{"id":462834,"date":"2022-11-14T13:19:51","date_gmt":"2022-11-14T15:19:51","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouveau-terre-longzhi-apt-cible-lukraine-et-les-pays-asiatiques-avec-des-chargeuses-cobalt-strike-personnalisees\/"},"modified":"2022-11-14T13:19:53","modified_gmt":"2022-11-14T15:19:53","slug":"nouveau-terre-longzhi-apt-cible-lukraine-et-les-pays-asiatiques-avec-des-chargeuses-cobalt-strike-personnalisees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouveau-terre-longzhi-apt-cible-lukraine-et-les-pays-asiatiques-avec-des-chargeuses-cobalt-strike-personnalisees\/","title":{"rendered":"Nouveau &quot;Terre Longzhi&quot; APT cible l&#8217;Ukraine et les pays asiatiques avec des chargeuses Cobalt Strike personnalis\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des entit\u00e9s situ\u00e9es en Asie de l&#8217;Est et du Sud-Est ainsi qu&#8217;en Ukraine sont cibl\u00e9es au moins depuis 2020 par un sous-groupe auparavant non document\u00e9 d&#8217;APT41, une menace persistante avanc\u00e9e (APT) chinoise prolifique.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trend Micro, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/k\/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html\" target=\"_blank\">baptis\u00e9<\/a> l&#8217;\u00e9quipe d&#8217;espionnage <strong>Terre Longzhi<\/strong>a d\u00e9clar\u00e9 que la longue campagne de l&#8217;acteur peut \u00eatre divis\u00e9e en deux en fonction de l&#8217;ensemble d&#8217;outils d\u00e9ploy\u00e9s pour attaquer ses victimes.<\/p>\n<p>La premi\u00e8re vague de mai 2020 \u00e0 f\u00e9vrier 2021 aurait cibl\u00e9 les industries gouvernementales, des infrastructures et de la sant\u00e9 \u00e0 Ta\u00efwan et le secteur bancaire en Chine, tandis que la s\u00e9rie d&#8217;intrusions successives d&#8217;ao\u00fbt 2021 \u00e0 juin 2022 a infiltr\u00e9 des victimes tr\u00e8s m\u00e9diatis\u00e9es en Ukraine et plusieurs pays d&#8217;Asie.<\/p>\n<p>Cela comprenait les industries de la d\u00e9fense, de l&#8217;aviation, des assurances et du d\u00e9veloppement urbain \u00e0 Ta\u00efwan, en Chine, en Tha\u00eflande, en Malaisie, en Indon\u00e9sie, au Pakistan et en Ukraine.<\/p>\n<p>Les mod\u00e8les de victimologie et les secteurs cibl\u00e9s se chevauchent avec les attaques mont\u00e9es par un groupe s\u0153ur distinct d&#8217;APT41 (alias Winnti) connu sous le nom de Earth Baku, a ajout\u00e9 la soci\u00e9t\u00e9 japonaise de cybers\u00e9curit\u00e9.<\/p>\n<p>Certaines des cyberactivit\u00e9s malveillantes de Earth Baku ont \u00e9t\u00e9 li\u00e9es \u00e0 des groupes appel\u00e9s par d&#8217;autres soci\u00e9t\u00e9s de cybers\u00e9curit\u00e9 ESET et Symantec sous les noms de SparklingGoblin et Grayfly, respectivement.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Frappe de cobalt\" border=\"0\" data-original-height=\"416\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668439190_989_Nouveau-quotTerre-Longzhiquot-APT-cible-lUkraine-et-les-pays-asiatiques.jpg\" title=\"Frappe de cobalt\"\/><\/div>\n<p>&#8220;Les tactiques, techniques et proc\u00e9dures (TTP) de SparklingGoblin se chevauchent partiellement avec les TTP APT41&#8221;, a pr\u00e9c\u00e9demment d\u00e9clar\u00e9 Mathieu Tartare, chercheur \u00e0 ESET, \u00e0 The Hacker News.  &#8220;La d\u00e9finition de Grayfly donn\u00e9e par Symantec semble (au moins partiellement) se chevaucher avec SparklingGoblin.&#8221;<\/p>\n<p>Maintenant, Earth Longzhi ajoute une autre pi\u00e8ce au puzzle d&#8217;attaque APT41, avec l&#8217;acteur partageant \u00e9galement des liens vers un troisi\u00e8me sous-groupe surnomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/apt17\" target=\"_blank\">GroupeCC<\/a> (alias APT17, Aurora Panda ou Bronze Keystone).<\/p>\n<p>Les attaques orchestr\u00e9es par le groupe de pirates utilisent les e-mails de harponnage comme vecteur d&#8217;entr\u00e9e initial.  Ces messages sont connus pour int\u00e9grer des archives prot\u00e9g\u00e9es par mot de passe ou des liens vers des fichiers h\u00e9berg\u00e9s sur Google Drive qui, une fois ouverts, lancent un chargeur Cobalt Strike appel\u00e9 CroxLoader.<\/p>\n<p>Dans certains cas, le groupe a \u00e9t\u00e9 observ\u00e9 en train de militariser des failles d&#8217;ex\u00e9cution de code \u00e0 distance dans des applications expos\u00e9es publiquement pour fournir un shell Web capable de supprimer un chargeur de niveau sup\u00e9rieur appel\u00e9 Symatic, con\u00e7u pour d\u00e9ployer Cobalt Strike.<\/p>\n<p>Un &#8220;outil tout-en-un&#8221; est \u00e9galement utilis\u00e9 dans le cadre de ses activit\u00e9s de post-exploitation, qui combine plusieurs fonctions accessibles au public et personnalis\u00e9es dans un seul package et qui serait disponible depuis septembre 2014.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Frappe de cobalt\" border=\"0\" data-original-height=\"556\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668439190_339_Nouveau-quotTerre-Longzhiquot-APT-cible-lUkraine-et-les-pays-asiatiques.jpg\" title=\"Frappe de cobalt\"\/><\/div>\n<p>La deuxi\u00e8me s\u00e9rie d&#8217;attaques lanc\u00e9es par Earth Longzhi suit un sch\u00e9ma similaire, la principale diff\u00e9rence \u00e9tant l&#8217;utilisation de diff\u00e9rents chargeurs Cobalt Strike nomm\u00e9s CroxLoader, BigpipeLoader et OutLoader pour supprimer le cadre de l&#8217;\u00e9quipe rouge sur les h\u00f4tes infect\u00e9s.<\/p>\n<p>Les attaques r\u00e9centes se distinguent en outre par l&#8217;utilisation d&#8217;outils sur mesure qui peuvent d\u00e9sactiver les logiciels de s\u00e9curit\u00e9, vider les informations d&#8217;identification \u00e0 l&#8217;aide d&#8217;une version modifi\u00e9e de Mimikatz et tirer parti des failles du composant Windows Print Spooler (c&#8217;est-\u00e0-dire PrintNightmare) pour \u00e9lever les privil\u00e8ges.<\/p>\n<div class=\"ad_two clear\"><img class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.gif\" decoding=\"async\" fetchpriority=\"low\" style=\"float:left\"\/><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663940313_323_Des-chercheurs-decouvrent-le-nouveau-Metador-APT-ciblant-les-operateurs.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>De plus, la neutralisation des solutions de s\u00e9curit\u00e9 install\u00e9es est effectu\u00e9e par une m\u00e9thode appel\u00e9e apportez votre propre pilote vuln\u00e9rable (BYOVD), qui implique l&#8217;exploitation d&#8217;une faille connue dans le pilote RTCore64.sys (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-16098\" target=\"_blank\">CVE-2019-16098<\/a>).<\/p>\n<p>Ceci est effectu\u00e9 \u00e0 l&#8217;aide de ProcBurner, un outil permettant de tuer des processus en cours d&#8217;ex\u00e9cution sp\u00e9cifiques, tandis qu&#8217;un autre logiciel malveillant personnalis\u00e9 appel\u00e9 AVBurner est utilis\u00e9 pour d\u00e9sinscrire le syst\u00e8me de d\u00e9tection et de r\u00e9ponse des points de terminaison (EDR) en supprimant les rappels de cr\u00e9ation de processus &#8211; un m\u00e9canisme qui \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/br-sn.github.io\/Removing-Kernel-Callbacks-Using-Signed-Drivers\/\" target=\"_blank\">d\u00e9taill\u00e9<\/a> par un chercheur en s\u00e9curit\u00e9 qui s&#8217;appelle brsn en ao\u00fbt 2020.<\/p>\n<p>Il convient de noter que la version obsol\u00e8te du pilote RTCore64.sys, qui a toujours une signature num\u00e9rique valide, a \u00e9t\u00e9 utilis\u00e9e par plusieurs acteurs de la menace comme BlackByte et OldGremlin au cours des derniers mois.<\/p>\n<p>&#8220;[Earth Longzhi&#8217;s] les secteurs cibles sont dans les industries pertinentes pour la s\u00e9curit\u00e9 nationale et les \u00e9conomies des pays d&#8217;Asie-Pacifique \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Les activit\u00e9s de ces campagnes montrent que le groupe est bien inform\u00e9 sur les op\u00e9rations de l&#8217;\u00e9quipe rouge.<\/p>\n<p>&#8220;Le groupe utilise des techniques d&#8217;ing\u00e9nierie sociale pour diffuser ses logiciels malveillants et d\u00e9ployer des outils de piratage personnalis\u00e9s pour contourner la protection des produits de s\u00e9curit\u00e9 et voler les donn\u00e9es sensibles des machines compromises.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/new-earth-longzhi-apt-targets-ukraine.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des entit\u00e9s situ\u00e9es en Asie de l&#8217;Est et du Sud-Est ainsi qu&#8217;en Ukraine sont cibl\u00e9es au moins depuis 2020 par un sous-groupe auparavant non document\u00e9 d&#8217;APT41, une menace persistante avanc\u00e9e (APT) chinoise prolifique. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trend Micro, qui baptis\u00e9 l&#8217;\u00e9quipe d&#8217;espionnage Terre Longzhia d\u00e9clar\u00e9 que la longue campagne de l&#8217;acteur peut \u00eatre divis\u00e9e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":462835,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,12395,84,124404,7087,5056,4168,4158,4165,4161,133,4157,4159,4171,4170,65,4167,124403,770,4160,680,4163,4162,1480,24731,124402,4172,4169,8544,4166,4164],"class_list":["post-462834","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-asiatiques","tag-avec","tag-chargeuses","tag-cible","tag-cobalt","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-longzhiquot","tag-lukraine","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pays","tag-personnalisees","tag-quotterre","tag-securite-informatique","tag-securite-internet","tag-strike","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/462834","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=462834"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/462834\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/462835"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=462834"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=462834"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=462834"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}