{"id":716397,"date":"2023-05-03T16:52:30","date_gmt":"2023-05-03T18:52:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-de-hackers-chinois-earth-longzhi-refait-surface-avec-des-tactiques-avancees-de-logiciels-malveillants\/"},"modified":"2023-05-03T16:52:33","modified_gmt":"2023-05-03T18:52:33","slug":"le-groupe-de-hackers-chinois-earth-longzhi-refait-surface-avec-des-tactiques-avancees-de-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-de-hackers-chinois-earth-longzhi-refait-surface-avec-des-tactiques-avancees-de-logiciels-malveillants\/","title":{"rendered":"Le groupe de hackers chinois Earth Longzhi refait surface avec des tactiques avanc\u00e9es de logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberespionnage \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une \u00e9quipe de piratage parrain\u00e9e par l&#8217;\u00c9tat chinois a refait surface avec une nouvelle campagne ciblant les entit\u00e9s gouvernementales, de sant\u00e9, de technologie et de fabrication bas\u00e9es \u00e0 Ta\u00efwan, en Tha\u00eflande, aux Philippines et aux Fidji apr\u00e8s plus de six mois d&#8217;inactivit\u00e9.<\/p>\n<p>Trend Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/e\/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html\" target=\"_blank\">attribu\u00e9<\/a> l&#8217;intrusion est attribu\u00e9e \u00e0 un groupe de cyberespionnage qu&#8217;il traque sous le nom <strong>Terre Longzhi<\/strong>qui est un sous-groupe au sein d&#8217;APT41 (alias HOODOO ou Winnti) et partage des chevauchements avec divers autres clusters connus sous le nom de Earth Baku, SparklingGoblin et GroupCC.<\/p>\n<p>Earth Longzhi a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 en novembre 2022, d\u00e9taillant ses attaques contre diverses organisations situ\u00e9es en Asie de l&#8217;Est et du Sud-Est ainsi qu&#8217;en Ukraine.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque mont\u00e9es par l&#8217;auteur de la menace exploitent les applications publiques vuln\u00e9rables comme points d&#8217;entr\u00e9e pour d\u00e9ployer le shell Web BEHINDER, puis exploitent cet acc\u00e8s pour d\u00e9poser des charges utiles suppl\u00e9mentaires, y compris une nouvelle variante d&#8217;un chargeur Cobalt Strike appel\u00e9 CroxLoader.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682937111_165_Un-acteur-vietnamien-de-la-menace-infecte-500-000-appareils.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Cette r\u00e9cente campagne [&#8230;] abuse d&#8217;un ex\u00e9cutable Windows Defender pour effectuer un chargement lat\u00e9ral de DLL tout en exploitant un pilote vuln\u00e9rable, zamguard.sys, pour d\u00e9sactiver les produits de s\u00e9curit\u00e9 install\u00e9s sur les h\u00f4tes via une attaque BYOVD (apportez votre propre pilote vuln\u00e9rable) &#8220;, a d\u00e9clar\u00e9 Trend Micro.<\/p>\n<p>Ce n&#8217;est en aucun cas la premi\u00e8re fois que Earth Longzhi utilise la technique BYOVD, avec les campagnes pr\u00e9c\u00e9dentes utilisant le pilote RTCore64.sys vuln\u00e9rable pour restreindre l&#8217;ex\u00e9cution des produits de s\u00e9curit\u00e9.<\/p>\n<p>Le malware, baptis\u00e9 SPHijacker, utilise \u00e9galement une deuxi\u00e8me m\u00e9thode appel\u00e9e &#8220;stack rumbling&#8221; pour atteindre le m\u00eame objectif, qui consiste \u00e0 apporter des modifications au registre Windows pour interrompre le flux d&#8217;ex\u00e9cution du processus et provoquer d\u00e9lib\u00e9r\u00e9ment le blocage des applications cibl\u00e9es au lancement.<\/p>\n<p>&#8220;Cette technique est un type de [denial-of-service] attaque qui abuse des valeurs MinimumStackCommitInBytes non document\u00e9es dans le [<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1546\/012\/\" target=\"_blank\">Image File Execution Options<\/a>] cl\u00e9 de registre \u00bb, a expliqu\u00e9 Trend Micro.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683139950_622_Le-groupe-de-hackers-chinois-Earth-Longzhi-refait-surface-avec.png\" alt=\"Groupe de hackers chinois\" border=\"0\" data-original-height=\"377\" data-original-width=\"727\" title=\"Groupe de hackers chinois\"\/><\/div>\n<p>&#8220;La valeur de MinimumStackCommitInBytes associ\u00e9e \u00e0 un processus sp\u00e9cifique dans la cl\u00e9 de registre IFEO sera utilis\u00e9e pour d\u00e9finir la taille minimale de la pile \u00e0 valider lors de l&#8217;initialisation du thread principal. Si la taille de la pile est trop grande, elle d\u00e9clenchera une exception de d\u00e9bordement de pile et se terminera le processus en cours.&#8221;<\/p>\n<p>Les approches jumel\u00e9es sont loin d&#8217;\u00eatre les seules m\u00e9thodes pouvant \u00eatre utilis\u00e9es pour nuire aux produits de s\u00e9curit\u00e9.  Deep Instinct, le mois dernier, a d\u00e9taill\u00e9 une nouvelle technique d&#8217;injection de code baptis\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/dirty-vanity-a-new-approach-to-code-injection-edr-bypass\" target=\"_blank\">Vanit\u00e9 sale<\/a> qui exploite le m\u00e9canisme de bifurcation \u00e0 distance de Windows pour les syst\u00e8mes de d\u00e9tection de points de terminaison en aveugle.<\/p>\n<p>De plus, la charge utile du pilote est install\u00e9e en tant que service au niveau du noyau \u00e0 l&#8217;aide de Microsoft Remote Procedure Call (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/rpc\/rpc-start-page\" target=\"_blank\">RPC<\/a>) par opposition aux API Windows pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>On observe \u00e9galement dans les attaques l&#8217;utilisation d&#8217;un dropper bas\u00e9 sur DLL nomm\u00e9 Roxwrapper pour fournir un autre chargeur Cobalt Strike nomm\u00e9 BigpipeLoader ainsi qu&#8217;un outil d&#8217;escalade de privil\u00e8ges (dwm.exe) qui abuse de Windows. <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/taskschd\/task-scheduler-start-page\" target=\"_blank\">Planificateur de t\u00e2ches<\/a> pour lancer une charge utile donn\u00e9e avec les privil\u00e8ges SYSTEM.<\/p>\n<p>La charge utile sp\u00e9cifi\u00e9e, dllhost.exe, est un t\u00e9l\u00e9chargeur capable de r\u00e9cup\u00e9rer les logiciels malveillants de la prochaine \u00e9tape \u00e0 partir d&#8217;un serveur contr\u00f4l\u00e9 par un acteur.<\/p>\n<p>Il convient de souligner ici que dwm.exe est bas\u00e9 sur une preuve de concept (PoC) open source <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/zcgonvh\/TaskSchedulerMisc\/blob\/master\/schuac.cs\" target=\"_blank\">disponible sur GitHub<\/a>sugg\u00e9rant que l&#8217;auteur de la menace s&#8217;inspire des programmes existants pour affiner son arsenal de logiciels malveillants.<\/p>\n<p>Trend Micro a en outre d\u00e9clar\u00e9 avoir identifi\u00e9 des documents leurres \u00e9crits en vietnamien et en indon\u00e9sien, indiquant des tentatives potentielles de cibler les utilisateurs dans les deux pays \u00e0 l&#8217;avenir.<\/p>\n<p>&#8220;Earth Longzhi reste actif et continue d&#8217;am\u00e9liorer ses tactiques, techniques et proc\u00e9dures (TTP)&#8221;, ont not\u00e9 les chercheurs en s\u00e9curit\u00e9 Ted Lee et Hara Hiroaki.  &#8220;Les organisations doivent rester vigilantes face au d\u00e9veloppement continu de nouveaux stratag\u00e8mes furtifs par les cybercriminels.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/chinese-hacker-group-earth-longzhi.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 mai 2023\ue804Ravie LakshmananCyberespionnage \/ Logiciels malveillants Une \u00e9quipe de piratage parrain\u00e9e par l&#8217;\u00c9tat chinois a refait surface avec une nouvelle campagne ciblant les entit\u00e9s gouvernementales, de sant\u00e9, de technologie et de fabrication bas\u00e9es \u00e0 Ta\u00efwan, en Tha\u00eflande, aux Philippines et aux Fidji apr\u00e8s plus de six mois d&#8217;inactivit\u00e9. Trend Micro attribu\u00e9 l&#8217;intrusion est attribu\u00e9e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":716398,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[53595,84,5663,4168,4158,4165,4161,133,25378,681,6578,4157,4159,4171,4170,4167,4589,160234,4590,4160,4163,4162,4309,4172,4169,4310,11977,4166,4164],"class_list":["post-716397","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avancees","tag-avec","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-earth","tag-groupe","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-longzhi","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-refait","tag-securite-informatique","tag-securite-internet","tag-surface","tag-tactiques","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/716397","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=716397"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/716397\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/716398"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=716397"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=716397"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=716397"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}