![\"Soci\u00e9t\u00e9s](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/Les-hackers-APT-chinois-ciblent-les-societes-de-paris-en.jpg\" "\\"Soci\u00e9t\u00e9s")
<\/div>\n
Une menace persistante avanc\u00e9e (APT) de langue chinoise a \u00e9t\u00e9 li\u00e9e \u00e0 une nouvelle campagne ciblant les entreprises li\u00e9es au jeu en Asie du Sud-Est, en particulier \u00e0 Ta\u00efwan, aux Philippines et \u00e0 Hong Kong.<\/p>\n
La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Avast a surnomm\u00e9 la campagne Op\u00e9ration Dragon Casting<\/a>, d\u00e9crivant son arsenal de logiciels malveillants comme un “ensemble d’outils robustes et modulaires”. Les motivations ultimes de l’acteur de la menace ne sont pas encore imm\u00e9diatement perceptibles et il n’a pas non plus \u00e9t\u00e9 li\u00e9 \u00e0 un groupe de piratage connu.<\/p>\n Bien que plusieurs voies d’acc\u00e8s initiales aient \u00e9t\u00e9 utilis\u00e9es au cours de la campagne, l’un des vecteurs d’attaque consistait \u00e0 exploiter une faille d’ex\u00e9cution de code \u00e0 distance jusque-l\u00e0 inconnue dans la suite WPS Office (CVE-2022-24934<\/a>) pour d\u00e9tourner ses cibles. Le probl\u00e8me a depuis \u00e9t\u00e9 r\u00e9solu par Kingsoft Office, les d\u00e9veloppeurs du logiciel de bureau.<\/p>\n Dans le cas observ\u00e9 par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 tch\u00e8que, la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 utilis\u00e9e pour supprimer un binaire malveillant d’un faux serveur de mise \u00e0 jour avec le domaine update.wps[.]cn qui d\u00e9clenche une cha\u00eene d’infection en plusieurs \u00e9tapes qui conduit au d\u00e9ploiement de charges utiles interm\u00e9diaires et permet une \u00e9l\u00e9vation des privil\u00e8ges avant de finalement supprimer le module Proto8.<\/p>\n “Le module principal est une DLL unique qui est responsable de la configuration du r\u00e9pertoire de travail du logiciel malveillant, du chargement des fichiers de configuration, de la mise \u00e0 jour de son code, du chargement des plugins, du balisage vers [command-and-control] serveurs et en attente de commandes \u00bb, ont d\u00e9clar\u00e9 les chercheurs d’Avast Luigino Camastra, Igor Morgenstern et Jan Holman.<\/p>\n Le syst\u00e8me bas\u00e9 sur des plug-ins de Proto8 utilis\u00e9 pour \u00e9tendre ses fonctionnalit\u00e9s permet au logiciel malveillant d’atteindre la persistance, de contourner le contr\u00f4le des comptes d’utilisateurs (UAC<\/a>), cr\u00e9er de nouveaux comptes de porte d\u00e9rob\u00e9e et m\u00eame ex\u00e9cuter des commandes arbitraires sur le syst\u00e8me infect\u00e9.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/TrickBot-Gang-est-susceptible-de-modifier-ses-operations-pour-passer.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648146316_797_Les-hackers-APT-chinois-ciblent-les-societes-de-paris-en.jpg\")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n