sa base de code au fil du temps et d\u00e9veloppe des fonctionnalit\u00e9s dans le code tout au long de ses intrusions.&#8221;<\/p>\n<p>&#8220;Pour s&#8217;assurer que les victimes ne se m\u00e9fient pas des implants d\u00e9guis\u00e9s, les attaquants ont obtenu des informations sur les organisations cibl\u00e9es (comme l&#8217;\u00e9tage o\u00f9 se trouve le service informatique de l&#8217;organisation) et les ont incluses dans des fen\u00eatres graphiques affich\u00e9es aux victimes.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/chinese-hackers-targeting-online.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de menaces persistantes avanc\u00e9es (APT) d&#8217;origine chinoise dont le nom de code est DiceyF est li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques visant des casinos en ligne en Asie du Sud-Est depuis des ann\u00e9es. La soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky a d\u00e9clar\u00e9 que l&#8217;activit\u00e9 s&#8217;aligne sur un autre ensemble d&#8217;intrusions attribu\u00e9es \u00e0 Earth Berberoka (alias [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":420657,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,42471,5663,4175,4168,4158,4165,4161,133,117809,4157,4159,4171,4170,65,2903,6816,4167,7733,4160,4163,4162,4394,4172,4169,4166,4164],"class_list":["post-420656","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-casinos","tag-chinois","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-gameplayerframework","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-ligne","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/420656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=420656"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/420656\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/420657"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=420656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=420656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=420656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}