{"id":529210,"date":"2022-12-26T14:59:28","date_gmt":"2022-12-26T16:59:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-cinq-principales-menaces-immediates-en-2022-dans-le-contexte-geopolitique\/"},"modified":"2022-12-26T14:59:29","modified_gmt":"2022-12-26T16:59:29","slug":"les-cinq-principales-menaces-immediates-en-2022-dans-le-contexte-geopolitique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-cinq-principales-menaces-immediates-en-2022-dans-le-contexte-geopolitique\/","title":{"rendered":"Les cinq principales menaces imm\u00e9diates en 2022 dans le contexte g\u00e9opolitique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Alors que nous approchons de la fin de 2022, l&#8217;examen des menaces les plus pr\u00e9occupantes de cette ann\u00e9e mouvement\u00e9e en termes de nombre de tests offre une perspective bas\u00e9e sur les menaces sur ce qui pousse les \u00e9quipes de cybers\u00e9curit\u00e9 \u00e0 v\u00e9rifier leur vuln\u00e9rabilit\u00e9 \u00e0 des menaces sp\u00e9cifiques.  Ce sont les menaces qui ont \u00e9t\u00e9 les plus test\u00e9es pour valider la r\u00e9silience avec le <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/platform\/\" target=\"_blank\">Plateforme de gestion de la posture de s\u00e9curit\u00e9 Cymulate<\/a> entre le 1er janvier et le 1er d\u00e9cembre 2022.<\/p>\n<h2>Manjusaka<\/h2>\n<h4 style=\"text-align: left;\"><span style=\"font-weight: normal;\">Date de publication : ao\u00fbt 2022<\/span><\/h4>\n<p>Rappelant les frameworks Cobalt Strike et Sliver (tous deux produits commercialement et con\u00e7us pour les \u00e9quipes rouges mais d\u00e9tourn\u00e9s et mal utilis\u00e9s par les acteurs de la menace), ce framework d&#8217;attaque \u00e9mergent a le potentiel d&#8217;\u00eatre largement utilis\u00e9 par les acteurs malveillants.  \u00c9crit en Rust et Golang avec une interface utilisateur en chinois simple (voir le sch\u00e9ma de workflow ci-dessous), ce logiciel est d&#8217;origine chinoise.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1672073968_307_Les-cinq-principales-menaces-immediates-en-2022-dans-le-contexte.png\" alt=\"Cybermenaces\" border=\"0\" data-original-height=\"545\" data-original-width=\"728\" title=\"Cybermenaces\"\/><\/div>\n<p>Manjasuka propose des implants Windows et Linux dans Rust et met gratuitement \u00e0 disposition un serveur C2 pr\u00eat \u00e0 l&#8217;emploi, avec la possibilit\u00e9 de cr\u00e9er des implants personnalis\u00e9s.<\/p>\n<h4 style=\"text-align: left;\">Contexte g\u00e9opolitique<\/h4>\n<p>Manjasuka a \u00e9t\u00e9 con\u00e7u pour une utilisation criminelle d\u00e8s le d\u00e9part, et 2023 pourrait \u00eatre d\u00e9fini par une utilisation criminelle accrue de celui-ci car il est distribu\u00e9 librement et r\u00e9duirait la d\u00e9pendance criminelle \u00e0 l&#8217;utilisation abusive des cadres de simulation et d&#8217;\u00e9mulation disponibles dans le commerce tels que Cobalt Strike, Sliver, Ninja, Bruce Ratel C4, etc.<\/p>\n<p>Au moment d&#8217;\u00e9crire ces lignes, rien n&#8217;indiquait que les cr\u00e9ateurs de Manjasuka \u00e9taient parrain\u00e9s par l&#8217;\u00c9tat mais, comme indiqu\u00e9 clairement ci-dessous, la Chine ne s&#8217;est pas repos\u00e9e cette ann\u00e9e.<\/p>\n<h2>Porte d\u00e9rob\u00e9e sans puissance<\/h2>\n<h4 style=\"text-align: left;\"><span style=\"font-weight: normal;\">Date de publication : f\u00e9vrier 2022<\/span><\/h4>\n<p>Powerless Backdoor est la plus populaire des menaces li\u00e9es \u00e0 l&#8217;Iran cette ann\u00e9e, con\u00e7ue pour \u00e9viter la d\u00e9tection de PowerShell.  Ses capacit\u00e9s incluent le t\u00e9l\u00e9chargement d&#8217;un voleur d&#8217;informations sur le navigateur et d&#8217;un enregistreur de frappe, le cryptage et le d\u00e9cryptage des donn\u00e9es, l&#8217;ex\u00e9cution de commandes arbitraires et l&#8217;activation d&#8217;un processus de mise \u00e0 mort.<\/p>\n<h4 style=\"text-align: left;\">Contexte g\u00e9opolitique<\/h4>\n<p>Le nombre de menaces imm\u00e9diates attribu\u00e9es \u00e0 l&#8217;Iran est pass\u00e9 de 8 \u00e0 17, soit plus du double de la p\u00e9riode similaire de 2021.  Cependant, il a consid\u00e9rablement ralenti depuis la d\u00e9cision du 14 septembre de l&#8217;Office of Foreign Assets Control (OFAC) du D\u00e9partement du Tr\u00e9sor des \u00c9tats-Unis. <a rel=\"nofollow noopener\" href=\"https:\/\/home.treasury.gov\/news\/press-releases\/jy0948\" target=\"_blank\">sanctions contre les cyber-acteurs iraniens<\/a>se r\u00e9percutant sur une seule attaque imput\u00e9e \u00e0 l&#8217;Iran depuis lors.<\/p>\n<p>Les tensions politiques actuelles au sein de l&#8217;Iran auront sans aucun doute un impact sur la fr\u00e9quence des attaques en 2023, mais \u00e0 ce stade, il est difficile d&#8217;\u00e9valuer si celles-ci vont augmenter ou diminuer.<\/p>\n<h2>APT 41 ciblant les gouvernements des \u00c9tats am\u00e9ricains<\/h2>\n<h4 style=\"text-align: left;\"><span style=\"font-weight: normal;\">Date de publication : mars 2022<\/span><\/h4>\n<p>D\u00e9j\u00e0 signal\u00e9 comme tr\u00e8s actif en 2021, APT41 est une activit\u00e9 de groupe d&#8217;attaquants parrain\u00e9e par l&#8217;\u00c9tat chinois qui n&#8217;a montr\u00e9 aucun signe de ralentissement en 2022, et les enqu\u00eates sur l&#8217;activit\u00e9 d&#8217;APT41 ont r\u00e9v\u00e9l\u00e9 des preuves d&#8217;une campagne d\u00e9lib\u00e9r\u00e9e ciblant les gouvernements des \u00c9tats am\u00e9ricains.<\/p>\n<p>APT 41 utilise des outils de reconnaissance, tels que Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute et Sublist3r.  Il lance \u00e9galement un large \u00e9ventail de types d&#8217;attaques, telles que le phishing, les trous d&#8217;eau et les attaques de la cha\u00eene d&#8217;approvisionnement, et exploite diverses vuln\u00e9rabilit\u00e9s pour initialement compromettre leurs victimes.  Plus r\u00e9cemment, ils ont \u00e9t\u00e9 vus en train d&#8217;utiliser l&#8217;outil accessible au public SQLmap comme vecteur d&#8217;attaque initial pour effectuer des injections SQL sur des sites Web.<\/p>\n<p>En novembre, un nouveau sous-groupe, Earth Longhi, a rejoint la liste d\u00e9j\u00e0 longue des surnoms associ\u00e9s \u00e0 APT 41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon).  Earth Longhi a \u00e9t\u00e9 rep\u00e9r\u00e9 ciblant plusieurs secteurs \u00e0 Ta\u00efwan, en Chine, en Tha\u00eflande, en Malaisie, en Indon\u00e9sie, au Pakistan et en Ukraine.<\/p>\n<h4 style=\"text-align: left;\">Contexte g\u00e9opolitique<\/h4>\n<p>Selon <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2022\/11\/04\/microsoft-digital-defense-report-2022-ukraine\/\" target=\"_blank\">Rapport Microsoft sur la d\u00e9fense num\u00e9rique 2022<\/a>&#8220;Beaucoup d&#8217;attaques en provenance de Chine sont aliment\u00e9es par sa capacit\u00e9 \u00e0 trouver et \u00e0 compiler des &#8220;vuln\u00e9rabilit\u00e9s du jour z\u00e9ro&#8221; &#8211; des failles logicielles uniques non corrig\u00e9es jusque-l\u00e0 inconnues de la communaut\u00e9 de la s\u00e9curit\u00e9. La collection chinoise de ces vuln\u00e9rabilit\u00e9s semble avoir augment\u00e9 sur les talons d&#8217;une nouvelle loi obligeant les entit\u00e9s en Chine \u00e0 signaler les vuln\u00e9rabilit\u00e9s qu&#8217;elles d\u00e9couvrent au gouvernement avant de les partager avec d&#8217;autres&#8221;.<\/p>\n<h2>Attaque de phishing LoLzarus sur l&#8217;industrie du DoD<\/h2>\n<h4 style=\"text-align: left;\"><span style=\"font-weight: normal;\">Date de publication : f\u00e9vrier 2022<\/span><\/h4>\n<p>Surnomm\u00e9e LolZarus, une campagne de phishing a tent\u00e9 d&#8217;attirer les candidats \u00e0 un emploi dans le secteur de la d\u00e9fense aux \u00c9tats-Unis.  Cette campagne a \u00e9t\u00e9 initialement identifi\u00e9e par Qualys Threat Research, qui l&#8217;a attribu\u00e9e \u00e0 l&#8217;acteur mena\u00e7ant nord-cor\u00e9en Lazarus (AKA Dark Seoul, Labyrinth Chollima, Stardust Chollima, BlueNoroff et APT 38).  Affili\u00e9 au Bureau g\u00e9n\u00e9ral de reconnaissance de la Cor\u00e9e du Nord, ce groupe est \u00e0 la fois politiquement et financi\u00e8rement motiv\u00e9 et \u00e9tait surtout connu pour l&#8217;attaque tr\u00e8s m\u00e9diatis\u00e9e contre Sondy en 2016 et l&#8217;attaque du ran\u00e7ongiciel WannaCry en 2017.<\/p>\n<p>La campagne de phishing de LolZarus s&#8217;appuyait sur au moins deux <em>documents, Lockheed_Martin_JobOpportunities.docx<\/em> et <em>salaire_Lockheed_Martin_job_opportunities_confidential.doc, <\/em>qui a abus\u00e9 des macros avec des alias pour renommer l&#8217;API utilis\u00e9e et s&#8217;est appuy\u00e9 sur ActiveX Frame1_Layout pour automatiser l&#8217;ex\u00e9cution de l&#8217;attaque.  La macro a ensuite charg\u00e9 le fichier dll Windows Media WMVCORE.DLL pour aider \u00e0 fournir la charge utile du shellcode de deuxi\u00e8me \u00e9tape visant \u00e0 d\u00e9tourner le contr\u00f4le et \u00e0 se connecter au serveur Command &#038; Control.<\/p>\n<h4 style=\"text-align: left;\">Contexte g\u00e9opolitique<\/h4>\n<p>Deux autres attaques notoires nord-cor\u00e9ennes signal\u00e9es par la CISA cette ann\u00e9e incluent l&#8217;utilisation du ran\u00e7ongiciel Maui et des activit\u00e9s de vol de crypto-monnaie.  Le sous-groupe Lazarus BlueNoroff semble s&#8217;\u00eatre \u00e9loign\u00e9 de la sp\u00e9cialisation en crypto-monnaie cette ann\u00e9e pour cibler \u00e9galement les serveurs et les banques SWIFT connect\u00e9s \u00e0 la crypto-monnaie.  Cymulate a associ\u00e9 sept menaces imm\u00e9diates \u00e0 Lazarus depuis le 1er janvier 2022.<\/p>\n<h2>Industrie2<\/h2>\n<h4 style=\"text-align: left;\"><span style=\"font-weight: normal;\">Date de publication : avril 2022<\/span><\/h4>\n<p>L&#8217;\u00e9tat d&#8217;alerte \u00e9lev\u00e9 de l&#8217;Ukraine, en raison du conflit avec la Russie, a d\u00e9montr\u00e9 son efficacit\u00e9 en d\u00e9jouant une tentative d&#8217;attaque cyber-physique visant des sous-stations \u00e9lectriques \u00e0 haute tension.  Cette attaque a \u00e9t\u00e9 surnomm\u00e9e Industroyer2 en m\u00e9moire de la cyber-attaque Industroyer de 2016, ciblant apparemment les centrales \u00e9lectriques ukrainiennes et ayant eu un succ\u00e8s minime, coupant le courant dans une partie de Kyiv pendant environ une heure. <\/p>\n<p>Le niveau de ciblage personnalis\u00e9 d&#8217;Industroyer2 comprenait des ensembles de fichiers ex\u00e9cutables sp\u00e9cifi\u00e9s statiquement de param\u00e8tres uniques pour des sous-stations sp\u00e9cifiques.<\/p>\n<h4 style=\"text-align: left;\">Contexte g\u00e9opolitique<\/h4>\n<p>La cyber-r\u00e9silience de l&#8217;Ukraine dans la protection de ses installations critiques est malheureusement impuissante face aux attaques cin\u00e9tiques, et la Russie semble avoir d\u00e9sormais opt\u00e9 pour des moyens militaires plus traditionnels pour d\u00e9truire les centrales \u00e9lectriques et autres installations civiles.  Selon <a rel=\"nofollow noopener\" href=\"https:\/\/www.reuters.com\/world\/europe\/ukraine-war-geopolitics-fuelling-cybersecurity-attacks-eu-agency-2022-11-03\/\" target=\"_blank\">ENISA<\/a>un effet secondaire du conflit Ukraine-Russie est une recrudescence des cybermenaces contre les gouvernements, les entreprises et les secteurs essentiels tels que l&#8217;\u00e9nergie, les transports, la banque et les infrastructures num\u00e9riques en g\u00e9n\u00e9ral.<\/p>\n<p>En conclusion, parmi les cinq menaces les plus pr\u00e9occupantes cette ann\u00e9e, quatre ont \u00e9t\u00e9 directement li\u00e9es \u00e0 des acteurs de la menace parrain\u00e9s par l&#8217;\u00c9tat et les acteurs de la menace \u00e0 l&#8217;origine de la cinqui\u00e8me sont inconnus, il semble que les tensions g\u00e9opolitiques soient \u00e0 l&#8217;origine des pr\u00e9occupations les plus br\u00fblantes en mati\u00e8re de menace. pour les \u00e9quipes de cybers\u00e9curit\u00e9. <\/p>\n<p>\u00c9tant donn\u00e9 que les attaquants parrain\u00e9s par l&#8217;\u00c9tat ont g\u00e9n\u00e9ralement acc\u00e8s \u00e0 des cyber-ressources inaccessibles pour la plupart des entreprises, la d\u00e9fense pr\u00e9ventive contre les attaques complexes doit se concentrer sur la validation de la s\u00e9curit\u00e9 et les processus continus ax\u00e9s sur l&#8217;identification et la fermeture des failles de s\u00e9curit\u00e9 en contexte.<\/p>\n<p><i>Remarque : Cet article a \u00e9t\u00e9 \u00e9crit et contribu\u00e9 par David Klein, Cyber \u200b\u200bEvangelist chez Cymulate.<\/i><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/2022-top-five-immediate-threats-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Alors que nous approchons de la fin de 2022, l&#8217;examen des menaces les plus pr\u00e9occupantes de cette ann\u00e9e mouvement\u00e9e en termes de nombre de tests offre une perspective bas\u00e9e sur les menaces sur ce qui pousse les \u00e9quipes de cybers\u00e9curit\u00e9 \u00e0 v\u00e9rifier leur vuln\u00e9rabilit\u00e9 \u00e0 des menaces sp\u00e9cifiques. Ce sont les menaces qui ont \u00e9t\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":529211,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5243,4168,662,4158,4165,4161,429,10633,47597,4157,4159,4171,4170,65,4167,4742,4160,4163,4162,27045,4172,4169,4166,4164],"class_list":["post-529210","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cinq","tag-comment-pirater","tag-contexte","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-geopolitique","tag-immediates","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-menaces","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-principales","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/529210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=529210"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/529210\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/529211"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=529210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=529210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=529210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}