{"id":707965,"date":"2023-04-28T06:18:51","date_gmt":"2023-04-28T08:18:51","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lequipe-tonto-utilise-un-fichier-anti-malware-pour-lancer-des-attaques-contre-les-institutions-sud-coreennes\/"},"modified":"2023-04-28T06:18:54","modified_gmt":"2023-04-28T08:18:54","slug":"lequipe-tonto-utilise-un-fichier-anti-malware-pour-lancer-des-attaques-contre-les-institutions-sud-coreennes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lequipe-tonto-utilise-un-fichier-anti-malware-pour-lancer-des-attaques-contre-les-institutions-sud-coreennes\/","title":{"rendered":"L&#8217;\u00e9quipe Tonto utilise un fichier anti-malware pour lancer des attaques contre les institutions sud-cor\u00e9ennes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 avril 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Logiciels malveillants \/ cybermenaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;\u00e9ducation, la construction, les institutions diplomatiques et politiques sud-cor\u00e9ennes sont la cible de nouvelles attaques perp\u00e9tr\u00e9es par un acteur mena\u00e7ant align\u00e9 sur la Chine connu sous le nom de <strong>L&#8217;\u00e9quipe Tonto<\/strong>.<\/p>\n<p>&#8220;Des cas r\u00e9cents ont r\u00e9v\u00e9l\u00e9 que le groupe utilise un fichier li\u00e9 \u00e0 des produits anti-malware pour finalement ex\u00e9cuter ses attaques malveillantes&#8221;, a d\u00e9clar\u00e9 le centre de r\u00e9ponse d&#8217;urgence de s\u00e9curit\u00e9 AhnLab (ASEC). <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/51746\/\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n<p>L&#8217;\u00e9quipe Tonto, active depuis au moins 2009, a fait ses preuves dans le ciblage de divers secteurs en Asie et en Europe de l&#8217;Est.  Plus t\u00f4t cette ann\u00e9e, le groupe a \u00e9t\u00e9 attribu\u00e9 \u00e0 une attaque de phishing infructueuse contre la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Group-IB.<\/p>\n<p>La s\u00e9quence d&#8217;attaque d\u00e9couverte par l&#8217;ASEC commence par un fichier Microsoft Compiled HTML Help (.CHM) qui ex\u00e9cute un fichier binaire pour charger lat\u00e9ralement un fichier DLL malveillant (slc.dll) et lancer <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/bitsadmin\/revbshell\" target=\"_blank\">ReVBShell<\/a>une porte d\u00e9rob\u00e9e VBScript open source \u00e9galement utilis\u00e9e par un autre acteur mena\u00e7ant chinois appel\u00e9 Tick.<\/p>\n<p>ReVBShell est ensuite exploit\u00e9 pour t\u00e9l\u00e9charger un deuxi\u00e8me ex\u00e9cutable, un fichier de configuration l\u00e9gitime du logiciel Avast (wsc_proxy.exe), pour charger une deuxi\u00e8me DLL malveillante (wsc.dll), conduisant finalement au d\u00e9ploiement du <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/bisonal-10-years-of-play\/\" target=\"_blank\">bison<\/a> cheval de Troie d&#8217;acc\u00e8s \u00e0 distance.<\/p>\n<p>&#8220;L&#8217;\u00e9quipe Tonto \u00e9volue constamment par divers moyens, tels que l&#8217;utilisation de logiciels normaux pour des attaques plus \u00e9labor\u00e9es&#8221;, a d\u00e9clar\u00e9 l&#8217;ASEC.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>L&#8217;utilisation de fichiers CHM comme vecteur de distribution de logiciels malveillants ne se limite pas aux seuls acteurs chinois de la menace.  Des cha\u00eenes d&#8217;attaques similaires ont \u00e9t\u00e9 adopt\u00e9es par un groupe d&#8217;\u00c9tats-nations nord-cor\u00e9en connu sous le nom de ScarCruft en <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/49089\/\" target=\"_blank\">attaques<\/a> destin\u00e9 \u00e0 son homologue du sud pour des h\u00f4tes cibl\u00e9s par porte d\u00e9rob\u00e9e.<\/p>\n<p>L&#8217;adversaire, \u00e9galement connu sous le nom d&#8217;APT37, Reaper et Ricochet Chollima, a depuis \u00e9galement utilis\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/51751\/\" target=\"_blank\">Fichiers LNK pour distribuer le malware RokRAT<\/a>qui est capable de collecter les informations d&#8217;identification des utilisateurs et de t\u00e9l\u00e9charger des charges utiles suppl\u00e9mentaires.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/tonto-team-uses-anti-malware-file-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 avril 2023\ue804Ravie LakshmananLogiciels malveillants \/ cybermenaces L&#8217;\u00e9ducation, la construction, les institutions diplomatiques et politiques sud-cor\u00e9ennes sont la cible de nouvelles attaques perp\u00e9tr\u00e9es par un acteur mena\u00e7ant align\u00e9 sur la Chine connu sous le nom de L&#8217;\u00e9quipe Tonto. &#8220;Des cas r\u00e9cents ont r\u00e9v\u00e9l\u00e9 que le groupe utilise un fichier li\u00e9 \u00e0 des produits anti-malware pour [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":707966,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[159097,8074,4168,841,4158,4165,4161,133,7085,12318,4157,4159,4171,4170,3637,303,65,4167,4160,4163,4162,185,4172,4169,36288,145562,1282,4166,4164],"class_list":["post-707965","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-antimalware","tag-attaques","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-fichier","tag-institutions","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lancer","tag-lequipe","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-sudcoreennes","tag-tonto","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/707965","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=707965"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/707965\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/707966"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=707965"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=707965"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=707965"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}