{"id":530524,"date":"2022-12-27T14:02:35","date_gmt":"2022-12-27T16:02:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-hackers-bluenoroff-apt-utilisent-de-nouvelles-facons-de-contourner-la-protection-motw-de-windows\/"},"modified":"2022-12-27T14:02:36","modified_gmt":"2022-12-27T16:02:36","slug":"les-hackers-bluenoroff-apt-utilisent-de-nouvelles-facons-de-contourner-la-protection-motw-de-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-hackers-bluenoroff-apt-utilisent-de-nouvelles-facons-de-contourner-la-protection-motw-de-windows\/","title":{"rendered":"Les hackers BlueNoroff APT utilisent de nouvelles fa\u00e7ons de contourner la protection MotW de Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ S\u00e9curit\u00e9 Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p><strong>BleuNoroff<\/strong>un sous-cluster du notoire Lazarus Group, a \u00e9t\u00e9 observ\u00e9 en train d&#8217;adopter de nouvelles techniques dans son playbook qui lui permettent de contourner Windows <b>Marque du Web<\/b> (MotW).<\/p>\n<p>Cela inclut l&#8217;utilisation des formats de fichier d&#8217;image de disque optique (extension .ISO) et de disque dur virtuel (extension .VHD) dans le cadre d&#8217;une nouvelle cha\u00eene d&#8217;infection, a r\u00e9v\u00e9l\u00e9 Kaspersky dans un rapport publi\u00e9 aujourd&#8217;hui.<\/p>\n<p>&#8220;BlueNoroff a cr\u00e9\u00e9 de nombreux faux domaines se faisant passer pour des soci\u00e9t\u00e9s de capital-risque et des banques&#8221;, a d\u00e9clar\u00e9 Seongsu Park, chercheur en s\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/bluenoroff-methods-bypass-motw\/108383\/\" target=\"_blank\">m&#8217;a dit<\/a>ajoutant que la nouvelle proc\u00e9dure d&#8217;attaque a \u00e9t\u00e9 signal\u00e9e dans sa t\u00e9l\u00e9m\u00e9trie en septembre 2022.<\/p>\n<p>Il a \u00e9t\u00e9 constat\u00e9 que certains des faux domaines imitaient ABF Capital, Angel Bridge, ANOBAKA, Bank of America et Mitsubishi UFJ Financial Group, dont la plupart sont situ\u00e9s au Japon, signalant un \u00ab vif int\u00e9r\u00eat \u00bb pour la r\u00e9gion.<\/p>\n<p>Aussi appel\u00e9 par les noms APT38, Nickel Gladstone et Stardust Chollima, BlueNoroff fait partie du plus grand groupe de menaces Lazarus qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/threat-profiles?filter=item-north-korea\" target=\"_blank\">comprend<\/a> Andariel (alias Nickel Hyatt ou Silent Chollima) et Labyrinth Chollima (alias Nickel Academy).<\/p>\n<p>L&#8217;acteur de la menace <a rel=\"nofollow noopener\" href=\"https:\/\/edition.cnn.com\/2022\/07\/10\/politics\/north-korean-hackers-crypto-currency-firms-infiltrate\/index.html\" target=\"_blank\">motivations financi\u00e8res<\/a> par opposition \u00e0 l&#8217;espionnage, en a fait un acteur \u00e9tatique inhabituel dans le paysage des menaces, permettant une &#8220;diffusion g\u00e9ographique plus large&#8221; et lui permettant d&#8217;infiltrer des organisations \u00e0 travers l&#8217;Am\u00e9rique du Nord et du Sud, l&#8217;Europe, l&#8217;Afrique et l&#8217;Asie.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A\/s728-e365-rj\/welcome-728.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il a depuis \u00e9t\u00e9 associ\u00e9 \u00e0 des cyberattaques tr\u00e8s m\u00e9diatis\u00e9es visant le r\u00e9seau bancaire SWIFT entre 2015 et 2016, y compris l&#8217;audacieux braquage de la banque du Bangladesh en f\u00e9vrier 2016 qui a conduit au <a rel=\"nofollow noopener\" href=\"https:\/\/www.bbc.com\/news\/stories-57520169\" target=\"_blank\">vol de 81 millions de dollars<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1672156954_514_Les-hackers-BlueNoroff-APT-utilisent-de-nouvelles-facons-de-contourner.png\" alt=\"Groupe Lazare\" border=\"0\" data-original-height=\"430\" data-original-width=\"728\" title=\"Groupe Lazare\"\/><\/div>\n<p>Depuis au moins 2018, BlueNoroff semble avoir subi un changement tactique, s&#8217;\u00e9loignant de la gr\u00e8ve des banques pour se concentrer uniquement sur les entit\u00e9s de crypto-monnaie pour g\u00e9n\u00e9rer des revenus illicites.<\/p>\n<p>\u00c0 cette fin, Kaspersky a divulgu\u00e9 plus t\u00f4t cette ann\u00e9e les d\u00e9tails d&#8217;une campagne baptis\u00e9e SnatchCrypto orchestr\u00e9e par le collectif contradictoire pour drainer les fonds num\u00e9riques des portefeuilles de crypto-monnaie des victimes.<\/p>\n<p>Une autre <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/cryptocurrency-businesses-still-being-targeted-by-lazarus\/90019\/\" target=\"_blank\">activit\u00e9 cl\u00e9<\/a> attribu\u00e9 au groupe est AppleJeus, dans lequel de fausses soci\u00e9t\u00e9s de crypto-monnaie sont cr\u00e9\u00e9es pour inciter des victimes involontaires \u00e0 installer des applications d&#8217;apparence b\u00e9nigne qui finissent par recevoir des mises \u00e0 jour d\u00e9rob\u00e9es.<\/p>\n<p>La derni\u00e8re activit\u00e9 identifi\u00e9e par la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 introduit de l\u00e9g\u00e8res modifications pour transmettre sa charge utile finale, en \u00e9changeant les pi\u00e8ces jointes de documents Microsoft Word contre des fichiers ISO dans des e-mails de harponnage pour d\u00e9clencher l&#8217;infection.<\/p>\n<p>Ces fichiers d&#8217;images optiques, \u00e0 leur tour, contiennent un diaporama Microsoft PowerPoint (.PPSX) et un script Visual Basic (VBScript) qui est ex\u00e9cut\u00e9 lorsque la cible clique sur un lien dans le fichier PowerPoint.<\/p>\n<p>Dans une autre m\u00e9thode, un fichier de commandes Windows contenant des logiciels malveillants est lanc\u00e9 en exploitant un binaire vivant hors du pays (LOLBin) pour r\u00e9cup\u00e9rer un t\u00e9l\u00e9chargeur de deuxi\u00e8me \u00e9tape utilis\u00e9 pour r\u00e9cup\u00e9rer et ex\u00e9cuter une charge utile \u00e0 distance.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1672156955_825_Les-hackers-BlueNoroff-APT-utilisent-de-nouvelles-facons-de-contourner.png\" alt=\"Groupe Lazare\" border=\"0\" data-original-height=\"464\" data-original-width=\"728\" title=\"Groupe Lazare\"\/><\/div>\n<p>Kaspersky a \u00e9galement d\u00e9couvert un \u00e9chantillon .VHD fourni avec un fichier PDF de description de travail leurre qui est arm\u00e9 pour g\u00e9n\u00e9rer un t\u00e9l\u00e9chargeur interm\u00e9diaire qui se fait passer pour un logiciel antivirus pour r\u00e9cup\u00e9rer la charge utile de l&#8217;\u00e9tape suivante, mais pas avant <a rel=\"nofollow noopener\" href=\"https:\/\/www.ired.team\/offensive-security\/defense-evasion\/how-to-unhook-a-dll-using-c++\" target=\"_blank\">d\u00e9sactivation<\/a> solutions EDR authentiques en supprimant les hooks en mode utilisateur.<\/p>\n<p>Bien que la porte d\u00e9rob\u00e9e exacte livr\u00e9e ne soit pas claire, elle est consid\u00e9r\u00e9e comme similaire \u00e0 une porte d\u00e9rob\u00e9e persistante utilis\u00e9e dans les attaques SnatchCrypto. <\/p>\n<p>L&#8217;utilisation de noms de fichiers japonais pour l&#8217;un des documents de leurre ainsi que la cr\u00e9ation de domaines frauduleux d\u00e9guis\u00e9s en soci\u00e9t\u00e9s de capital-risque japonaises l\u00e9gitimes sugg\u00e8rent que les soci\u00e9t\u00e9s financi\u00e8res du pays insulaire sont probablement la cible de BlueNoroff.<\/p>\n<p>La cyberguerre a \u00e9t\u00e9 un objectif majeur de la Cor\u00e9e du Nord en r\u00e9ponse \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Sanctions_against_North_Korea\" target=\"_blank\">sanctions \u00e9conomiques<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.cfr.org\/backgrounder\/north-korea-sanctions-un-nuclear-weapons\" target=\"_blank\">impos\u00e9<\/a> par un certain nombre de pays et les Nations Unies au sujet des inqui\u00e9tudes suscit\u00e9es par ses programmes nucl\u00e9aires.  Il est \u00e9galement devenu une source majeure de revenus pour le pays \u00e0 court d&#8217;argent.<\/p>\n<p>En effet, selon le National Intelligence Service (NIS) de Cor\u00e9e du Sud, on estime que les pirates informatiques nord-cor\u00e9ens parrain\u00e9s par l&#8217;\u00c9tat ont <a rel=\"nofollow noopener\" href=\"https:\/\/apnews.com\/article\/technology-crime-business-hacking-south-korea-967763dc88e422232da54115bb13f4dc\" target=\"_blank\">vol\u00e9 1,2 milliard de dollars<\/a> en crypto-monnaie et autres actifs num\u00e9riques provenant de cibles du monde entier au cours des cinq derni\u00e8res ann\u00e9es.<\/p>\n<p>&#8220;Ce groupe a une forte motivation financi\u00e8re et r\u00e9ussit en fait \u00e0 tirer profit de ses cyberattaques&#8221;, a d\u00e9clar\u00e9 Park.  &#8220;Cela sugg\u00e8re \u00e9galement qu&#8217;il est peu probable que les attaques de ce groupe diminuent dans un avenir proche.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/bluenoroff-apt-hackers-using-new-ways.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 d\u00e9cembre 2022\ue804Ravie LakshmananCyberattaque \/ S\u00e9curit\u00e9 Windows BleuNoroffun sous-cluster du notoire Lazarus Group, a \u00e9t\u00e9 observ\u00e9 en train d&#8217;adopter de nouvelles techniques dans son playbook qui lui permettent de contourner Windows Marque du Web (MotW). Cela inclut l&#8217;utilisation des formats de fichier d&#8217;image de disque optique (extension .ISO) et de disque dur virtuel (extension .VHD) [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":530525,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,135103,4168,11696,4158,4165,4161,6771,6578,4157,4159,4171,4170,65,4167,4160,120936,120,4163,4162,6845,4172,4169,10784,4166,4164,45020],"class_list":["post-530524","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-bluenoroff","tag-comment-pirater","tag-contourner","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-facons","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-motw","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-protection","tag-securite-informatique","tag-securite-internet","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/530524","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=530524"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/530524\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/530525"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=530524"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=530524"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=530524"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}