{"id":786640,"date":"2023-06-16T12:00:30","date_gmt":"2023-06-16T14:00:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/chameldoh-nouvelle-porte-derobee-linux-utilisant-le-tunneling-dns-sur-https-pour-covert-cnc\/"},"modified":"2023-06-16T12:00:33","modified_gmt":"2023-06-16T14:00:33","slug":"chameldoh-nouvelle-porte-derobee-linux-utilisant-le-tunneling-dns-sur-https-pour-covert-cnc","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/chameldoh-nouvelle-porte-derobee-linux-utilisant-le-tunneling-dns-sur-https-pour-covert-cnc\/","title":{"rendered":"ChamelDoH\u00a0: nouvelle porte d\u00e9rob\u00e9e Linux utilisant le tunneling DNS sur HTTPS pour Covert CnC"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des terminaux \/ S\u00e9curit\u00e9 du r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur mena\u00e7ant connu sous le nom de <strong>ChamelGang<\/strong> a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un implant auparavant non document\u00e9 pour d\u00e9jouer des syst\u00e8mes Linux, marquant une nouvelle expansion des capacit\u00e9s de l&#8217;acteur mena\u00e7ant.<\/p>\n<p>Le malware, surnomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/stairwell.com\/news\/chamelgang-and-chameldoh-a-dns-over-https-implant\/\" target=\"_blank\">ChamelDoH<\/a> par Stairwell, est un outil bas\u00e9 sur C++ pour communiquer via un tunneling DNS-over-HTTPS (DoH).<\/p>\n<p>ChamelGang a \u00e9t\u00e9 d\u00e9voil\u00e9 pour la premi\u00e8re fois par la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Positive Technologies en septembre 2021, d\u00e9taillant ses attaques contre les industries de production de carburant, d&#8217;\u00e9nergie et d&#8217;aviation en Russie, aux \u00c9tats-Unis, en Inde, au N\u00e9pal, \u00e0 Ta\u00efwan et au Japon.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque mont\u00e9es par l&#8217;acteur ont exploit\u00e9 les vuln\u00e9rabilit\u00e9s des serveurs Microsoft Exchange et de l&#8217;application Red Hat JBoss Enterprise pour obtenir un acc\u00e8s initial et mener des attaques de vol de donn\u00e9es \u00e0 l&#8217;aide d&#8217;une porte d\u00e9rob\u00e9e passive appel\u00e9e DoorMe.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1685947184_392_Magento-WooCommerce-WordPress-et-Shopify-exploites-dans-une-attaque-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Il s&#8217;agit d&#8217;un module IIS natif qui est enregistr\u00e9 en tant que filtre \u00e0 travers lequel les requ\u00eates et les r\u00e9ponses HTTP sont trait\u00e9es&#8221;, a d\u00e9clar\u00e9 Positive Technologies \u00e0 l&#8217;\u00e9poque.  &#8220;Son principe de fonctionnement est inhabituel\u00a0: la porte d\u00e9rob\u00e9e ne traite que les requ\u00eates dans lesquelles le param\u00e8tre de cookie correct est d\u00e9fini.&#8221;<\/p>\n<p>La porte d\u00e9rob\u00e9e Linux d\u00e9couverte par Stairwell, pour sa part, est con\u00e7ue pour capturer des informations syst\u00e8me et est capable d&#8217;effectuer des op\u00e9rations d&#8217;acc\u00e8s \u00e0 distance telles que le t\u00e9l\u00e9chargement, le t\u00e9l\u00e9chargement, la suppression et l&#8217;ex\u00e9cution de commandes shell.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1686924030_441_ChamelDoH-nouvelle-porte-derobee-Linux-utilisant-le-tunneling-DNS-sur.jpg\" alt=\"Porte d\u00e9rob\u00e9e Linux\" border=\"0\" data-original-height=\"512\" data-original-width=\"728\" title=\"Porte d\u00e9rob\u00e9e Linux\"\/><\/div>\n<p>Ce qui rend ChamelDoH unique, c&#8217;est sa nouvelle m\u00e9thode de communication utilisant DoH, qui est utilis\u00e9e pour effectuer la r\u00e9solution du syst\u00e8me de noms de domaine (DNS) via le protocole HTTPS, pour envoyer <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/dns\/dns-records\/dns-txt-record\/\" target=\"_blank\">Requ\u00eates DNS TXT<\/a> \u00e0 un voyou <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/dns\/dns-records\/dns-ns-record\/\" target=\"_blank\">nom du serveur<\/a>.<\/p>\n<p>&#8220;En raison du fait que ces fournisseurs DoH sont couramment utilis\u00e9s, les serveurs DNS [i.e., Cloudflare and Google] pour le trafic l\u00e9gitime, ils ne peuvent pas \u00eatre facilement bloqu\u00e9s \u00e0 l&#8217;\u00e9chelle de l&#8217;entreprise \u00bb, a d\u00e9clar\u00e9 Daniel Mayer, chercheur chez Stairwell.<\/p>\n<p>L&#8217;utilisation de DoH pour le commandement et le contr\u00f4le (C2) offre \u00e9galement des avantages suppl\u00e9mentaires pour l&#8217;auteur de la menace dans la mesure o\u00f9 les demandes ne peuvent pas \u00eatre intercept\u00e9es au moyen d&#8217;une attaque d&#8217;adversaire au milieu (AitM) gr\u00e2ce \u00e0 l&#8217;utilisation du HTTPS. protocole.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>Cela signifie \u00e9galement que les solutions de s\u00e9curit\u00e9 ne peuvent pas identifier et interdire les requ\u00eates DoH malveillantes et interrompre les communications, les transformant ainsi en un canal crypt\u00e9 entre un h\u00f4te compromis et le serveur C2.<\/p>\n<p>&#8220;Le r\u00e9sultat de cette tactique s&#8217;apparente \u00e0 C2 via la fa\u00e7ade de domaine, o\u00f9 le trafic est envoy\u00e9 \u00e0 un service l\u00e9gitime h\u00e9berg\u00e9 sur un CDN, mais redirig\u00e9 vers un serveur C2 via l&#8217;en-t\u00eate Host de la requ\u00eate &#8211; la d\u00e9tection et la pr\u00e9vention sont difficiles&#8221;, a expliqu\u00e9 Mayer.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 bas\u00e9e en Californie a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 un total de 10 \u00e9chantillons ChamelDoH sur VirusTotal, dont l&#8217;un a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 le 14 d\u00e9cembre 2022. <\/p>\n<p>Les derni\u00e8res d\u00e9couvertes montrent que &#8220;le groupe a \u00e9galement consacr\u00e9 un temps et des efforts consid\u00e9rables \u00e0 la recherche et au d\u00e9veloppement d&#8217;un ensemble d&#8217;outils tout aussi robuste pour les intrusions Linux&#8221;, a d\u00e9clar\u00e9 Mayer.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/chameldoh-new-linux-backdoor-utilizing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 juin 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 des terminaux \/ S\u00e9curit\u00e9 du r\u00e9seau L&#8217;acteur mena\u00e7ant connu sous le nom de ChamelGang a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un implant auparavant non document\u00e9 pour d\u00e9jouer des syst\u00e8mes Linux, marquant une nouvelle expansion des capacit\u00e9s de l&#8217;acteur mena\u00e7ant. Le malware, surnomm\u00e9 ChamelDoH par Stairwell, est un outil bas\u00e9 sur C++ [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":786641,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[168740,168742,4168,130557,4158,4165,4161,7084,6016,89743,4157,4159,4171,4170,18088,4167,4160,197,4163,4162,2742,185,4172,4169,60,168741,20349,4166,4164],"class_list":["post-786640","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chameldoh","tag-cnc","tag-comment-pirater","tag-covert","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-dns","tag-https","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-pour","tag-securite-informatique","tag-securite-internet","tag-sur","tag-tunneling","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/786640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=786640"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/786640\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/786641"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=786640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=786640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=786640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}