{"id":435624,"date":"2022-10-28T11:12:42","date_gmt":"2022-10-28T13:12:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-des-techniques-furtives-utilisees-par-les-pirates-despionnage-cranefly\/"},"modified":"2022-10-28T11:12:43","modified_gmt":"2022-10-28T13:12:43","slug":"des-chercheurs-decouvrent-des-techniques-furtives-utilisees-par-les-pirates-despionnage-cranefly","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-des-techniques-furtives-utilisees-par-les-pirates-despionnage-cranefly\/","title":{"rendered":"Des chercheurs d\u00e9couvrent des techniques furtives utilis\u00e9es par les pirates d&#8217;espionnage Cranefly"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un groupe de piratage r\u00e9cemment d\u00e9couvert, connu pour cibler les employ\u00e9s traitant des transactions d&#8217;entreprise, a \u00e9t\u00e9 li\u00e9 \u00e0 une nouvelle porte d\u00e9rob\u00e9e appel\u00e9e <b>Danfouan<\/b>.<\/p>\n<p>Ce malware jusqu&#8217;ici non document\u00e9 est d\u00e9livr\u00e9 via un autre compte-gouttes appel\u00e9 Geppei, chercheurs de Symantec, par Broadcom Software, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/cranefly-new-tools-technique-geppei-danfuan\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Le compte-gouttes &#8220;est utilis\u00e9 pour installer une nouvelle porte d\u00e9rob\u00e9e et d&#8217;autres outils utilisant la nouvelle technique de lecture de commandes \u00e0 partir de journaux Internet Information Services (IIS) apparemment inoffensifs&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>L&#8217;ensemble d&#8217;outils a \u00e9t\u00e9 attribu\u00e9 par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 \u00e0 un acteur d&#8217;espionnage pr\u00e9sum\u00e9 appel\u00e9 UNC3524, alias Cranefly, qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en mai 2022 pour son accent sur la collecte en masse d&#8217;e-mails de victimes qui traitent de fusions et acquisitions et d&#8217;autres transactions financi\u00e8res.<\/p>\n<p>L&#8217;une des principales souches de logiciels malveillants du groupe est QUIETEXIT, une porte d\u00e9rob\u00e9e d\u00e9ploy\u00e9e sur des appareils r\u00e9seau qui ne prennent pas en charge les antivirus ou la d\u00e9tection des terminaux, tels que les \u00e9quilibreurs de charge et les contr\u00f4leurs de points d&#8217;acc\u00e8s sans fil, permettant \u00e0 l&#8217;attaquant de voler sous le radar pendant de longues p\u00e9riodes.<\/p>\n<p>Geppei et Danfuan s&#8217;ajoutent aux cyber-armes personnalis\u00e9es de Cranefly, le premier agissant comme un compte-gouttes en lisant les commandes des journaux IIS qui se font passer pour des demandes d&#8217;acc\u00e8s Web inoffensives envoy\u00e9es \u00e0 un serveur compromis.<\/p>\n<p>&#8220;Les commandes lues par Geppei contiennent des fichiers .ashx encod\u00e9s malveillants&#8221;, ont not\u00e9 les chercheurs.  &#8220;Ces fichiers sont enregistr\u00e9s dans un dossier arbitraire d\u00e9termin\u00e9 par le param\u00e8tre de commande et ils s&#8217;ex\u00e9cutent comme des portes d\u00e9rob\u00e9es.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEglTybVbyQ3y6xCIxW9BIpqhgWBf_IhNgCo44HrgwUeYVi_GwvasznH93LLdkqJLwdp4DUkFkILg6m3WDgkue7MFxmbzFxmTBe7-pukEjyvUZ3j9yGyBcL2yUAZVFSQkjSric7YYfU8WgwHwYsS2-3wZ1zLQDAqgkoEpk5kZsbUuyh0UlV8nq7PplYEgQ\/s1600\/banners-crowdsec-728.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Cela inclut un shell Web appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.regeorg\" target=\"_blank\">reGeorg<\/a>qui a \u00e9t\u00e9 utilis\u00e9 par d&#8217;autres acteurs comme APT28, <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/defttorero-tactics-techniques-and-procedures\/107610\/\" target=\"_blank\">DeftTorero<\/a>et Worok, et un malware in\u00e9dit appel\u00e9 Danfuan, qui est con\u00e7u pour ex\u00e9cuter le code C# re\u00e7u.<\/p>\n<p>Symantec a d\u00e9clar\u00e9 qu&#8217;il n&#8217;avait pas observ\u00e9 l&#8217;acteur de la menace exfiltrer les donn\u00e9es des machines victimes malgr\u00e9 une longue dur\u00e9e de s\u00e9jour de 18 mois sur les r\u00e9seaux compromis.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;une nouvelle technique et d&#8217;outils personnalis\u00e9s, ainsi que les mesures prises pour masquer les traces de cette activit\u00e9 sur les machines victimes, indiquent que Cranefly est un acteur de menace assez qualifi\u00e9&#8221;, ont conclu les chercheurs.<\/p>\n<p>&#8220;Les outils d\u00e9ploy\u00e9s et les efforts d\u00e9ploy\u00e9s pour dissimuler cette activit\u00e9 [&#8230;] indiquent que la motivation la plus probable de ce groupe est la collecte de renseignements.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/researchers-uncover-stealthy-techniques.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de piratage r\u00e9cemment d\u00e9couvert, connu pour cibler les employ\u00e9s traitant des transactions d&#8217;entreprise, a \u00e9t\u00e9 li\u00e9 \u00e0 une nouvelle porte d\u00e9rob\u00e9e appel\u00e9e Danfouan. Ce malware jusqu&#8217;ici non document\u00e9 est d\u00e9livr\u00e9 via un autre compte-gouttes appel\u00e9 Geppei, chercheurs de Symantec, par Broadcom Software, a dit dans un rapport partag\u00e9 avec The Hacker News. Le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":435625,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,120114,4158,4165,4161,3073,133,10729,103005,4157,4159,4171,4170,65,4167,4160,4163,4162,164,4394,4172,4169,7447,19022,4166,4164],"class_list":["post-435624","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-cranefly","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrent","tag-des","tag-despionnage","tag-furtives","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-techniques","tag-utilisees","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/435624","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=435624"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/435624\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/435625"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=435624"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=435624"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=435624"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}