{"id":498286,"date":"2022-12-06T16:15:23","date_gmt":"2022-12-06T18:15:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-ciblent-les-telecoms-du-moyen-orient-dans-les-dernieres-cyberattaques\/"},"modified":"2022-12-06T16:15:24","modified_gmt":"2022-12-06T18:15:24","slug":"les-pirates-chinois-ciblent-les-telecoms-du-moyen-orient-dans-les-dernieres-cyberattaques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-ciblent-les-telecoms-du-moyen-orient-dans-les-dernieres-cyberattaques\/","title":{"rendered":"Les pirates chinois ciblent les t\u00e9l\u00e9coms du Moyen-Orient dans les derni\u00e8res cyberattaques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Menace persistante avanc\u00e9e<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une campagne malveillante ciblant le Moyen-Orient est probablement li\u00e9e \u00e0 <strong>Porte d\u00e9rob\u00e9eDiplomatie<\/strong>un groupe APT (Advanced Persistent Threat) li\u00e9 \u00e0 la Chine.<\/p>\n<p>L&#8217;activit\u00e9 d&#8217;espionnage, dirig\u00e9e contre une entreprise de t\u00e9l\u00e9communications de la r\u00e9gion, aurait commenc\u00e9 le 19 ao\u00fbt 2021 gr\u00e2ce \u00e0 l&#8217;exploitation r\u00e9ussie des failles ProxyShell dans Microsoft Exchange Server.<\/p>\n<p>Le compromis initial a exploit\u00e9 les binaires vuln\u00e9rables aux techniques de chargement lat\u00e9ral, suivi de l&#8217;utilisation d&#8217;un m\u00e9lange d&#8217;outils l\u00e9gitimes et sur mesure pour effectuer une reconnaissance, r\u00e9colter des donn\u00e9es, se d\u00e9placer lat\u00e9ralement dans l&#8217;environnement et \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p>&#8220;Les attributs des fichiers des outils malveillants ont montr\u00e9 que les premiers outils d\u00e9ploy\u00e9s par les acteurs de la menace \u00e9taient l&#8217;outil proxy NPS et la porte d\u00e9rob\u00e9e IRAFAU&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Bitdefender Victor Vrabie et Adrian Schipor dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/backdoor-diplomacy-wields-new-tools-in-fresh-middle-east-campaign\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;\u00c0 partir de f\u00e9vrier 2022, les acteurs de la menace ont utilis\u00e9 un autre outil &#8211; [the] La porte d\u00e9rob\u00e9e Quarian, ainsi que de nombreux autres scanners et outils de proxy\/tunneling.&#8221; <\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>BackdoorDiplomacy a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par ESET en juin 2021, les intrusions visant principalement les entit\u00e9s diplomatiques et les entreprises de t\u00e9l\u00e9communications en Afrique et au Moyen-Orient pour d\u00e9ployer Quarian (alias Turian ou Whitebird).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Derni\u00e8res cyberattaques\" border=\"0\" data-original-height=\"251\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/Les-pirates-chinois-ciblent-les-telecoms-du-Moyen-Orient-dans-les.png\" title=\"Derni\u00e8res cyberattaques\"\/><\/div>\n<p>Les motifs d&#8217;espionnage de l&#8217;attaque sont mis en \u00e9vidence par l&#8217;utilisation d&#8217;enregistreurs de frappe et de scripts PowerShell con\u00e7us pour collecter le contenu des e-mails.  IRAFAU, qui est le premier composant malveillant livr\u00e9 apr\u00e8s avoir pris pied, est utilis\u00e9 pour effectuer la d\u00e9couverte d&#8217;informations et le mouvement lat\u00e9ral.<\/p>\n<p>Ceci est facilit\u00e9 par le t\u00e9l\u00e9chargement et le chargement de fichiers depuis et vers un serveur de commande et de contr\u00f4le (C2), le lancement d&#8217;un shell distant et l&#8217;ex\u00e9cution de fichiers arbitraires.<\/p>\n<p>La deuxi\u00e8me porte d\u00e9rob\u00e9e utilis\u00e9e dans l&#8217;op\u00e9ration est une version mise \u00e0 jour de Quarian, qui comprend un ensemble plus large de fonctionnalit\u00e9s pour contr\u00f4ler l&#8217;h\u00f4te compromis.<\/p>\n<p>Un outil appel\u00e9 Impersoni-fake-ator est \u00e9galement utilis\u00e9, int\u00e9gr\u00e9 \u00e0 des utilitaires l\u00e9gitimes tels que <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/debugview\" target=\"_blank\">DebugView<\/a> et Putty et est con\u00e7u pour capturer les m\u00e9tadonn\u00e9es du syst\u00e8me et ex\u00e9cuter une charge utile d\u00e9chiffr\u00e9e re\u00e7ue du serveur C2.<\/p>\n<p>L&#8217;intrusion se caract\u00e9rise en outre par l&#8217;utilisation de logiciels open source tels que <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/lu4p\/ToRat\" target=\"_blank\">\u00c0Rat<\/a>un outil d&#8217;administration \u00e0 distance Golang, et <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.asyncrat\" target=\"_blank\">AsyncRAT<\/a>ce dernier \u00e9tant probablement supprim\u00e9 via Quarian.<\/p>\n<p>L&#8217;attribution de l&#8217;attaque par Bitdefender \u00e0 BackdoorDiplomacy provient de chevauchements dans l&#8217;infrastructure C2 identifi\u00e9e comme utilis\u00e9e par le groupe lors de campagnes pr\u00e9c\u00e9dentes.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/chinese-hackers-target-middle-east.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 d\u00e9cembre 2022\ue804Ravie LakshmananMenace persistante avanc\u00e9e Une campagne malveillante ciblant le Moyen-Orient est probablement li\u00e9e \u00e0 Porte d\u00e9rob\u00e9eDiplomatieun groupe APT (Advanced Persistent Threat) li\u00e9 \u00e0 la Chine. L&#8217;activit\u00e9 d&#8217;espionnage, dirig\u00e9e contre une entreprise de t\u00e9l\u00e9communications de la r\u00e9gion, aurait commenc\u00e9 le 19 ao\u00fbt 2021 gr\u00e2ce \u00e0 l&#8217;exploitation r\u00e9ussie des failles ProxyShell dans Microsoft Exchange Server. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":498287,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5663,5863,4168,4158,4165,4161,6124,429,119,4157,4159,4171,4170,65,4167,4160,38053,4163,4162,4394,4172,4169,39624,4166,4164],"class_list":["post-498286","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chinois","tag-ciblent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberattaques","tag-dans","tag-dernieres","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-moyenorient","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-telecoms","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/498286","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=498286"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/498286\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/498287"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=498286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=498286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=498286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}