{"id":721192,"date":"2023-05-06T11:41:29","date_gmt":"2023-05-06T13:41:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/dragon-breath-apt-group-utilise-la-technique-de-double-nettoyage-pour-cibler-lindustrie-du-jeu\/"},"modified":"2023-05-06T11:41:32","modified_gmt":"2023-05-06T13:41:32","slug":"dragon-breath-apt-group-utilise-la-technique-de-double-nettoyage-pour-cibler-lindustrie-du-jeu","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/dragon-breath-apt-group-utilise-la-technique-de-double-nettoyage-pour-cibler-lindustrie-du-jeu\/","title":{"rendered":"Dragon Breath APT Group utilise la technique de double nettoyage pour cibler l&#8217;industrie du jeu"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Menace persistante avanc\u00e9e<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un acteur de menace persistante avanc\u00e9e (APT) connu sous le nom de <strong>Souffle du dragon<\/strong> a \u00e9t\u00e9 observ\u00e9 ajoutant de nouvelles couches de complexit\u00e9 \u00e0 ses attaques en adoptant un nouveau <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Chargement lat\u00e9ral de DLL<\/a> m\u00e9canisme.<\/p>\n<p>&#8220;L&#8217;attaque est bas\u00e9e sur une attaque de chargement lat\u00e9ral classique, consistant en une application propre, un chargeur malveillant et une charge utile chiffr\u00e9e, avec diverses modifications apport\u00e9es \u00e0 ces composants au fil du temps&#8221;, a d\u00e9clar\u00e9 Gabor Szappanos, chercheur chez Sophos. <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2023\/05\/03\/doubled-dll-sideloading-dragon-breath\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;Les derni\u00e8res campagnes ajoutent une touche dans laquelle une application propre de premi\u00e8re \u00e9tape charge une deuxi\u00e8me application propre et l&#8217;ex\u00e9cute automatiquement. La deuxi\u00e8me application propre charge la DLL de chargeur malveillante. Apr\u00e8s cela, la DLL de chargeur malveillant s&#8217;ex\u00e9cute la charge utile finale.&#8221;<\/p>\n<p>L&#8217;op\u00e9ration Dragon Breath, \u00e9galement suivie sous les noms APT-Q-27 et Golden Eye, a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/mp.weixin.qq.com\/s\/ferNBN0ztRknN84IpPpwgQ\" target=\"_blank\">d&#8217;abord<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/mp.weixin.qq.com\/s\/b-0Gv_l-nnks-RnSdXBFBw\" target=\"_blank\">document\u00e9<\/a> par QiAnXin en 2020, d\u00e9taillant une campagne de point d&#8217;eau con\u00e7ue pour inciter les utilisateurs \u00e0 t\u00e9l\u00e9charger un programme d&#8217;installation Windows cheval de Troie pour Telegram.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tractivethreatsstatic-inside-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682946326_927_Decouverte-de-la-nouvelle-boite-a-outils-de-logiciels-malveillants.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>UN <a rel=\"nofollow noopener\" href=\"https:\/\/zhuanlan.zhihu.com\/p\/515150114\" target=\"_blank\">subs\u00e9quent<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/ti.qianxin.com\/blog\/articles\/operation-dragon-breath-(apt-q-27)-dimensionality-reduction-blow-to-the-gambling-industry\/\" target=\"_blank\">campagne<\/a> d\u00e9taill\u00e9 par la soci\u00e9t\u00e9 chinoise de cybers\u00e9curit\u00e9 en mai 2022 a mis en \u00e9vidence l&#8217;utilisation continue des installateurs de Telegram comme leurre pour d\u00e9ployer des charges utiles suppl\u00e9mentaires telles que gh0st RAT.<\/p>\n<p>Dragon Breath ferait \u00e9galement partie d&#8217;une entit\u00e9 plus large appel\u00e9e Miuuti Group, l&#8217;adversaire \u00e9tant qualifi\u00e9 d&#8217;entit\u00e9 &#8220;chinoisante&#8221; ciblant les industries des jeux et des jeux d&#8217;argent en ligne, rejoignant d&#8217;autres groupes d&#8217;activit\u00e9s chinois comme Dragon Castling, <a rel=\"nofollow noopener\" href=\"https:\/\/zhuanlan.zhihu.com\/p\/594979411\" target=\"_blank\">Danse du dragon<\/a>et Terre Berberoka.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683380489_762_Dragon-Breath-APT-Group-utilise-la-technique-de-double-nettoyage.png\" alt=\"Technique d'application \u00e0 double nettoyage\" border=\"0\" data-original-height=\"230\" data-original-width=\"728\" title=\"Technique d'application \u00e0 double nettoyage\"\/><\/div>\n<p>La strat\u00e9gie de chargement lat\u00e9ral de DLL en double dip, selon Sophos, a \u00e9t\u00e9 exploit\u00e9e dans des attaques ciblant des utilisateurs aux Philippines, au Japon, \u00e0 Ta\u00efwan, \u00e0 Singapour, \u00e0 Hong Kong et en Chine.  Ces tentatives d&#8217;intrusion ont finalement \u00e9chou\u00e9.<\/p>\n<p>Le vecteur initial est un faux site Web h\u00e9bergeant un programme d&#8217;installation pour Telegram qui, lorsqu&#8217;il est ouvert, cr\u00e9e un raccourci sur le bureau con\u00e7u pour charger des composants malveillants dans les coulisses lors du lancement, tout en affichant \u00e9galement \u00e0 la victime l&#8217;interface utilisateur de l&#8217;application Telegram.<\/p>\n<p>De plus, on pense que l&#8217;adversaire a cr\u00e9\u00e9 plusieurs variantes du sch\u00e9ma dans lequel des installateurs falsifi\u00e9s pour d&#8217;autres applications, telles que LetsVPN et WhatsApp, sont utilis\u00e9s pour lancer la cha\u00eene d&#8217;attaque.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>L&#8217;\u00e9tape suivante implique l&#8217;utilisation d&#8217;une deuxi\u00e8me application propre comme interm\u00e9diaire pour \u00e9viter la d\u00e9tection et charger la charge utile finale via une DLL malveillante.<\/p>\n<p>La charge utile fonctionne comme une porte d\u00e9rob\u00e9e capable de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter des fichiers, d&#8217;effacer les journaux d&#8217;\u00e9v\u00e9nements, d&#8217;extraire et de d\u00e9finir le contenu du presse-papiers, d&#8217;ex\u00e9cuter des commandes arbitraires et de voler la crypto-monnaie de l&#8217;extension de portefeuille MetaMask pour Google Chrome.<\/p>\n<p>&#8220;Le chargement lat\u00e9ral de DLL, identifi\u00e9 pour la premi\u00e8re fois dans les produits Windows en 2010 mais r\u00e9pandu sur plusieurs plates-formes, continue d&#8217;\u00eatre une tactique efficace et attrayante pour les acteurs de la menace&#8221;, a d\u00e9clar\u00e9 Szappanos.<\/p>\n<p>&#8220;Cette technique d&#8217;application \u00e0 double nettoyage employ\u00e9e par le groupe Dragon Breath, ciblant un secteur d&#8217;utilisateurs (les jeux d&#8217;argent en ligne) qui a traditionnellement \u00e9t\u00e9 moins examin\u00e9 par les chercheurs en s\u00e9curit\u00e9, repr\u00e9sente la vitalit\u00e9 continue de cette approche.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/dragon-breath-apt-group-using-double.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 mai 2023\ue804Ravie LakshmananMenace persistante avanc\u00e9e Un acteur de menace persistante avanc\u00e9e (APT) connu sous le nom de Souffle du dragon a \u00e9t\u00e9 observ\u00e9 ajoutant de nouvelles couches de complexit\u00e9 \u00e0 ses attaques en adoptant un nouveau Chargement lat\u00e9ral de DLL m\u00e9canisme. &#8220;L&#8217;attaque est bas\u00e9e sur une attaque de chargement lat\u00e9ral classique, consistant en une [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":721193,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26723,109112,11338,4168,4158,4165,4161,2187,39619,4555,412,4157,4159,4171,4170,3626,4167,4160,7096,4163,4162,185,4172,4169,8458,1282,4166,4164],"class_list":["post-721192","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt","tag-breath","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-double","tag-dragon","tag-group","tag-jeu","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lindustrie","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nettoyage","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-technique","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/721192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=721192"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/721192\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/721193"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=721192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=721192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=721192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}