{"id":725506,"date":"2023-05-09T08:53:30","date_gmt":"2023-05-09T10:53:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-la-derniere-technique-de-polymorphisme-sur-serveur-de-sidewinder\/"},"modified":"2023-05-09T08:53:33","modified_gmt":"2023-05-09T10:53:33","slug":"des-chercheurs-decouvrent-la-derniere-technique-de-polymorphisme-sur-serveur-de-sidewinder","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-la-derniere-technique-de-polymorphisme-sur-serveur-de-sidewinder\/","title":{"rendered":"Des chercheurs d\u00e9couvrent la derni\u00e8re technique de polymorphisme sur serveur de SideWinder"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 mai 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Menace persistante avanc\u00e9e<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

L’acteur de la menace persistante avanc\u00e9e (APT) connu sous le nom de SideWinder a \u00e9t\u00e9 accus\u00e9 d’avoir d\u00e9ploy\u00e9 une porte d\u00e9rob\u00e9e dans des attaques dirig\u00e9es contre des organisations gouvernementales pakistanaises dans le cadre d’une campagne qui a d\u00e9but\u00e9 fin novembre 2022.<\/p>\n

“Dans cette campagne, le groupe SideWinder Advanced Persistent Threat (APT) a utilis\u00e9 une technique de polymorphisme bas\u00e9e sur le serveur pour fournir la charge utile de l’\u00e9tape suivante”, a d\u00e9clar\u00e9 l’\u00e9quipe BlackBerry Research and Intelligence. a dit<\/a> dans un rapport technique publi\u00e9 lundi.<\/p>\n

Une autre campagne d\u00e9couverte par la soci\u00e9t\u00e9 canadienne de cybers\u00e9curit\u00e9 d\u00e9but mars 2023 montre que la Turquie a \u00e9galement atterri dans le collimateur des priorit\u00e9s de collecte de l’acteur mena\u00e7ant.<\/p>\n

SideWinder est sur le radar depuis au moins 2012 et il est principalement connu pour cibler diverses entit\u00e9s d’Asie du Sud-Est situ\u00e9es au Pakistan, en Afghanistan, au Bhoutan, en Chine, au Myanmar, au N\u00e9pal et au Sri Lanka.<\/p>\n

Suspect\u00e9 d’\u00eatre un groupe parrain\u00e9 par l’\u00c9tat indien, SideWinder est \u00e9galement suivi sous les noms APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger et T-APT4.<\/p>\n

\"La<\/a><\/center><\/div>\n

Les s\u00e9quences d’attaque typiques mont\u00e9es par l’acteur impliquent l’utilisation de leurres de courrier \u00e9lectronique soigneusement con\u00e7us et Techniques de chargement lat\u00e9ral de DLL<\/a> pour voler sous le radar et d\u00e9ployer des logiciels malveillants capables d’accorder aux acteurs un acc\u00e8s \u00e0 distance aux syst\u00e8mes cibl\u00e9s.<\/p>\n

Au cours de l’ann\u00e9e \u00e9coul\u00e9e, SideWinder a \u00e9t\u00e9 li\u00e9 \u00e0 un cyber attaque visant<\/a> au Pakistan Navy War College (PNWC) ainsi qu’un Campagne de malware Android<\/a> qui a tir\u00e9 parti du nettoyeur de t\u00e9l\u00e9phone malveillant et des applications VPN t\u00e9l\u00e9charg\u00e9es sur le Google Play Store pour r\u00e9colter des informations sensibles<\/a>.<\/p>\n

La derni\u00e8re cha\u00eene d’infection document\u00e9e par BlackBerry refl\u00e8te les conclusions de la soci\u00e9t\u00e9 chinoise de cybers\u00e9curit\u00e9 QiAnXin en d\u00e9cembre 2022 d\u00e9taillant l’utilisation de documents de leurre PNWC pour supprimer une porte d\u00e9rob\u00e9e l\u00e9g\u00e8re bas\u00e9e sur .NET (App.dll) capable de r\u00e9cup\u00e9rer et d’ex\u00e9cuter des logiciels malveillants de niveau sup\u00e9rieur \u00e0 partir d’un serveur distant.<\/p>\n

Ce qui distingue \u00e9galement la campagne, c’est l’utilisation par l’acteur de la menace du polymorphisme bas\u00e9 sur le serveur comme moyen de contourner potentiellement la d\u00e9tection antivirus (AV) traditionnelle bas\u00e9e sur les signatures et de distribuer des charges utiles suppl\u00e9mentaires en r\u00e9pondant avec deux versions diff\u00e9rentes d’un fichier RTF interm\u00e9diaire.<\/p>\n

Plus pr\u00e9cis\u00e9ment, le Document PNWC<\/a> emploie une m\u00e9thode connue sous le nom de injection de mod\u00e8le \u00e0 distance<\/a> pour r\u00e9cup\u00e9rer le fichier RTF de sorte qu’il h\u00e9berge le code malveillant uniquement si la demande provient d’un utilisateur dans la plage d’adresses IP du Pakistan.<\/p>\n

“Il est important de noter que dans les deux cas, seuls le nom du fichier ‘file.rtf’ et le type de fichier sont identiques\u00a0; cependant, le contenu, la taille du fichier et le hachage du fichier sont diff\u00e9rents”, a expliqu\u00e9 BlackBerry.<\/p>\n

WEBINAIRE \u00c0 VENIR<\/span><\/p>\n

Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n

Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n

Sauvez ma place\u00a0!<\/a><\/div>\n

“Si l’utilisateur n’est pas dans la plage IP pakistanaise, le serveur renvoie un fichier RTF de 8\u00a0octets (file.rtf) qui contient une seule cha\u00eene\u00a0: rtf1 . Cependant, si l’utilisateur se trouve dans la plage IP pakistanaise, le Le serveur renvoie ensuite la charge utile RTF, dont la taille varie entre 406\u00a0Ko et 414\u00a0Ko.”<\/p>\n

La divulgation arrive peu de temps apr\u00e8s que Fortinet et Team Cymru ont divulgu\u00e9 les d\u00e9tails des attaques perp\u00e9tr\u00e9es par un acteur de la menace bas\u00e9 au Pakistan connu sous le nom de SideCopy contre la d\u00e9fense indienne et des cibles militaires.<\/p>\n

“La derni\u00e8re campagne SideWinder ciblant la Turquie chevauche les d\u00e9veloppements g\u00e9opolitiques les plus r\u00e9cents\u00a0; en particulier, en Turquie soutien du Pakistan<\/a> et la suite r\u00e9action<\/a> de l’Inde \u00bb, a d\u00e9clar\u00e9 BlackBerry.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n