{"id":609203,"date":"2023-02-15T15:31:24","date_gmt":"2023-02-15T17:31:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lapt37-de-la-coree-du-nord-cible-son-homologue-du-sud-avec-le-nouveau-logiciel-malveillant-m2rat\/"},"modified":"2023-02-15T15:31:26","modified_gmt":"2023-02-15T17:31:26","slug":"lapt37-de-la-coree-du-nord-cible-son-homologue-du-sud-avec-le-nouveau-logiciel-malveillant-m2rat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lapt37-de-la-coree-du-nord-cible-son-homologue-du-sud-avec-le-nouveau-logiciel-malveillant-m2rat\/","title":{"rendered":"L&#8217;APT37 de la Cor\u00e9e du Nord cible son homologue du Sud avec le nouveau logiciel malveillant M2RAT"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Renseignements sur les menaces\/malwares<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur mena\u00e7ant li\u00e9 \u00e0 la Cor\u00e9e du Nord suivi comme <strong>APT37<\/strong> a \u00e9t\u00e9 li\u00e9 \u00e0 un nouveau logiciel malveillant appel\u00e9 <strong>M2RAT<\/strong> dans des attaques visant son homologue du sud, sugg\u00e9rant une \u00e9volution continue des caract\u00e9ristiques et des tactiques du groupe.<\/p>\n<p>APT37, \u00e9galement suivi sous les noms de Reaper, RedEyes, Ricochet Chollima et ScarCruft, est li\u00e9 au minist\u00e8re de la S\u00e9curit\u00e9 d&#8217;\u00c9tat (MSS) de la Cor\u00e9e du Nord, contrairement aux groupes de menaces Lazarus et Kimsuky qui font partie du Reconnaissance General Bureau (RGB).<\/p>\n<p>Selon Mandiant, propri\u00e9t\u00e9 de Google, MSS est charg\u00e9 des &#8220;activit\u00e9s de contre-espionnage national et de contre-espionnage \u00e0 l&#8217;\u00e9tranger&#8221;, les campagnes d&#8217;attaque d&#8217;APT37 refl\u00e9tant les priorit\u00e9s de l&#8217;agence.  Les op\u00e9rations ont historiquement cibl\u00e9 des individus tels que des transfuges et des militants des droits de l&#8217;homme.<\/p>\n<p>&#8220;La mission principale \u00e9valu\u00e9e d&#8217;APT37 est la collecte secr\u00e8te de renseignements \u00e0 l&#8217;appui des int\u00e9r\u00eats militaires, politiques et \u00e9conomiques strat\u00e9giques de la RPDC&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de renseignement sur les menaces. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/mapping-dprk-groups-to-government\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>L&#8217;auteur de la menace est connu pour s&#8217;appuyer sur des outils personnalis\u00e9s tels que Chinotto, RokRat, BLUELIGHT, GOLDBACKDOOR et Dolphin pour r\u00e9colter des informations sensibles \u00e0 partir d&#8217;h\u00f4tes compromis.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676482284_390_LAPT37-de-la-Coree-du-Nord-cible-son-homologue-du.png\" alt=\"Cor\u00e9e du Nord\" border=\"0\" data-original-height=\"291\" data-original-width=\"728\" title=\"Cor\u00e9e du Nord\"\/><\/div>\n<p>&#8220;La principale caract\u00e9ristique de ce cas d&#8217;attaque du groupe RedEyes est qu&#8217;il a utilis\u00e9 une vuln\u00e9rabilit\u00e9 Hangul EPS et utilis\u00e9 des techniques de st\u00e9ganographie pour distribuer des codes malveillants&#8221;, AhnLab Security Emergency Response Center (ASEC) <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/ko\/47622\/\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 mardi.<\/p>\n<p>La cha\u00eene d&#8217;infection observ\u00e9e en janvier 2023 commence par un document leurre Hangul, qui exploite une faille d\u00e9sormais corrig\u00e9e dans le logiciel de traitement de texte (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-8291\" target=\"_blank\">CVE-2017-8291<\/a>) pour d\u00e9clencher un shellcode qui t\u00e9l\u00e9charge une image depuis un serveur distant.<\/p>\n<p>Le fichier JPEG utilise des techniques st\u00e9ganographiques pour dissimuler un ex\u00e9cutable portable qui, une fois lanc\u00e9, t\u00e9l\u00e9charge l&#8217;implant M2RAT et l&#8217;injecte dans le processus l\u00e9gitime explorer.exe.<\/p>\n<p>Alors que la persistance est obtenue au moyen d&#8217;une modification du registre Windows, M2RAT fonctionne comme une porte d\u00e9rob\u00e9e capable d&#8217;enregistrer des frappes, de capturer des \u00e9crans, d&#8217;ex\u00e9cuter des processus et de voler des informations.  Comme Dolphin, il est \u00e9galement con\u00e7u pour siphonner les donn\u00e9es des disques amovibles et des smartphones connect\u00e9s.<\/p>\n<p>&#8220;Il est tr\u00e8s difficile de se d\u00e9fendre contre ces attaques APT, et le groupe RedEyes en particulier est connu pour cibler principalement les individus, il peut donc \u00eatre difficile pour les personnes non morales de m\u00eame reconna\u00eetre les dommages&#8221;, a d\u00e9clar\u00e9 l&#8217;ASEC.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que CVE-2017-8291 est militaris\u00e9 par des acteurs nord-cor\u00e9ens.  Fin 2017, le groupe Lazarus a \u00e9t\u00e9 observ\u00e9 ciblant les \u00e9changes de crypto-monnaie sud-cor\u00e9ens et les utilisateurs pour d\u00e9ployer le malware Destover, selon <a rel=\"nofollow noopener\" href=\"https:\/\/www.recordedfuture.com\/north-korea-cryptocurrency-campaign\" target=\"_blank\">Avenir enregistr\u00e9<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/north-koreas-apt37-targeting-southern.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 f\u00e9vrier 2023\ue804Ravie LakshmananRenseignements sur les menaces\/malwares L&#8217;acteur mena\u00e7ant li\u00e9 \u00e0 la Cor\u00e9e du Nord suivi comme APT37 a \u00e9t\u00e9 li\u00e9 \u00e0 un nouveau logiciel malveillant appel\u00e9 M2RAT dans des attaques visant son homologue du sud, sugg\u00e9rant une \u00e9volution continue des caract\u00e9ristiques et des tactiques du groupe. APT37, \u00e9galement suivi sous les noms de Reaper, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":609204,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,7087,4168,2344,4158,4165,4161,8311,4157,4159,4171,4170,146112,6816,4167,146113,7733,4160,1005,680,4163,4162,4172,4169,167,1106,4166,4164],"class_list":["post-609203","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-cible","tag-comment-pirater","tag-coree","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-homologue","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapt37","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-m2rat","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nord","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-son","tag-sud","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/609203","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=609203"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/609203\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/609204"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=609203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=609203"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=609203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}