{"id":442393,"date":"2022-11-01T20:11:24","date_gmt":"2022-11-01T22:11:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-utilisent-une-nouvelle-chaine-dinfection-furtive-pour-deployer-le-logiciel-malveillant-lodeinfo\/"},"modified":"2022-11-01T20:11:26","modified_gmt":"2022-11-01T22:11:26","slug":"des-pirates-chinois-utilisent-une-nouvelle-chaine-dinfection-furtive-pour-deployer-le-logiciel-malveillant-lodeinfo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-utilisent-une-nouvelle-chaine-dinfection-furtive-pour-deployer-le-logiciel-malveillant-lodeinfo\/","title":{"rendered":"Des pirates chinois utilisent une nouvelle cha\u00eene d&#8217;infection furtive pour d\u00e9ployer le logiciel malveillant LODEINFO"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;acteur mena\u00e7ant parrain\u00e9 par l&#8217;\u00c9tat chinois connu sous le nom de <b>Panda de pierre<\/b> a \u00e9t\u00e9 observ\u00e9 employant une nouvelle cha\u00eene d&#8217;infection furtive dans ses attaques visant des entit\u00e9s japonaises.<\/p>\n<p>Les cibles comprennent les m\u00e9dias, les organisations diplomatiques, gouvernementales et du secteur public et les groupes de r\u00e9flexion au Japon, selon <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/apt10-tracking-down-lodeinfo-2022-part-i\/107742\/\" target=\"_blank\">double<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/apt10-tracking-down-lodeinfo-2022-part-ii\/107745\/\" target=\"_blank\">rapports<\/a> publi\u00e9 par Kaspersky.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/apt10\" target=\"_blank\">Panda de pierre<\/a>, \u00e9galement appel\u00e9 APT10, Bronze Riverside, Cicada et Potassium, est un groupe de cyberespionnage connu pour ses intrusions contre des organisations identifi\u00e9es comme strat\u00e9giquement importantes pour la Chine.  L&#8217;acteur mena\u00e7ant serait actif depuis au moins 2009.<\/p>\n<p>La derni\u00e8re s\u00e9rie d&#8217;attaques, observ\u00e9e entre mars et juin 2022, implique l&#8217;utilisation d&#8217;un faux fichier Microsoft Word et d&#8217;un fichier d&#8217;archive auto-extractible (SFX) au format RAR propag\u00e9 via des e-mails de harponnage, conduisant \u00e0 l&#8217;ex\u00e9cution d&#8217;une porte d\u00e9rob\u00e9e appel\u00e9e LODEINFO.<\/p>\n<p>Alors que le maldoc oblige les utilisateurs \u00e0 activer les macros pour activer la killchain, la campagne de juin 2022 s&#8217;est av\u00e9r\u00e9e abandonner cette m\u00e9thode au profit d&#8217;un fichier SFX qui, lorsqu&#8217;il est ex\u00e9cut\u00e9, affiche un document Word leurre inoffensif pour dissimuler les activit\u00e9s malveillantes.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"350\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667340684_12_Des-pirates-chinois-utilisent-une-nouvelle-chaine-dinfection-furtive-pour.jpg\" \/><\/div>\n<p>La macro, une fois activ\u00e9e, d\u00e9pose une archive ZIP contenant deux fichiers, dont l&#8217;un (&#8220;NRTOLF.exe&#8221;) est un ex\u00e9cutable l\u00e9gitime du logiciel K7Security Suite qui est ensuite utilis\u00e9 pour charger une DLL malveillante (&#8220;K7SysMn1.dll&#8221;) via <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Chargement lat\u00e9ral de DLL<\/a>.<\/p>\n<p>Mis \u00e0 part l&#8217;abus de l&#8217;application de s\u00e9curit\u00e9, Kaspersky a d\u00e9clar\u00e9 avoir \u00e9galement d\u00e9couvert en juin 2022 une autre m\u00e9thode d&#8217;infection initiale dans laquelle un fichier Microsoft Word prot\u00e9g\u00e9 par mot de passe agissait comme un conduit pour fournir un t\u00e9l\u00e9chargeur sans fichier appel\u00e9 DOWNIISSA lors de l&#8217;activation des macros.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"341\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667340684_425_Des-pirates-chinois-utilisent-une-nouvelle-chaine-dinfection-furtive-pour.jpg\" \/><\/div>\n<p>&#8220;La macro int\u00e9gr\u00e9e g\u00e9n\u00e8re le shellcode DOWNIISSA et l&#8217;injecte dans le processus actuel (WINWORD.exe)&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9.<\/p>\n<p>DOWNIISSA est configur\u00e9 pour communiquer avec un serveur distant cod\u00e9 en dur, l&#8217;utilisant pour r\u00e9cup\u00e9rer une charge utile BLOB chiffr\u00e9e de LODEINFO, une porte d\u00e9rob\u00e9e capable d&#8217;ex\u00e9cuter un shellcode arbitraire, de prendre des captures d&#8217;\u00e9cran et d&#8217;exfiltrer des fichiers vers le serveur.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-divulguent-les-details-de-la-faille-RCE-critique.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le malware, apparu pour la premi\u00e8re fois en 2019, a subi de nombreuses am\u00e9liorations, Kaspersky ayant identifi\u00e9 six versions diff\u00e9rentes en mars, avril, juin et septembre 2022.<\/p>\n<p>Les changements incluent des techniques d&#8217;\u00e9vasion am\u00e9lior\u00e9es pour voler sous le radar, arr\u00eatant l&#8217;ex\u00e9cution sur des machines avec le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Locale_(computer_software)\" target=\"_blank\">lieu<\/a> &#8220;en_US&#8221;, r\u00e9visant la liste des commandes prises en charge et \u00e9tendant la prise en charge de l&#8217;architecture Intel 64 bits.<\/p>\n<p>&#8220;Le malware LODEINFO est mis \u00e0 jour tr\u00e8s fr\u00e9quemment et continue de cibler activement les organisations japonaises&#8221;, ont conclu les chercheurs.<\/p>\n<p>&#8220;Les TTP mis \u00e0 jour et les am\u00e9liorations de LODEINFO et des logiciels malveillants associ\u00e9s [&#8230;] indiquent que l&#8217;attaquant s&#8217;attache particuli\u00e8rement \u00e0 rendre la d\u00e9tection, l&#8217;analyse et l&#8217;investigation plus difficiles pour les chercheurs en s\u00e9curit\u00e9.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/chinese-hackers-using-new-stealthy.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur mena\u00e7ant parrain\u00e9 par l&#8217;\u00c9tat chinois connu sous le nom de Panda de pierre a \u00e9t\u00e9 observ\u00e9 employant une nouvelle cha\u00eene d&#8217;infection furtive dans ses attaques visant des entit\u00e9s japonaises. Les cibles comprennent les m\u00e9dias, les organisations diplomatiques, gouvernementales et du secteur public et les groupes de r\u00e9flexion au Japon, selon double rapports publi\u00e9 par [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":442394,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2953,5663,4168,4158,4165,4161,9886,133,35167,90729,4157,4159,4171,4170,121254,6816,4167,7733,4160,197,4163,4162,4394,185,4172,4169,196,10784,4166,4164],"class_list":["post-442393","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chaine","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-des","tag-dinfection","tag-furtive","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lodeinfo","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-une","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/442393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=442393"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/442393\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/442394"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=442393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=442393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=442393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}