{"id":489035,"date":"2022-11-30T19:27:39","date_gmt":"2022-11-30T21:27:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-nord-coreens-utilisent-de-nouveaux-dauphin-porte-derobee-pour-espionner-des-cibles-sud-coreennes\/"},"modified":"2022-11-30T19:27:41","modified_gmt":"2022-11-30T21:27:41","slug":"les-pirates-nord-coreens-utilisent-de-nouveaux-dauphin-porte-derobee-pour-espionner-des-cibles-sud-coreennes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-nord-coreens-utilisent-de-nouveaux-dauphin-porte-derobee-pour-espionner-des-cibles-sud-coreennes\/","title":{"rendered":"Les pirates nord-cor\u00e9ens utilisent de nouveaux &quot;Dauphin&quot; Porte d\u00e9rob\u00e9e pour espionner des cibles sud-cor\u00e9ennes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La Cor\u00e9e du Nord li\u00e9e <strong>ScarCruft<\/strong> groupe a \u00e9t\u00e9 attribu\u00e9 \u00e0 une porte d\u00e9rob\u00e9e pr\u00e9c\u00e9demment non document\u00e9e appel\u00e9e <b>Dauphin<\/b> que l&#8217;acteur mena\u00e7ant a utilis\u00e9 contre des cibles situ\u00e9es dans son homologue du sud.<\/p>\n<p>&#8220;La porte de derri\u00e8re [&#8230;] dispose d&#8217;un large \u00e9ventail de capacit\u00e9s d&#8217;espionnage, y compris la surveillance des lecteurs et des appareils portables et l&#8217;exfiltration de fichiers d&#8217;int\u00e9r\u00eat, l&#8217;enregistrement de frappe et la prise de captures d&#8217;\u00e9cran, et le vol d&#8217;informations d&#8217;identification des navigateurs \u00bb, a d\u00e9clar\u00e9 Filip Jur\u010dacko, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/11\/30\/whos-swimming-south-korean-waters-meet-scarcrufts-dolphin\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport publi\u00e9 aujourd&#8217;hui.<\/p>\n<p>Dolphin serait d\u00e9ploy\u00e9 de mani\u00e8re s\u00e9lective, le logiciel malveillant utilisant des services cloud tels que Google Drive pour l&#8217;exfiltration de donn\u00e9es ainsi que la commande et le contr\u00f4le.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir trouv\u00e9 l&#8217;implant d\u00e9ploy\u00e9 en tant que charge utile de derni\u00e8re \u00e9tape dans le cadre d&#8217;une attaque de point d&#8217;eau au d\u00e9but de 2021 dirig\u00e9e contre un journal num\u00e9rique sud-cor\u00e9en.<\/p>\n<p>La campagne, d\u00e9couverte pour la premi\u00e8re fois par <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/apt-trends-report-q2-2021\/103517\/\" target=\"_blank\">Kaspersky<\/a> et Volexity l&#8217;ann\u00e9e derni\u00e8re, a entra\u00een\u00e9 la militarisation de deux failles d&#8217;Internet Explorer (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-1380\" target=\"_blank\">CVE-2020-1380<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-26411\" target=\"_blank\">CVE-2021-26411<\/a>) pour d\u00e9poser une porte d\u00e9rob\u00e9e nomm\u00e9e BLUELIGHT.<\/p>\n<p>ScarCruft, \u00e9galement appel\u00e9 APT37, InkySquid, Reaper et Ricochet Chollima, est un groupe APT \u00e0 motivation g\u00e9opolitique qui a l&#8217;habitude d&#8217;attaquer des entit\u00e9s gouvernementales, des diplomates et des organes de presse associ\u00e9s aux affaires nord-cor\u00e9ennes.  Il est connu pour \u00eatre actif depuis au moins 2012.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Pirates de la Cor\u00e9e du Nord\" border=\"0\" data-original-height=\"671\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1669843659_697_Les-pirates-nord-coreens-utilisent-de-nouveaux-quotDauphinquot-Porte-derobee-pour.png\" title=\"Pirates de la Cor\u00e9e du Nord\"\/><\/div>\n<p>Plus t\u00f4t en avril, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Stairwell a divulgu\u00e9 les d\u00e9tails d&#8217;une attaque de harponnage ciblant des journalistes couvrant le pays dans le but ultime de d\u00e9ployer un malware baptis\u00e9 GOLDBACKDOOR qui partage des chevauchements avec une autre porte d\u00e9rob\u00e9e ScarCruft nomm\u00e9e BLUELIGHT.<\/p>\n<p>Les derni\u00e8res d\u00e9couvertes d&#8217;ESET ont mis en lumi\u00e8re une deuxi\u00e8me porte d\u00e9rob\u00e9e plus sophistiqu\u00e9e livr\u00e9e \u00e0 un petit groupe de victimes via BLUELIGHT, indiquant une op\u00e9ration d&#8217;espionnage tr\u00e8s cibl\u00e9e.<\/p>\n<p>Ceci, \u00e0 son tour, est r\u00e9alis\u00e9 en ex\u00e9cutant un shellcode d&#8217;installation qui active un chargeur comprenant un composant Python et un shellcode, ce dernier ex\u00e9cutant un autre chargeur de shellcode pour supprimer la porte d\u00e9rob\u00e9e.<\/p>\n<p>&#8220;Alors que la porte d\u00e9rob\u00e9e BLUELIGHT effectue une reconnaissance et une \u00e9valuation de base de la machine compromise apr\u00e8s exploitation, Dolphin est plus sophistiqu\u00e9 et d\u00e9ploy\u00e9 manuellement uniquement contre des victimes s\u00e9lectionn\u00e9es&#8221;, a expliqu\u00e9 Jur\u010dacko.<\/p>\n<p>Ce qui rend Dolphin beaucoup plus puissant que BLUELIGHT, c&#8217;est sa capacit\u00e9 \u00e0 rechercher des p\u00e9riph\u00e9riques amovibles et \u00e0 exfiltrer des fichiers d&#8217;int\u00e9r\u00eat, tels que des supports, des documents, des e-mails et des certificats.<\/p>\n<p>La porte d\u00e9rob\u00e9e, depuis sa d\u00e9couverte initiale en avril 2021, aurait subi trois it\u00e9rations successives qui s&#8217;accompagnent de son propre ensemble d&#8217;am\u00e9liorations de fonctionnalit\u00e9s et lui conf\u00e8rent davantage de capacit\u00e9s d&#8217;\u00e9vasion de d\u00e9tection.<\/p>\n<p>&#8220;Dolphin est un autre ajout au vaste arsenal de portes d\u00e9rob\u00e9es de ScarCruft abusant des services de stockage en nuage&#8221;, a d\u00e9clar\u00e9 Jur\u010dacko.  &#8220;Une capacit\u00e9 inhabituelle trouv\u00e9e dans les versions pr\u00e9c\u00e9dentes de la porte d\u00e9rob\u00e9e est la possibilit\u00e9 de modifier les param\u00e8tres des comptes Google et Gmail des victimes pour r\u00e9duire leur s\u00e9curit\u00e9, probablement afin de maintenir l&#8217;acc\u00e8s au compte pour les acteurs de la menace.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/north-korea-hackers-using-new-dolphin.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La Cor\u00e9e du Nord li\u00e9e ScarCruft groupe a \u00e9t\u00e9 attribu\u00e9 \u00e0 une porte d\u00e9rob\u00e9e pr\u00e9c\u00e9demment non document\u00e9e appel\u00e9e Dauphin que l&#8217;acteur mena\u00e7ant a utilis\u00e9 contre des cibles situ\u00e9es dans son homologue du sud. &#8220;La porte de derri\u00e8re [&#8230;] dispose d&#8217;un large \u00e9ventail de capacit\u00e9s d&#8217;espionnage, y compris la surveillance des lecteurs et des appareils portables [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":489036,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[9589,4168,4158,4165,4161,7084,133,36098,4157,4159,4171,4170,65,4167,4160,24722,4588,4163,4162,4394,2742,185,128643,4172,4169,36288,10784,4166,4164],"class_list":["post-489035","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cibles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-des","tag-espionner","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nordcoreens","tag-nouveaux","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-porte","tag-pour","tag-quotdauphinquot","tag-securite-informatique","tag-securite-internet","tag-sudcoreennes","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/489035","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=489035"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/489035\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/489036"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=489035"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=489035"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=489035"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}