{"id":428391,"date":"2022-10-24T07:24:31","date_gmt":"2022-10-24T09:24:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/sidewinder-apt-utilise-la-nouvelle-porte-derobee-warhawk-pour-cibler-des-entites-au-pakistan\/"},"modified":"2022-10-24T07:24:32","modified_gmt":"2022-10-24T09:24:32","slug":"sidewinder-apt-utilise-la-nouvelle-porte-derobee-warhawk-pour-cibler-des-entites-au-pakistan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/sidewinder-apt-utilise-la-nouvelle-porte-derobee-warhawk-pour-cibler-des-entites-au-pakistan\/","title":{"rendered":"SideWinder APT utilise la nouvelle porte d\u00e9rob\u00e9e WarHawk pour cibler des entit\u00e9s au Pakistan"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>SideWinder, un acteur \u00e9tatique prolifique principalement connu pour cibler des entit\u00e9s militaires pakistanaises, a pirat\u00e9 le site Web officiel de l&#8217;Autorit\u00e9 nationale de r\u00e9glementation de l&#8217;\u00e9nergie \u00e9lectrique (NEPRA) pour diffuser un logiciel malveillant sur mesure appel\u00e9 <strong>Faucon de guerre<\/strong>.<\/p>\n<p>&#8220;La porte d\u00e9rob\u00e9e WarHawk r\u00e9cemment d\u00e9couverte contient divers modules malveillants qui fournissent Cobalt Strike, incorporant de nouveaux TTP tels que <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/013\/\" target=\"_blank\">Injection KernelCallBackTable<\/a> et la v\u00e9rification du fuseau horaire standard du Pakistan afin d&#8217;assurer une campagne victorieuse&#8221;, Zscaler ThreatLabz <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/warhawk-new-backdoor-arsenal-sidewinder-apt-group-0\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Le groupe de menaces, \u00e9galement appel\u00e9 APT-C-17, Rattlesnake et Razor Tiger, est <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/razor_tiger\" target=\"_blank\">soup\u00e7onn\u00e9<\/a> \u00eatre un groupe parrain\u00e9 par l&#8217;\u00c9tat indien, bien qu&#8217;un rapport de Kaspersky plus t\u00f4t en mai reconnaisse que les indicateurs pr\u00e9c\u00e9dents qui ont conduit \u00e0 l&#8217;attribution ont depuis disparu, ce qui rend difficile de lier le groupe de menaces \u00e0 une nation sp\u00e9cifique.<\/p>\n<p>Plus de 1 000 attaques auraient \u00e9t\u00e9 lanc\u00e9es par le groupe depuis avril 2020, une indication de la nouvelle agression de SideWinder depuis le d\u00e9but de ses op\u00e9rations il y a dix ans en 2012.<\/p>\n<p>Les intrusions ont \u00e9t\u00e9 importantes non seulement en ce qui concerne leur fr\u00e9quence mais aussi dans leur persistance, alors m\u00eame que le groupe profite d&#8217;un arsenal massif de composants obscurcis et nouvellement d\u00e9velopp\u00e9s.<\/p>\n<p>En juin 2022, l&#8217;auteur de la menace a \u00e9t\u00e9 d\u00e9couvert en train d&#8217;utiliser un script AntiBot con\u00e7u pour filtrer ses victimes afin de v\u00e9rifier l&#8217;environnement du navigateur client, en particulier l&#8217;adresse IP, afin de s&#8217;assurer que les cibles sont situ\u00e9es au Pakistan.<\/p>\n<p>La campagne de septembre rep\u00e9r\u00e9e par Zscaler implique l&#8217;utilisation d&#8217;un fichier ISO militaris\u00e9 h\u00e9berg\u00e9 sur le site Web de NEPRA pour activer une cha\u00eene de destruction qui conduit au d\u00e9ploiement du logiciel malveillant WarHawk, l&#8217;artefact agissant \u00e9galement comme un leurre pour masquer l&#8217;activit\u00e9 malveillante en <a rel=\"nofollow noopener\" href=\"https:\/\/www.fbr.gov.pk\/categ\/admin-notice-board\/444\" target=\"_blank\">afficher<\/a> un <a rel=\"nofollow noopener\" href=\"https:\/\/cabinet.gov.pk\/Detail\/NjcwOTM5YTgtMDM4MC00OWQ4LWIyZGItYTc0MjBjZGVhODcw\" target=\"_blank\">avis l\u00e9gitime<\/a> \u00e9mis par la Division du Cabinet du Pakistan le 27 juillet 2022.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"306\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1666603470_379_SideWinder-APT-utilise-la-nouvelle-porte-derobee-WarHawk-pour-cibler.jpg\" \/><\/div>\n<p>WarHawk, pour sa part, se fait passer pour des applications l\u00e9gitimes telles que ASUS Update Setup et Realtek HD Audio Manager pour attirer les victimes sans m\u00e9fiance dans l&#8217;ex\u00e9cution, entra\u00eenant l&#8217;exfiltration des m\u00e9tadonn\u00e9es du syst\u00e8me vers un serveur distant cod\u00e9 en dur, tout en recevant des charges utiles suppl\u00e9mentaires de l&#8217;URL.<\/p>\n<p>Cela inclut un module d&#8217;ex\u00e9cution de commandes qui est responsable de l&#8217;ex\u00e9cution des commandes syst\u00e8me sur la machine infect\u00e9e re\u00e7ues du serveur de commande et de contr\u00f4le, un module de gestionnaire de fichiers qui \u00e9num\u00e8re de mani\u00e8re r\u00e9cursive les fichiers pr\u00e9sents sur diff\u00e9rents lecteurs et un module de t\u00e9l\u00e9chargement qui transmet les fichiers d&#8217;int\u00e9r\u00eat. au serveur.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Un chargeur Cobalt Strike est \u00e9galement d\u00e9ploy\u00e9 en tant que charge utile de deuxi\u00e8me \u00e9tape \u00e0 l&#8217;aide du module d&#8217;ex\u00e9cution de commande susmentionn\u00e9, qui valide le fuseau horaire de l&#8217;h\u00f4te pour confirmer qu&#8217;il correspond \u00e0 l&#8217;heure normale du Pakistan (PKT), faute de quoi le processus est termin\u00e9.<\/p>\n<p>Suite \u00e0 l&#8217;anti-anThe loader injecte du shellcode dans un processus notepad.exe en utilisant une technique appel\u00e9e injection de processus KernelCallbackTable, l&#8217;auteur du logiciel malveillant r\u00e9cup\u00e9rant le code source d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/captmeelo.com\/redteam\/maldev\/2022\/04\/21\/kernelcallbacktable-injection.html\" target=\"_blank\">r\u00e9daction technique<\/a> publi\u00e9 en avril 2022 par un chercheur sous le pseudonyme en ligne Capt. Meelo.<\/p>\n<p>Le shellcode d\u00e9crypte et charge ensuite Beacon, la charge utile de malware par d\u00e9faut utilis\u00e9e par Cobalt Strike pour \u00e9tablir une connexion \u00e0 son serveur de commande et de contr\u00f4le.<\/p>\n<p>Selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, les liens de la campagne d&#8217;attaque avec l&#8217;APT SideWinder proviennent de la r\u00e9utilisation de l&#8217;infrastructure r\u00e9seau qui a \u00e9t\u00e9 identifi\u00e9e comme utilis\u00e9e par le groupe dans des activit\u00e9s ant\u00e9rieures ax\u00e9es sur l&#8217;espionnage contre le Pakistan.<\/p>\n<p>&#8220;Le groupe SideWinder APT fait \u00e9voluer en permanence ses tactiques et ajoute de nouveaux logiciels malveillants \u00e0 son arsenal afin de mener \u00e0 bien des campagnes d&#8217;attaques d&#8217;espionnage contre ses cibles&#8221;, ont conclu les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/sidewinder-apt-using-new-warhawk.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>SideWinder, un acteur \u00e9tatique prolifique principalement connu pour cibler des entit\u00e9s militaires pakistanaises, a pirat\u00e9 le site Web officiel de l&#8217;Autorit\u00e9 nationale de r\u00e9glementation de l&#8217;\u00e9nergie \u00e9lectrique (NEPRA) pour diffuser un logiciel malveillant sur mesure appel\u00e9 Faucon de guerre. &#8220;La porte d\u00e9rob\u00e9e WarHawk r\u00e9cemment d\u00e9couverte contient divers modules malveillants qui fournissent Cobalt Strike, incorporant de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":428392,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,11338,4168,4158,4165,4161,7084,133,32776,4157,4159,4171,4170,4167,4160,197,4163,4162,28289,2742,185,4172,4169,72372,1282,4166,4164,119002],"class_list":["post-428391","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-des","tag-entites","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pakistan","tag-porte","tag-pour","tag-securite-informatique","tag-securite-internet","tag-sidewinder","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-warhawk"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/428391","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=428391"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/428391\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/428392"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=428391"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=428391"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=428391"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}