{"id":611613,"date":"2023-02-17T00:51:18","date_gmt":"2023-02-17T02:51:18","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvel-acteur-de-menace-wip26-ciblant-les-fournisseurs-de-services-de-telecommunications-au-moyen-orient\/"},"modified":"2023-02-17T00:51:19","modified_gmt":"2023-02-17T02:51:19","slug":"nouvel-acteur-de-menace-wip26-ciblant-les-fournisseurs-de-services-de-telecommunications-au-moyen-orient","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvel-acteur-de-menace-wip26-ciblant-les-fournisseurs-de-services-de-telecommunications-au-moyen-orient\/","title":{"rendered":"Nouvel acteur de menace WIP26 ciblant les fournisseurs de services de t\u00e9l\u00e9communications au Moyen-Orient"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 cloud \/ Cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les fournisseurs de services de t\u00e9l\u00e9communication au Moyen-Orient sont cibl\u00e9s par un acteur mena\u00e7ant auparavant sans papiers dans le cadre d&#8217;une mission pr\u00e9sum\u00e9e de collecte de renseignements.<\/p>\n<p>Les entreprises de cybers\u00e9curit\u00e9 SentinelOne et QGroup suivent le cluster d&#8217;activit\u00e9s sous le nom de travail en cours de l&#8217;ancien <strong>WIP26<\/strong>.<\/p>\n<p>&#8220;WIP26 s&#8217;appuie fortement sur l&#8217;infrastructure de cloud public pour tenter d&#8217;\u00e9chapper \u00e0 la d\u00e9tection en donnant l&#8217;impression que le trafic malveillant est l\u00e9gitime&#8221;, ont d\u00e9clar\u00e9 les chercheurs Aleksandar Milenkoski, Collin Farr et Joey Chen. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/wip26-espionage-threat-actors-abuse-cloud-infrastructure-in-targeted-telco-attacks\/\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Cela inclut l&#8217;utilisation abusive de Microsoft 365 Mail, Azure, Google Firebase et Dropbox \u00e0 des fins de diffusion de logiciels malveillants, d&#8217;exfiltration de donn\u00e9es et de commande et de contr\u00f4le (C2).<\/p>\n<p>Le vecteur d&#8217;intrusion initial utilis\u00e9 dans les attaques implique un &#8220;ciblage de pr\u00e9cision&#8221; des employ\u00e9s via des messages WhatsApp contenant des liens vers des liens Dropbox vers des fichiers d&#8217;archives suppos\u00e9s b\u00e9nins.<\/p>\n<p>Les fichiers, en r\u00e9alit\u00e9, h\u00e9bergent un chargeur de logiciels malveillants dont la fonction principale est de d\u00e9ployer des portes d\u00e9rob\u00e9es personnalis\u00e9es bas\u00e9es sur .NET telles que CMD365 ou CMDEmber qui exploitent Microsoft 365 Mail et Google Firebase pour C2.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676602278_853_Nouvel-acteur-de-menace-WIP26-ciblant-les-fournisseurs-de-services.png\" alt=\"cyberespionnage\" border=\"0\" data-original-height=\"568\" data-original-width=\"728\" title=\"cyberespionnage\"\/><\/div>\n<p>&#8220;La fonctionnalit\u00e9 principale de CMD365 et CMDEmber est d&#8217;ex\u00e9cuter des commandes syst\u00e8me fournies par l&#8217;attaquant \u00e0 l&#8217;aide de l&#8217;interpr\u00e9teur de commandes Windows&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Cette capacit\u00e9 a \u00e9t\u00e9 utilis\u00e9e pour mener diverses activit\u00e9s, telles que la reconnaissance, l&#8217;\u00e9l\u00e9vation des privil\u00e8ges, la mise en sc\u00e8ne de logiciels malveillants suppl\u00e9mentaires et l&#8217;exfiltration de donn\u00e9es.&#8221;<\/p>\n<p>CMD365, pour sa part, fonctionne en analysant le dossier de la bo\u00eete de r\u00e9ception \u00e0 la recherche d&#8217;e-mails sp\u00e9cifiques commen\u00e7ant par la ligne d&#8217;objet &#8220;entr\u00e9e&#8221; pour extraire les commandes C2 \u00e0 ex\u00e9cuter sur les h\u00f4tes infect\u00e9s.  CMDEmber, d&#8217;autre part, envoie et re\u00e7oit des donn\u00e9es du serveur C2 en \u00e9mettant des requ\u00eates HTTP.<\/p>\n<p>La transmission des donn\u00e9es &#8211; qui comprennent les informations du navigateur Web priv\u00e9 des utilisateurs et des d\u00e9tails sur les h\u00f4tes de grande valeur dans le r\u00e9seau de la victime &#8211; aux instances Azure contr\u00f4l\u00e9es par l&#8217;acteur est orchestr\u00e9e au moyen de commandes PowerShell.<\/p>\n<p>L&#8217;abus des services cloud \u00e0 des fins n\u00e9fastes n&#8217;est pas inconnu, et la derni\u00e8re campagne de WIP26 indique des tentatives continues de la part des acteurs de la menace pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que les fournisseurs de t\u00e9l\u00e9communications du Moyen-Orient passent sous le radar des groupes d&#8217;espionnage.  En d\u00e9cembre 2022, Bitdefender a divulgu\u00e9 les d\u00e9tails d&#8217;une op\u00e9ration baptis\u00e9e <strong>Porte d\u00e9rob\u00e9eDiplomatie<\/strong> visant une entreprise de t\u00e9l\u00e9communications de la r\u00e9gion pour siphonner des donn\u00e9es pr\u00e9cieuses.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/new-threat-actor-wip26-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 f\u00e9vrier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 cloud \/ Cybermenace Les fournisseurs de services de t\u00e9l\u00e9communication au Moyen-Orient sont cibl\u00e9s par un acteur mena\u00e7ant auparavant sans papiers dans le cadre d&#8217;une mission pr\u00e9sum\u00e9e de collecte de renseignements. Les entreprises de cybers\u00e9curit\u00e9 SentinelOne et QGroup suivent le cluster d&#8217;activit\u00e9s sous le nom de travail en cours de l&#8217;ancien WIP26. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":611614,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2128,4175,4168,4158,4165,4161,3555,4157,4159,4171,4170,65,4167,596,4160,38053,716,4163,4162,4172,4169,3831,34776,4166,4164,146417],"class_list":["post-611613","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acteur","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-fournisseurs","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-menace","tag-mises-a-jour-de-la-cybersecurite","tag-moyenorient","tag-nouvel","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-services","tag-telecommunications","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wip26"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/611613","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=611613"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/611613\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/611614"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=611613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=611613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=611613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}