{"id":531602,"date":"2022-12-28T08:07:39","date_gmt":"2022-12-28T10:07:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-apt-se-tournent-vers-des-complements-excel-malveillants-comme-vecteur-dintrusion-initial\/"},"modified":"2022-12-28T08:07:40","modified_gmt":"2022-12-28T10:07:40","slug":"les-pirates-apt-se-tournent-vers-des-complements-excel-malveillants-comme-vecteur-dintrusion-initial","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-apt-se-tournent-vers-des-complements-excel-malveillants-comme-vecteur-dintrusion-initial\/","title":{"rendered":"Les pirates APT se tournent vers des compl\u00e9ments Excel malveillants comme vecteur d&#8217;intrusion initial"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Logiciels malveillants \/ S\u00e9curit\u00e9 Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La d\u00e9cision de Microsoft de bloquer par d\u00e9faut les macros Visual Basic pour Applications (VBA) pour les fichiers Office t\u00e9l\u00e9charg\u00e9s depuis Internet a conduit de nombreux acteurs de la menace \u00e0 improviser leurs cha\u00eenes d&#8217;attaque ces derniers mois.<\/p>\n<p>Maintenant selon <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/xlling-in-excel-malicious-add-ins\/\" target=\"_blank\">Cisco Talos<\/a>les acteurs des menaces persistantes avanc\u00e9es (APT) et les familles de logiciels malveillants courants utilisent de plus en plus les fichiers de compl\u00e9ment Excel (.XLL) comme vecteur d&#8217;intrusion initial.<\/p>\n<p>Les documents Office militaris\u00e9s livr\u00e9s via des e-mails de harponnage et d&#8217;autres attaques d&#8217;ing\u00e9nierie sociale sont rest\u00e9s l&#8217;un des points d&#8217;entr\u00e9e largement utilis\u00e9s par les groupes criminels cherchant \u00e0 ex\u00e9cuter du code malveillant.<\/p>\n<p>Ces documents invitent traditionnellement les victimes \u00e0 activer les macros pour afficher un contenu apparemment inoffensif, uniquement pour activer l&#8217;ex\u00e9cution de logiciels malveillants furtivement en arri\u00e8re-plan.<\/p>\n<p>Pour contrer cette utilisation abusive, le fabricant de Windows a promulgu\u00e9 un changement crucial \u00e0 partir de juillet 2022 qui <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-gb\/DeployOffice\/security\/internet-macros-blocked\" target=\"_blank\">bloque les macros<\/a> dans les fichiers Office joints aux e-mails, coupant efficacement un vecteur d&#8217;attaque crucial.<\/p>\n<p>Bien que ce blocage ne s&#8217;applique qu&#8217;aux nouvelles versions d&#8217;Access, Excel, PowerPoint, Visio et Word, les acteurs malveillants ont exp\u00e9riment\u00e9 des voies d&#8217;infection alternatives pour d\u00e9ployer des logiciels malveillants.<\/p>\n<p>Une telle m\u00e9thode s&#8217;av\u00e8re \u00eatre <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/office\/dev\/add-ins\/excel\/make-custom-functions-compatible-with-xll-udf\" target=\"_blank\">Fichiers XLL<\/a>qui est d\u00e9crit par Microsoft comme un &#8220;type de fichier de biblioth\u00e8que de liens dynamiques (DLL) qui ne peut \u00eatre ouvert que par Excel&#8221;.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A\/s728-e365-rj\/welcome-728.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Les fichiers XLL peuvent \u00eatre envoy\u00e9s par e-mail, et m\u00eame avec les mesures habituelles d&#8217;analyse anti-malware, les utilisateurs peuvent \u00eatre en mesure de les ouvrir sans savoir qu&#8217;ils peuvent contenir du code malveillant&#8221;, a d\u00e9clar\u00e9 Vanja Svajcer, chercheuse chez Cisco Talos, dans une analyse publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que les acteurs de la menace utilisent un m\u00e9lange de compl\u00e9ments natifs \u00e9crits en C++ ainsi que ceux d\u00e9velopp\u00e9s \u00e0 l&#8217;aide d&#8217;un outil gratuit appel\u00e9 Excel-DNA, un ph\u00e9nom\u00e8ne qui a connu un pic significatif depuis la mi-2021 et s&#8217;est poursuivi jusqu&#8217;\u00e0 cette ann\u00e9e.<\/p>\n<p>Cela dit, la premi\u00e8re utilisation malveillante publiquement document\u00e9e de XLL aurait eu lieu en 2017 lorsque l&#8217;acteur APT10 (alias Stone Panda) li\u00e9 \u00e0 la Chine a utilis\u00e9 la technique pour injecter sa charge utile de porte d\u00e9rob\u00e9e dans la m\u00e9moire via <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\">processus d&#8217;\u00e9videment<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1672222059_890_Les-pirates-APT-se-tournent-vers-des-complements-Excel-malveillants.png\" alt=\"Vecteur d'intrusion initial\" border=\"0\" data-original-height=\"295\" data-original-width=\"728\" title=\"Vecteur d'intrusion initial\"\/><\/div>\n<p>D&#8217;autres collectifs d&#8217;adversaires connus incluent TA410 (un acteur avec des liens vers APT10), DoNot Team, FIN7, ainsi que des familles de logiciels malveillants de base telles que Agent Tesla, Arkei, Buer, Dridex, Ducktail, <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/malicious-macros-adapt-to-use-microsoft-publisher-to-push-ekipa-rat\/\" target=\"_blank\">Ekipa RAT<\/a>FormBook, IcedID, Vidar Stealer et Warzone RAT.<\/p>\n<p>L&#8217;abus du format de fichier XLL pour distribuer <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/excel-add-ins-malicious-xll-files-agent-tesla\/\" target=\"_blank\">AgentTesla<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/excel-add-ins-dridex-infection-chain\/\" target=\"_blank\">Dridex<\/a> a \u00e9t\u00e9 pr\u00e9c\u00e9demment mis en \u00e9vidence par l&#8217;unit\u00e9 42 de Palo Alto Networks, notant qu&#8217;il &#8220;peut indiquer une nouvelle tendance dans le paysage des menaces&#8221;.<\/p>\n<p>&#8220;Alors que de plus en plus d&#8217;utilisateurs adoptent de nouvelles versions de Microsoft Office, il est probable que les acteurs de la menace se d\u00e9tourneront des documents malveillants bas\u00e9s sur VBA vers d&#8217;autres formats tels que les XLL ou s&#8217;appuieront sur l&#8217;exploitation de vuln\u00e9rabilit\u00e9s r\u00e9cemment d\u00e9couvertes pour lancer du code malveillant dans l&#8217;espace de processus de Applications bureautiques \u00bb, a d\u00e9clar\u00e9 Svajcer.<\/p>\n<h2 style=\"text-align: left;\">Des macros malveillantes de Microsoft Publisher poussent Ekipa RAT<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/cloudsek.com\/threatintelligence\/ekipa-remote-access-trojan-designed-by-russian-hacktivists-for-targeted-attacks\/\" target=\"_blank\">Ekipa RAT<\/a>en plus d&#8217;incorporer des compl\u00e9ments XLL Excel, a \u00e9galement re\u00e7u une mise \u00e0 jour en novembre 2022 qui lui permet de tirer parti des macros Microsoft Publisher pour supprimer le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance et voler des informations sensibles.<\/p>\n<p>&#8220;Tout comme avec d&#8217;autres produits Microsoft Office, comme Excel ou Word, les fichiers Publisher peuvent contenir des macros qui s&#8217;ex\u00e9cuteront \u00e0 l&#8217;ouverture ou \u00e0 la fermeture [of] le fichier, ce qui en fait des vecteurs d&#8217;attaque initiaux int\u00e9ressants du point de vue de l&#8217;auteur de la menace \u00bb, Trustwave <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/malicious-macros-adapt-to-use-microsoft-publisher-to-push-ekipa-rat\/\" target=\"_blank\">c&#8217;est not\u00e9<\/a>.<\/p>\n<p>Il convient de noter que les restrictions de Microsoft visant \u00e0 emp\u00eacher l&#8217;ex\u00e9cution des macros dans les fichiers t\u00e9l\u00e9charg\u00e9s sur Internet ne s&#8217;\u00e9tendent pas aux fichiers Publisher, ce qui en fait une voie potentielle d&#8217;attaques.<\/p>\n<p>&#8220;L&#8217;Ekipa RAT est un excellent exemple de la fa\u00e7on dont les acteurs de la menace changent continuellement leurs techniques pour garder une longueur d&#8217;avance sur les d\u00e9fenseurs&#8221;, a d\u00e9clar\u00e9 Wojciech Cieslak, chercheur chez Trustwave.  &#8220;Les cr\u00e9ateurs de ce malware suivent les changements dans l&#8217;industrie de la s\u00e9curit\u00e9, comme le blocage des macros d&#8217;Internet par Microsoft, et modifient leurs tactiques en cons\u00e9quence.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/apt-hackers-turn-to-malicious-excel-add.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 d\u00e9cembre 2022\ue804Ravie LakshmananLogiciels malveillants \/ S\u00e9curit\u00e9 Windows La d\u00e9cision de Microsoft de bloquer par d\u00e9faut les macros Visual Basic pour Applications (VBA) pour les fichiers Office t\u00e9l\u00e9charg\u00e9s depuis Internet a conduit de nombreux acteurs de la menace \u00e0 improviser leurs cha\u00eenes d&#8217;attaque ces derniers mois. Maintenant selon Cisco Talosles acteurs des menaces persistantes avanc\u00e9es [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":531603,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,1756,4168,67435,4158,4165,4161,133,52953,18871,30349,4157,4159,4171,4170,65,4167,4590,4160,4163,4162,4394,4172,4169,19231,99007,1218,4166,4164],"class_list":["post-531602","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-comme","tag-comment-pirater","tag-complements","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-dintrusion","tag-excel","tag-initial","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-tournent","tag-vecteur","tag-vers","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/531602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=531602"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/531602\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/531603"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=531602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=531602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=531602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}