{"id":553043,"date":"2023-01-11T08:07:25","date_gmt":"2023-01-11T10:07:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-apt-rose-fonce-cible-les-gouvernements-et-les-militaires-de-la-region-apac\/"},"modified":"2023-01-11T08:07:26","modified_gmt":"2023-01-11T10:07:26","slug":"le-groupe-apt-rose-fonce-cible-les-gouvernements-et-les-militaires-de-la-region-apac","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-apt-rose-fonce-cible-les-gouvernements-et-les-militaires-de-la-region-apac\/","title":{"rendered":"Le groupe APT rose fonc\u00e9 cible les gouvernements et les militaires de la r\u00e9gion APAC"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Menace persistante avanc\u00e9e<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Selon les derni\u00e8res recherches, les organisations gouvernementales et militaires de la r\u00e9gion Asie-Pacifique sont cibl\u00e9es par un acteur de la menace persistante avanc\u00e9e (APT) jusqu&#8217;alors inconnu.<\/p>\n<p>Group-IB, dont le si\u00e8ge est \u00e0 Singapour, dans un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.group-ib.com\/dark-pink-apt\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News, a d\u00e9clar\u00e9 qu&#8217;il suivait la campagne en cours sous le nom <strong>Rose fonc\u00e9<\/strong> et a attribu\u00e9 sept attaques r\u00e9ussies au collectif contradictoire entre juin et d\u00e9cembre 2022.<\/p>\n<p>La majeure partie des attaques ont cibl\u00e9 des organismes militaires, des minist\u00e8res et des agences gouvernementales, ainsi que des organisations religieuses et \u00e0 but non lucratif au Cambodge, en Indon\u00e9sie, en Malaisie, aux Philippines, au Vietnam et en Bosnie-Herz\u00e9govine, avec une intrusion infructueuse signal\u00e9e contre un \u00c9tat europ\u00e9en anonyme. organisme bas\u00e9 au Vietnam.<\/p>\n<p>On estime que l&#8217;acteur mena\u00e7ant a commenc\u00e9 ses op\u00e9rations au milieu de 2021, bien que les attaques se soient intensifi\u00e9es seulement un an plus tard \u00e0 l&#8217;aide d&#8217;une bo\u00eete \u00e0 outils personnalis\u00e9e in\u00e9dite con\u00e7ue pour piller des informations pr\u00e9cieuses sur des r\u00e9seaux compromis.<\/p>\n<p>&#8220;Les principaux objectifs de Dark Pink APT sont de mener de l&#8217;espionnage d&#8217;entreprise, de voler des documents, de capturer le son des microphones des appareils infect\u00e9s et d&#8217;exfiltrer les donn\u00e9es des messagers&#8221;, a d\u00e9clar\u00e9 Andrey Polovinkin, chercheur au Group-IB, d\u00e9crivant l&#8217;activit\u00e9 comme une &#8220;campagne APT tr\u00e8s complexe&#8221;. lanc\u00e9 par des acteurs chevronn\u00e9s de la menace.&#8221;<\/p>\n<p>En plus de son arsenal sophistiqu\u00e9 de logiciels malveillants, le groupe a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser des e-mails de harponnage pour lancer ses attaques ainsi que l&#8217;API Telegram pour les communications de commande et de contr\u00f4le (C2).<\/p>\n<p>Il convient \u00e9galement de noter l&#8217;utilisation d&#8217;un seul compte GitHub pour h\u00e9berger des modules malveillants et qui est actif depuis mai 2021, ce qui sugg\u00e8re que Dark Pink a pu fonctionner sans \u00eatre d\u00e9tect\u00e9 pendant plus d&#8217;un an et demi.<\/p>\n<p>La campagne Dark Pink se distingue en outre par l&#8217;utilisation de plusieurs cha\u00eenes d&#8217;infection, dans lesquelles les messages de phishing contiennent un lien vers un fichier image ISO pi\u00e9g\u00e9 pour activer le processus de d\u00e9ploiement de logiciels malveillants.  Dans un cas, l&#8217;adversaire s&#8217;est fait passer pour un candidat postulant \u00e0 un stage en relations publiques.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673431645_941_Le-groupe-APT-rose-fonce-cible-les-gouvernements-et-les.png\" alt=\"\" border=\"0\" data-original-height=\"518\" data-original-width=\"728\"\/><\/div>\n<p>On soup\u00e7onne \u00e9galement que l&#8217;\u00e9quipe de piratage navigue sur les sites d&#8217;emploi afin d&#8217;adapter ses messages et d&#8217;augmenter les chances de succ\u00e8s de ses attaques d&#8217;ing\u00e9nierie sociale.<\/p>\n<p>L&#8217;objectif ultime est de d\u00e9ployer TelePowerBot et KamiKakaBot, qui sont capables d&#8217;ex\u00e9cuter des commandes envoy\u00e9es via un bot Telegram contr\u00f4l\u00e9 par un acteur, en plus d&#8217;utiliser des outils sur mesure comme Ctealer et Cucky pour siphonner les informations d&#8217;identification et les cookies des navigateurs Web.<\/p>\n<p>Alors que Ctealer est \u00e9crit en C\/C++, Cucky est un programme .NET.  Un autre malware personnalis\u00e9 est ZMsg, une application bas\u00e9e sur .NET qui permet \u00e0 Dark Pink de r\u00e9colter les messages envoy\u00e9s via des applications de messagerie telles que Telegram, Viver et Zalo.<\/p>\n<p>Une autre cha\u00eene de mise \u00e0 mort identifi\u00e9e par Group-IB utilise un document leurre inclus dans le fichier ISO pour r\u00e9cup\u00e9rer un mod\u00e8le malveillant compatible avec les macros de GitHub, qui, \u00e0 son tour, h\u00e9berge TelePowerBot, un logiciel malveillant de script PowerShell. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673431645_104_Le-groupe-APT-rose-fonce-cible-les-gouvernements-et-les.png\" alt=\"\" border=\"0\" data-original-height=\"537\" data-original-width=\"728\"\/><\/div>\n<p>Ce n&#8217;est pas tout.  Une troisi\u00e8me m\u00e9thode rep\u00e9r\u00e9e r\u00e9cemment en d\u00e9cembre 2022 voit le lancement de KamiKakaBot, une version .NET de TelePowerBot, \u00e0 l&#8217;aide d&#8217;un fichier XML contenant un projet MSBuild qui se trouve \u00e0 la fin d&#8217;un document Word en vue crypt\u00e9e.  Le fichier Word est pr\u00e9sent dans une image ISO envoy\u00e9e \u00e0 la victime dans un e-mail de harponnage.<\/p>\n<p>&#8220;Les acteurs de la menace \u00e0 l&#8217;origine de cette vague d&#8217;attaques ont pu concevoir leurs outils dans plusieurs langages de programmation, ce qui leur a donn\u00e9 de la flexibilit\u00e9 alors qu&#8217;ils tentaient de p\u00e9n\u00e9trer dans l&#8217;infrastructure de d\u00e9fense et de gagner en persistance sur les r\u00e9seaux des victimes&#8221;, a expliqu\u00e9 Polovinkin.<\/p>\n<p>Un compromis r\u00e9ussi est suivi d&#8217;activit\u00e9s de reconnaissance, de d\u00e9placement lat\u00e9ral et d&#8217;exfiltration de donn\u00e9es, l&#8217;acteur utilisant \u00e9galement Dropbox et le courrier \u00e9lectronique dans certains cas pour transmettre des fichiers d&#8217;int\u00e9r\u00eat.  Un module PowerSploit accessible au public est \u00e9galement utilis\u00e9 pour enregistrer l&#8217;audio du microphone sur les appareils, parall\u00e8lement \u00e0 l&#8217;ex\u00e9cution de commandes pour infecter les disques USB connect\u00e9s afin de propager le logiciel malveillant.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;une bo\u00eete \u00e0 outils presque enti\u00e8rement personnalis\u00e9e, des techniques d&#8217;\u00e9vasion avanc\u00e9es, la capacit\u00e9 des acteurs de la menace \u00e0 retravailler leurs logiciels malveillants pour assurer une efficacit\u00e9 maximale et le profil des organisations cibl\u00e9es d\u00e9montrent la menace que repr\u00e9sente ce groupe particulier&#8221;, a d\u00e9clar\u00e9 Polovinkin.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/dark-pink-apt-group-targets-governments.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 janvier 2023\ue804Ravie LakshmananMenace persistante avanc\u00e9e Selon les derni\u00e8res recherches, les organisations gouvernementales et militaires de la r\u00e9gion Asie-Pacifique sont cibl\u00e9es par un acteur de la menace persistante avanc\u00e9e (APT) jusqu&#8217;alors inconnu. Group-IB, dont le si\u00e8ge est \u00e0 Singapour, dans un rapport partag\u00e9 avec The Hacker News, a d\u00e9clar\u00e9 qu&#8217;il suivait la campagne en cours [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":553044,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[130388,26723,7087,4168,4158,4165,4161,12294,12508,681,4157,4159,4171,4170,65,4167,4621,4160,4163,4162,228,4595,4172,4169,4166,4164],"class_list":["post-553043","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apac","tag-apt","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-fonce","tag-gouvernements","tag-groupe","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-militaires","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-region","tag-rose","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/553043","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=553043"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/553043\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/553044"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=553043"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=553043"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=553043"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}