{"id":46103,"date":"2022-03-21T14:04:07","date_gmt":"2022-03-21T16:04:07","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-porte-derobee-cible-les-entites-francaises-via-un-programme-dinstallation-de-packages-open-source\/"},"modified":"2022-03-21T14:04:18","modified_gmt":"2022-03-21T16:04:18","slug":"une-nouvelle-porte-derobee-cible-les-entites-francaises-via-un-programme-dinstallation-de-packages-open-source","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-porte-derobee-cible-les-entites-francaises-via-un-programme-dinstallation-de-packages-open-source\/","title":{"rendered":"Une nouvelle porte d\u00e9rob\u00e9e cible les entit\u00e9s fran\u00e7aises via un programme d’installation de packages open source"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Les chercheurs ont d\u00e9voil\u00e9 une nouvelle campagne d’e-mails cibl\u00e9e destin\u00e9e aux entit\u00e9s fran\u00e7aises des secteurs de la construction, de l’immobilier et du gouvernement qui exploite le gestionnaire de packages Chocolatey Windows pour fournir une porte d\u00e9rob\u00e9e appel\u00e9e Serpent<\/strong> sur les syst\u00e8mes compromis.<\/p>\n

La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d’entreprise Proofpoint a attribu\u00e9 les attaques \u00e0 un acteur de menace avanc\u00e9 probable sur la base des tactiques et des sch\u00e9mas de victimologie observ\u00e9s. L’objectif ultime de la campagne reste actuellement inconnu.<\/p>\n

“L’acteur de la menace a tent\u00e9 d’installer une porte d\u00e9rob\u00e9e sur l’appareil d’une victime potentielle, ce qui pourrait permettre l’administration \u00e0 distance, la commande et le contr\u00f4le (C2), le vol de donn\u00e9es ou fournir d’autres charges utiles suppl\u00e9mentaires”, ont d\u00e9clar\u00e9 les chercheurs de Proofpoint. mentionn\u00e9<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n

\"Sauvegardes<\/a><\/div>\n

L’app\u00e2t du phishing qui d\u00e9clenche la s\u00e9quence d’infection utilise une ligne d’objet sur le th\u00e8me du curriculum vitae, le document Microsoft Word int\u00e9gr\u00e9 \u00e0 la macro ci-joint se faisant passer pour des informations relatives au R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD) de l’Union europ\u00e9enne.<\/p>\n

L’activation des macros entra\u00eene son ex\u00e9cution, qui r\u00e9cup\u00e8re un fichier image apparemment inoffensif h\u00e9berg\u00e9 sur un serveur distant mais contient en fait un script PowerShell encod\u00e9 en Base64 qui est obscurci \u00e0 l’aide de la st\u00e9ganographie, une m\u00e9thode peu utilis\u00e9e pour dissimuler le code malveillant dans une image ou un son dans l’ordre pour contourner la d\u00e9tection.<\/p>\n

\"\"<\/div>\n

Le script PowerShell, \u00e0 son tour, est con\u00e7u pour installer le Utilit\u00e9 chocolat\u00e9e<\/a> sur la machine Windows, qui est ensuite utilis\u00e9e pour installer le programme d’installation du package Python p\u00e9pin<\/a>ce dernier servant de conduit pour installer le PySocks<\/a> biblioth\u00e8que proxy.<\/p>\n

Le m\u00eame script PowerShell r\u00e9cup\u00e8re \u00e9galement un autre fichier image du m\u00eame serveur distant qui inclut la porte d\u00e9rob\u00e9e Python camoufl\u00e9e appel\u00e9e Serpent, qui permet d’ex\u00e9cuter des commandes transmises depuis le serveur C2.<\/p>\n

\"Emp\u00eacher<\/a><\/div>\n

En plus de la st\u00e9ganographie, l’utilisation d’outils largement reconnus tels que Chocolatey comme charge utile initiale pour le d\u00e9ploiement ult\u00e9rieur de packages Python authentiques est une tentative de rester sous le radar et de ne pas \u00eatre signal\u00e9 comme une menace, a d\u00e9clar\u00e9 Proofpoint.<\/p>\n

Les attaques n’ont pas r\u00e9v\u00e9l\u00e9 d’associations avec un acteur ou un groupe pr\u00e9c\u00e9demment identifi\u00e9, mais sont soup\u00e7onn\u00e9es d’\u00eatre l’\u0153uvre d’une \u00e9quipe de piratage sophistiqu\u00e9e.<\/p>\n

“Il s’agit d’une nouvelle application d’une vari\u00e9t\u00e9 de technologies qui sont souvent utilis\u00e9es l\u00e9gitimement au sein des organisations”, a d\u00e9clar\u00e9 Sherrod DeGrippo, vice-pr\u00e9sident de la recherche et de la d\u00e9tection des menaces chez Proofpoint, dans un communiqu\u00e9.<\/p>\n

“Il capitalise sur le d\u00e9sir de nombreuses organisations, en particulier les groupes techniques, de permettre \u00e0 leurs utilisateurs d’\u00eatre” autonomes “en ce qui concerne l’auto-outillage et les gestionnaires de packages. De plus, l’utilisation de la st\u00e9ganographie est inhabituelle et quelque chose que nous ne voyons pas r\u00e9guli\u00e8rement .”<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Les chercheurs ont d\u00e9voil\u00e9 une nouvelle campagne d’e-mails cibl\u00e9e destin\u00e9e aux entit\u00e9s fran\u00e7aises des secteurs de la construction, de l’immobilier et du gouvernement qui exploite le gestionnaire de packages Chocolatey Windows pour fournir une porte d\u00e9rob\u00e9e appel\u00e9e Serpent sur les syst\u00e8mes compromis. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d’entreprise Proofpoint a attribu\u00e9 les attaques \u00e0 un acteur […]<\/p>\n","protected":false},"author":1,"featured_media":46104,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[7087,4168,4158,4165,4161,7084,32778,32776,32777,4157,4159,4171,4170,65,4167,4160,197,4163,4162,14531,7309,2742,4802,4172,4169,11137,196,4166,4164],"class_list":["post-46103","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-dinstallation","tag-entites","tag-francaises","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-open","tag-packages","tag-porte","tag-programme","tag-securite-informatique","tag-securite-internet","tag-source","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/46103","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=46103"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/46103\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/46104"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=46103"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=46103"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=46103"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}