{"id":512427,"date":"2022-12-15T12:40:29","date_gmt":"2022-12-15T14:40:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-des-cyberattaques-mirrorface-ciblant-des-entites-politiques-japonaises\/"},"modified":"2022-12-15T12:40:30","modified_gmt":"2022-12-15T14:40:30","slug":"des-chercheurs-decouvrent-des-cyberattaques-mirrorface-ciblant-des-entites-politiques-japonaises","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-des-cyberattaques-mirrorface-ciblant-des-entites-politiques-japonaises\/","title":{"rendered":"Des chercheurs d\u00e9couvrent des cyberattaques MirrorFace ciblant des entit\u00e9s politiques japonaises"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Menace persistante avanc\u00e9e <\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un acteur de menace persistante avanc\u00e9e (APT) parlant chinois dont le nom de code est <strong>MiroirFace<\/strong> a \u00e9t\u00e9 attribu\u00e9e \u00e0 une campagne de harponnage ciblant les \u00e9tablissements politiques japonais.<\/p>\n<p>L&#8217;activit\u00e9, baptis\u00e9e <strong>Op\u00e9ration Lib\u00e9ralFace<\/strong> par ESET, sp\u00e9cifiquement ax\u00e9 sur les membres d&#8217;un parti politique sans nom dans le pays dans le but de fournir un implant appel\u00e9 LODEINFO et un voleur d&#8217;informations d&#8217;identification jusqu&#8217;ici invisible nomm\u00e9 MirrorStealer.<\/p>\n<p>La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que la campagne avait \u00e9t\u00e9 lanc\u00e9e un peu plus d&#8217;une semaine avant le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/2022_Japanese_House_of_Councillors_election\" target=\"_blank\">\u00c9lection \u00e0 la Chambre des conseillers du Japon<\/a> survenu le 10 juillet 2022.<\/p>\n<p>&#8220;LODEINFO a \u00e9t\u00e9 utilis\u00e9 pour fournir des logiciels malveillants suppl\u00e9mentaires, exfiltrer les informations d&#8217;identification de la victime et voler les documents et les e-mails de la victime&#8221;, a d\u00e9clar\u00e9 Dominik Breitenbacher, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/12\/14\/unmasking-mirrorface-operation-liberalface-targeting-japanese-political-entities\/\" target=\"_blank\">a dit<\/a> dans un rapport technique publi\u00e9 mercredi.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670949871_285_De-graves-attaques-auraient-pu-etre-mises-en-scene-via.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>On dit que MirrorFace partage des chevauchements avec un autre acteur de la menace suivi comme APT10 (alias Bronze Riverside, Cicada, Earth Tengshe, Stone Panda et Potassium) et a une histoire d&#8217;entreprises et d&#8217;organisations en gr\u00e8ve bas\u00e9es au Japon.<\/p>\n<p>En effet, une paire de rapports de Kaspersky en novembre 2022 a li\u00e9 les infections LODEINFO ciblant les m\u00e9dias, les organisations diplomatiques, gouvernementales et du secteur public et les groupes de r\u00e9flexion au Japon \u00e0 Stone Panda.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671115229_614_Des-chercheurs-decouvrent-des-cyberattaques-MirrorFace-ciblant-des-entites-politiques.png\" alt=\"Cyberattaques MirrorFace\" border=\"0\" data-original-height=\"324\" data-original-width=\"728\" title=\"Cyberattaques MirrorFace\"\/><\/div>\n<p>ESET, cependant, a d\u00e9clar\u00e9 qu&#8217;il n&#8217;avait pas trouv\u00e9 de preuves pour lier les attaques \u00e0 un groupe APT pr\u00e9c\u00e9demment connu, au lieu de le suivre comme une entit\u00e9 autonome.  Il a \u00e9galement d\u00e9crit LODEINFO comme une &#8220;porte d\u00e9rob\u00e9e phare&#8221; exclusivement utilis\u00e9e par MirrorFace.<\/p>\n<p>Les e-mails de harponnage, envoy\u00e9s le 29 juin 2022, \u00e9taient cens\u00e9s provenir du service des relations publiques du parti politique, exhortant les destinataires \u00e0 partager les vid\u00e9os jointes sur leurs propres profils de r\u00e9seaux sociaux pour \u00ab assurer la victoire \u00bb aux \u00e9lections.<\/p>\n<p>Cependant, les vid\u00e9os \u00e9taient des archives WinRAR auto-extractibles con\u00e7ues pour d\u00e9ployer LODEINFO sur la machine compromise, permettant de prendre des captures d&#8217;\u00e9cran, d&#8217;enregistrer les frappes au clavier, de tuer les processus, d&#8217;exfiltrer les fichiers et d&#8217;ex\u00e9cuter des fichiers et des commandes suppl\u00e9mentaires.<\/p>\n<p>Le capteur d&#8217;informations d&#8217;identification MirrorStealer, capable de voler les mots de passe des navigateurs et des clients de messagerie comme Becky!, qui est principalement utilis\u00e9 au Japon, a \u00e9galement \u00e9t\u00e9 livr\u00e9.<\/p>\n<p>&#8220;Une fois que MirrorStealer a collect\u00e9 les informations d&#8217;identification et les a stock\u00e9es dans %temp%31558.txt, l&#8217;op\u00e9rateur a utilis\u00e9 LODEINFO pour exfiltrer les informations d&#8217;identification&#8221;, a expliqu\u00e9 Breitenbacher, car il &#8220;n&#8217;a pas la capacit\u00e9 d&#8217;exfiltrer les donn\u00e9es vol\u00e9es&#8221;.<\/p>\n<p>Les attaques ont en outre utilis\u00e9 un logiciel malveillant LODEINFO de deuxi\u00e8me \u00e9tape qui permet d&#8217;ex\u00e9cuter des fichiers binaires ex\u00e9cutables portables et du shellcode.<\/p>\n<p>&#8220;MirrorFace continue de viser des cibles de grande valeur au Japon&#8221;, a d\u00e9clar\u00e9 ESET.  &#8220;Dans l&#8217;op\u00e9ration LiberalFace, il a sp\u00e9cifiquement cibl\u00e9 des entit\u00e9s politiques en utilisant \u00e0 son avantage l&#8217;\u00e9lection \u00e0 venir de la Chambre des conseillers.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/researchers-uncover-mirrorface-cyber.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 d\u00e9cembre 2022\ue804Ravie LakshmananMenace persistante avanc\u00e9e Un acteur de menace persistante avanc\u00e9e (APT) parlant chinois dont le nom de code est MiroirFace a \u00e9t\u00e9 attribu\u00e9e \u00e0 une campagne de harponnage ciblant les \u00e9tablissements politiques japonais. L&#8217;activit\u00e9, baptis\u00e9e Op\u00e9ration Lib\u00e9ralFace par ESET, sp\u00e9cifiquement ax\u00e9 sur les membres d&#8217;un parti politique sans nom dans le pays dans [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":512428,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4175,4168,4158,4165,4161,6124,3073,133,32776,27903,4157,4159,4171,4170,4167,132290,4160,4163,4162,6362,4172,4169,4166,4164],"class_list":["post-512427","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberattaques","tag-decouvrent","tag-des","tag-entites","tag-japonaises","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mirrorface","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-politiques","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/512427","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=512427"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/512427\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/512428"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=512427"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=512427"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=512427"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}