{"id":595903,"date":"2023-02-07T13:09:31","date_gmt":"2023-02-07T15:09:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-les-vulnerabilites-de-sunlogin-pour-deployer-le-framework-sliver-c2\/"},"modified":"2023-02-07T13:09:31","modified_gmt":"2023-02-07T15:09:31","slug":"les-pirates-exploitent-les-vulnerabilites-de-sunlogin-pour-deployer-le-framework-sliver-c2","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-les-vulnerabilites-de-sunlogin-pour-deployer-le-framework-sliver-c2\/","title":{"rendered":"Les pirates exploitent les vuln\u00e9rabilit\u00e9s de Sunlogin pour d\u00e9ployer le framework Sliver C2"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybermenace\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEh_F2TnrFuDI4fcked58mUJXnv-3aVfv2YOWZ2KTyxspixd-SgXb2IELvC_vkQ7sb-e56TEHjGKzY-xM5a6Lmoe2AZgHmst3gKBtVKRWYi0-S0wErx5ajzqDROMhUSphpAM3QY2aMpiXbUrim-WKwsR6DrQDcGxoK9VCEuFuJiUrzFcDrd3uTvUw3dR\/s728-e3650\/malware.png\" alt=\"Cadre Sliver C2\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Cadre Sliver C2\"\/><\/div>\n<p>Les acteurs de la menace exploitent les failles connues du logiciel Sunlogin pour d\u00e9ployer le cadre de commande et de contr\u00f4le (C2) Sliver afin d&#8217;effectuer des activit\u00e9s de post-exploitation.<\/p>\n<p>Les conclusions proviennent d&#8217;AhnLab Security Emergency Response Center (ASEC), qui a constat\u00e9 que les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de Sunlogin, un programme de bureau \u00e0 distance d\u00e9velopp\u00e9 en Chine, sont exploit\u00e9es pour d\u00e9ployer une large gamme de charges utiles.<\/p>\n<p>&#8220;Non seulement les acteurs de la menace ont utilis\u00e9 la porte d\u00e9rob\u00e9e Sliver, mais ils ont \u00e9galement utilis\u00e9 le malware BYOVD (Bring Your Own Vulnerable Driver) pour neutraliser les produits de s\u00e9curit\u00e9 et installer des shells invers\u00e9s&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/47088\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque commencent par l&#8217;exploitation de deux bogues d&#8217;ex\u00e9cution de code \u00e0 distance dans les versions de Sunlogin ant\u00e9rieures \u00e0 la v11.0.0.33 (CNVD-2022-03672 et CNVD-2022-10270), suivies de la diffusion de Sliver ou d&#8217;autres logiciels malveillants tels que <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.ghost_rat\" target=\"_blank\">Gh0st RAT<\/a> et XMRig crypto coin miner.<\/p>\n<p>Dans un cas, l&#8217;auteur de la menace aurait militaris\u00e9 les failles de Sunlogin pour installer un script PowerShell qui, \u00e0 son tour, utilise la technique BYOVD pour neutraliser le logiciel de s\u00e9curit\u00e9 install\u00e9 dans le syst\u00e8me et supprimer un shell invers\u00e9 \u00e0 l&#8217;aide de Powercat.<\/p>\n<p>La m\u00e9thode BYOVD abuse d&#8217;un pilote Windows l\u00e9gitime mais vuln\u00e9rable, mhyprot2.sys, qui est sign\u00e9 avec un certificat valide pour obtenir des autorisations \u00e9lev\u00e9es et mettre fin aux processus antivirus.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/Les-pirates-exploitent-les-vulnerabilites-de-Sunlogin-pour-deployer-le.png\" alt=\"\" border=\"0\" data-original-height=\"268\" data-original-width=\"728\"\/><\/div>\n<p>Il convient de noter ici que le pilote anti-triche du jeu vid\u00e9o Genshin Impact \u00e9tait auparavant utilis\u00e9 comme pr\u00e9curseur du d\u00e9ploiement de ransomware, comme l&#8217;a r\u00e9v\u00e9l\u00e9 Trend Micro.<\/p>\n<p>&#8220;Il n&#8217;est pas confirm\u00e9 si cela a \u00e9t\u00e9 fait par le m\u00eame acteur de la menace, mais apr\u00e8s quelques heures, un journal montre qu&#8217;une porte d\u00e9rob\u00e9e Sliver a \u00e9t\u00e9 install\u00e9e sur le m\u00eame syst\u00e8me via une exploitation de la vuln\u00e9rabilit\u00e9 Sunlogin RCE&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Les d\u00e9couvertes surviennent alors que les acteurs de la menace adoptent Sliver, un outil de test de p\u00e9n\u00e9tration l\u00e9gitime bas\u00e9 sur Go, comme alternative \u00e0 Cobalt Strike et Metasploit.<\/p>\n<p>&#8220;Sliver offre les fonctionnalit\u00e9s \u00e9tape par \u00e9tape requises telles que le vol d&#8217;informations sur les comptes, le mouvement du r\u00e9seau interne et le d\u00e9passement du r\u00e9seau interne des entreprises, tout comme Cobalt Strike&#8221;, ont conclu les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/hackers-exploit-vulnerabilities-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 f\u00e9vrier 2023\ue804Ravie LakshmananCybermenace\/malware Les acteurs de la menace exploitent les failles connues du logiciel Sunlogin pour d\u00e9ployer le cadre de commande et de contr\u00f4le (C2) Sliver afin d&#8217;effectuer des activit\u00e9s de post-exploitation. Les conclusions proviennent d&#8217;AhnLab Security Emergency Response Center (ASEC), qui a constat\u00e9 que les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 de Sunlogin, un programme de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,9886,8736,39961,4157,4159,4171,4170,65,4167,4160,4163,4162,4394,185,4172,4169,103477,144237,4166,4164,12365],"class_list":["post-595903","post","type-post","status-publish","format-standard","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-exploitent","tag-framework","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-sliver","tag-sunlogin","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/595903","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=595903"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/595903\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=595903"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=595903"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=595903"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}