{"id":501119,"date":"2022-12-08T09:08:04","date_gmt":"2022-12-08T11:08:04","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-iraniens-frappent-lindustrie-du-diamant-avec-des-logiciels-malveillants-deffacement-de-donnees-dans-une-attaque-de-la-chaine-dapprovisionnement\/"},"modified":"2022-12-08T09:08:06","modified_gmt":"2022-12-08T11:08:06","slug":"des-pirates-informatiques-iraniens-frappent-lindustrie-du-diamant-avec-des-logiciels-malveillants-deffacement-de-donnees-dans-une-attaque-de-la-chaine-dapprovisionnement","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-iraniens-frappent-lindustrie-du-diamant-avec-des-logiciels-malveillants-deffacement-de-donnees-dans-une-attaque-de-la-chaine-dapprovisionnement\/","title":{"rendered":"Des pirates informatiques iraniens frappent l&#8217;industrie du diamant avec des logiciels malveillants d&#8217;effacement de donn\u00e9es dans une attaque de la cha\u00eene d&#8217;approvisionnement"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un acteur iranien de la menace persistante avanc\u00e9e (APT) connu sous le nom de <strong>Agrius<\/strong> a \u00e9t\u00e9 attribu\u00e9 \u00e0 l&#8217;origine d&#8217;une s\u00e9rie d&#8217;attaques d&#8217;effacement de donn\u00e9es visant les industries du diamant en Afrique du Sud, en Isra\u00ebl et \u00e0 Hong Kong.<\/p>\n<p>L&#8217;essuie-glace, appel\u00e9 Fantasy par ESET, aurait \u00e9t\u00e9 livr\u00e9 via une attaque de la cha\u00eene d&#8217;approvisionnement ciblant un d\u00e9veloppeur de suite logicielle isra\u00e9lien dans le cadre d&#8217;une campagne qui a d\u00e9but\u00e9 en f\u00e9vrier 2022.<\/p>\n<p>Parmi les victimes figurent des soci\u00e9t\u00e9s de ressources humaines, des soci\u00e9t\u00e9s de conseil en informatique et un grossiste en diamants en Isra\u00ebl\u00a0;  une entit\u00e9 sud-africaine travaillant dans l&#8217;industrie du diamant ;  et un bijoutier bas\u00e9 \u00e0 Hong Kong.<\/p>\n<p>&#8220;L&#8217;essuie-glace Fantasy est construit sur les fondations de l&#8217;essuie-glace Apostle pr\u00e9c\u00e9demment signal\u00e9, mais ne tente pas de se faire passer pour un ran\u00e7ongiciel, comme l&#8217;a fait Apostle \u00e0 l&#8217;origine, Adam Burgher, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/12\/07\/fantasy-new-agrius-wiper-supply-chain-attack\/\" target=\"_blank\">divulgu\u00e9<\/a> dans une analyse mercredi.  &#8220;Au lieu de cela, il va directement au travail en effa\u00e7ant les donn\u00e9es.&#8221;<\/p>\n<p>Apostle a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par SentinelOne en mai 2021 comme un essuie-glace devenu ransomware qui a \u00e9t\u00e9 d\u00e9ploy\u00e9 dans des attaques destructrices contre des cibles isra\u00e9liennes.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Agrius, le groupe align\u00e9 sur l&#8217;Iran \u00e0 l&#8217;origine des intrusions, est actif depuis au moins d\u00e9cembre 2020 et exploite les failles de s\u00e9curit\u00e9 connues dans les applications accessibles sur Internet pour supprimer les coques Web qui sont, \u00e0 leur tour, utilis\u00e9es pour faciliter la reconnaissance, les mouvements lat\u00e9raux et la livraison. des charges utiles de l&#8217;\u00e9tage final.<\/p>\n<p>La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que la premi\u00e8re attaque avait \u00e9t\u00e9 d\u00e9tect\u00e9e le 20 f\u00e9vrier 2022, lorsque l&#8217;acteur a d\u00e9ploy\u00e9 des outils de collecte d&#8217;informations d&#8217;identification dans le r\u00e9seau informatique de l&#8217;organisation sud-africaine.<\/p>\n<p>Agrius a ensuite lanc\u00e9 l&#8217;attaque par essuyage via Fantasy le 12 mars 2022, avant de frapper d&#8217;autres entreprises en Isra\u00ebl et \u00e0 Hong Kong \u00e0 la m\u00eame date.<\/p>\n<p>Fantasy est ex\u00e9cut\u00e9 au moyen d&#8217;un autre outil appel\u00e9 Sandals, un ex\u00e9cutable Windows 32 bits \u00e9crit en C#\/.NET.  On dit qu&#8217;il est d\u00e9ploy\u00e9 sur l&#8217;h\u00f4te compromis via une attaque de la cha\u00eene d&#8217;approvisionnement utilisant le m\u00e9canisme de mise \u00e0 jour logicielle du d\u00e9veloppeur isra\u00e9lien.<\/p>\n<p>Ceci est \u00e9tay\u00e9 par l&#8217;\u00e9valuation d&#8217;ESET selon laquelle toutes les victimes sont des clients du d\u00e9veloppeur de logiciels concern\u00e9 et que le binaire d&#8217;effacement suit une convention de d\u00e9nomination (&#8220;fantasy45.exe&#8221; et &#8220;fantasy35.exe&#8221;) similaire \u00e0 celle de son <a rel=\"nofollow noopener\" href=\"https:\/\/www.fantasy.mn\/products.asp\" target=\"_blank\">contrepartie l\u00e9gitime<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"menace persistante avanc\u00e9e\" border=\"0\" data-original-height=\"429\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670497684_554_Des-pirates-informatiques-iraniens-frappent-lindustrie-du-diamant-avec-des.png\" title=\"menace persistante avanc\u00e9e\"\/><\/div>\n<p>L&#8217;essuie-glace, pour sa part, fonctionne en r\u00e9cup\u00e9rant de mani\u00e8re r\u00e9cursive la liste des r\u00e9pertoires pour chaque lecteur, en \u00e9crasant chaque fichier de ces r\u00e9pertoires avec des donn\u00e9es parasites, en attribuant un horodatage futur aux fichiers, puis en les supprimant.<\/p>\n<p>&#8220;Cela est probablement fait pour rendre la r\u00e9cup\u00e9ration et l&#8217;analyse m\u00e9dico-l\u00e9gale plus difficiles&#8221;, a expliqu\u00e9 Burgher.<\/p>\n<p>Dans une nouvelle tentative d&#8217;effacer toutes les traces de l&#8217;activit\u00e9, Fantasy efface tous les journaux d&#8217;\u00e9v\u00e9nements Windows, purge de mani\u00e8re r\u00e9cursive tous les fichiers du lecteur syst\u00e8me, \u00e9crase le Master Boot Record du syst\u00e8me, s&#8217;auto-supprime et enfin red\u00e9marre la machine.<\/p>\n<p>La campagne, qui n&#8217;a pas dur\u00e9 plus de trois heures, a finalement \u00e9chou\u00e9, ESET d\u00e9clarant qu&#8217;il \u00e9tait en mesure de bloquer l&#8217;ex\u00e9cution de l&#8217;essuie-glace.  Le d\u00e9veloppeur du logiciel a depuis publi\u00e9 des mises \u00e0 jour propres pour bloquer les attaques.<\/p>\n<p>Le nom de la soci\u00e9t\u00e9 isra\u00e9lienne qui a \u00e9t\u00e9 victime de l&#8217;attaque de la cha\u00eene d&#8217;approvisionnement n&#8217;a pas \u00e9t\u00e9 divulgu\u00e9 par ESET, mais des preuves indiquent qu&#8217;il s&#8217;agit de Rubinstein Software, qui commercialise un progiciel de gestion int\u00e9gr\u00e9 (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Enterprise_resource_planning\" target=\"_blank\">ERP<\/a>) solution appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.fantasy.mn\/products.asp\" target=\"_blank\">Fantaisie<\/a> qui est utilis\u00e9 pour la gestion des stocks de bijoux.<\/p>\n<p>&#8220;Depuis sa d\u00e9couverte en 2021, Agrius s&#8217;est uniquement concentr\u00e9 sur des op\u00e9rations destructrices&#8221;, a conclu Burgher.<\/p>\n<p>\u00ab \u00c0 cette fin, les op\u00e9rateurs d&#8217;Agrios ont probablement ex\u00e9cut\u00e9 une attaque de la cha\u00eene d&#8217;approvisionnement en ciblant les m\u00e9canismes de mise \u00e0 jour de logiciels d&#8217;une soci\u00e9t\u00e9 de logiciels isra\u00e9lienne pour d\u00e9ployer Fantasy, son tout dernier essuie-glace, aupr\u00e8s de victimes en Isra\u00ebl, \u00e0 Hong Kong et en Afrique du Sud.<\/p>\n<p>Agrius est loin d&#8217;\u00eatre le premier groupe de menaces li\u00e9 \u00e0 l&#8217;Iran \u00e0 avoir \u00e9t\u00e9 rep\u00e9r\u00e9 en train de d\u00e9ployer des logiciels malveillants destructeurs.<\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/apt33-insights-into-iranian-cyber-espionage\" target=\"_blank\">APT33<\/a> groupe de piratage (alias Elfin, <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2020\/06\/18\/inside-microsoft-threat-protection-mapping-attack-chains-from-cloud-to-endpoint\/\" target=\"_blank\">Holmium<\/a>ou Refined Kitten), qui est soup\u00e7onn\u00e9 d&#8217;agir \u00e0 la demande du gouvernement iranien, aurait \u00e9t\u00e9 \u00e0 l&#8217;origine de plusieurs attaques qui ont utilis\u00e9 le <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/shamoon-destructive-threat-re-emerges-new-sting-its-tail\" target=\"_blank\">Essuie-glace Shamoon<\/a> contre des cibles situ\u00e9es au Moyen-Orient.<\/p>\n<p>Le logiciel malveillant d&#8217;effacement de donn\u00e9es portant le nom de code ZeroCleare a \u00e9galement \u00e9t\u00e9 utilis\u00e9 par des acteurs de la menace soutenus par l&#8217;Iran suivis sous le nom d&#8217;APT34 (alias Oilrig ou Helix Kitten) dans des attaques dirig\u00e9es contre des organisations du secteur de l&#8217;\u00e9nergie et de l&#8217;industrie au Moyen-Orient.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/iranian-hackers-strike-diamond-industry.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur iranien de la menace persistante avanc\u00e9e (APT) connu sous le nom de Agrius a \u00e9t\u00e9 attribu\u00e9 \u00e0 l&#8217;origine d&#8217;une s\u00e9rie d&#8217;attaques d&#8217;effacement de donn\u00e9es visant les industries du diamant en Afrique du Sud, en Isra\u00ebl et \u00e0 Hong Kong. L&#8217;essuie-glace, appel\u00e9 Fantasy par ESET, aurait \u00e9t\u00e9 livr\u00e9 via une attaque de la cha\u00eene [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":501120,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1933,84,2953,4168,4158,4165,4161,429,3242,27721,133,31003,1343,1442,8154,10783,4157,4159,4171,4170,3626,4167,4589,4590,4160,4163,4162,4394,4172,4169,196,4166,4164],"class_list":["post-501119","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaque","tag-avec","tag-chaine","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dapprovisionnement","tag-deffacement","tag-des","tag-diamant","tag-donnees","tag-frappent","tag-informatiques","tag-iraniens","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lindustrie","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/501119","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=501119"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/501119\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/501120"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=501119"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=501119"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=501119"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}