{"id":790822,"date":"2023-06-19T09:06:34","date_gmt":"2023-06-19T11:06:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-soutenus-par-letat-utilisent-des-methodes-avancees-pour-cibler-les-gouvernements-du-moyen-orient-et-dafrique\/"},"modified":"2023-06-19T09:06:38","modified_gmt":"2023-06-19T11:06:38","slug":"les-pirates-informatiques-soutenus-par-letat-utilisent-des-methodes-avancees-pour-cibler-les-gouvernements-du-moyen-orient-et-dafrique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-soutenus-par-letat-utilisent-des-methodes-avancees-pour-cibler-les-gouvernements-du-moyen-orient-et-dafrique\/","title":{"rendered":"Les pirates informatiques soutenus par l&#8217;\u00c9tat utilisent des m\u00e9thodes avanc\u00e9es pour cibler les gouvernements du Moyen-Orient et d&#8217;Afrique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ Piratage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des entit\u00e9s gouvernementales au Moyen-Orient et en Afrique ont \u00e9t\u00e9 la cible d&#8217;attaques de cyberespionnage soutenues qui exploitent des techniques in\u00e9dites et rares de vol d&#8217;informations d&#8217;identification et d&#8217;exfiltration d&#8217;e-mails Exchange.<\/p>\n<p>&#8220;L&#8217;objectif principal des attaques \u00e9tait d&#8217;obtenir des informations hautement confidentielles et sensibles, sp\u00e9cifiquement li\u00e9es aux politiciens, aux activit\u00e9s militaires et aux minist\u00e8res des affaires \u00e9trang\u00e8res&#8221;, Lior Rochberger, chercheur principal sur les menaces chez Palo Alto Networks, <a rel=\"nofollow noopener\" href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/through-the-cortex-xdr-lens-uncovering-a-new-activity-group-targeting-governments-in-the-middle-east-and-africa\/\" target=\"_blank\">a dit<\/a> dans une plong\u00e9e technique approfondie publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>L&#8217;\u00e9quipe Cortex Threat Research de la soci\u00e9t\u00e9 est <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/from-activity-to-formal-naming\/\" target=\"_blank\">suivi<\/a> l&#8217;activit\u00e9 sous le nom temporaire <strong>CL-STA-0043<\/strong> (o\u00f9 CL signifie cluster et STA signifie motivation soutenue par l&#8217;\u00c9tat), le d\u00e9crivant comme une &#8220;v\u00e9ritable menace persistante avanc\u00e9e&#8221;.<\/p>\n<p>La cha\u00eene d&#8217;infection est d\u00e9clench\u00e9e par l&#8217;exploitation de services d&#8217;information Internet sur site vuln\u00e9rables (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/iis\/get-started\/introduction-to-iis\/introduction-to-iis-architecture\" target=\"_blank\">IIS<\/a>) et Microsoft Exchange sert \u00e0 infiltrer les r\u00e9seaux cibles.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Palo Alto Networks a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 des tentatives infructueuses d&#8217;ex\u00e9cution du shell Web China Chopper dans l&#8217;une des attaques, incitant l&#8217;adversaire \u00e0 changer de tactique et \u00e0 tirer parti d&#8217;un implant Visual Basic Script en m\u00e9moire \u00e0 partir du serveur Exchange.<\/p>\n<p>Une effraction r\u00e9ussie est suivie d&#8217;une activit\u00e9 de reconnaissance pour cartographier le r\u00e9seau et identifier les serveurs critiques qui contiennent des donn\u00e9es de valeur, notamment les contr\u00f4leurs de domaine, les serveurs Web, les serveurs Exchange, les serveurs FTP et les bases de donn\u00e9es SQL.<\/p>\n<p>CL-STA-0043 a \u00e9galement \u00e9t\u00e9 observ\u00e9 en utilisant des outils Windows natifs pour l&#8217;\u00e9l\u00e9vation des privil\u00e8ges, lui permettant ainsi de cr\u00e9er des comptes d&#8217;administrateur et d&#8217;ex\u00e9cuter d&#8217;autres programmes avec des privil\u00e8ges \u00e9lev\u00e9s.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687172794_834_Les-pirates-informatiques-soutenus-par-lEtat-utilisent-des-methodes-avancees.jpg\" alt=\"Cyber-espionnage sophistiqu\u00e9\" border=\"0\" data-original-height=\"430\" data-original-width=\"728\" title=\"Cyber-espionnage sophistiqu\u00e9\"\/><\/div>\n<p>Une autre m\u00e9thode d&#8217;escalade des privil\u00e8ges implique l&#8217;abus des fonctionnalit\u00e9s d&#8217;accessibilit\u00e9 de Windows, c&#8217;est-\u00e0-dire le &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1546\/008\/\" target=\"_blank\">touches collantes<\/a>&#8221; utilitaire (sethc.exe) &#8211; qui permet de contourner les exigences de connexion et de d\u00e9tourner les syst\u00e8mes.<\/p>\n<p>&#8220;Lors de l&#8217;attaque, l&#8217;attaquant remplace g\u00e9n\u00e9ralement le binaire sethc.exe ou les pointeurs\/r\u00e9f\u00e9rences vers ces binaires dans le registre par cmd.exe&#8221;, a expliqu\u00e9 Rochberger.  &#8220;Lorsqu&#8217;il est ex\u00e9cut\u00e9, il fournit un shell d&#8217;invite de commande \u00e9lev\u00e9 \u00e0 l&#8217;attaquant pour ex\u00e9cuter des commandes arbitraires et d&#8217;autres outils.&#8221;<\/p>\n<p>Une approche similaire utilisant le gestionnaire d&#8217;utilitaires (utilman.exe) pour \u00e9tablir un acc\u00e8s de porte d\u00e9rob\u00e9e persistant \u00e0 l&#8217;environnement d&#8217;une victime a \u00e9t\u00e9 document\u00e9e par CrowdStrike au d\u00e9but du mois d&#8217;avril.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>Outre l&#8217;utilisation de Mimikatz pour le vol d&#8217;informations d&#8217;identification, le modus operandi de l&#8217;acteur de la menace se distingue par l&#8217;utilisation d&#8217;autres m\u00e9thodes novatrices pour voler des mots de passe, effectuer des mouvements lat\u00e9raux et exfiltrer des donn\u00e9es sensibles, telles que &#8211;<\/p>\n<p>Il convient de souligner que l&#8217;utilisation de composants logiciels enfichables Exchange PowerShell pour exporter des donn\u00e9es de bo\u00eete aux lettres a d\u00e9j\u00e0 \u00e9t\u00e9 signal\u00e9e dans le cas d&#8217;un groupe parrain\u00e9 par l&#8217;\u00c9tat chinois appel\u00e9 Silk Typhoon (anciennement Hafnium), qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en mars 2021 en relation avec l&#8217;exploitation de Microsoft Exchange Server.<\/p>\n<p>&#8220;Le niveau de sophistication, d&#8217;adaptabilit\u00e9 et de victimologie de ce groupe d&#8217;activit\u00e9s sugg\u00e8re un acteur de menace APT hautement capable, et il est soup\u00e7onn\u00e9 d&#8217;\u00eatre un acteur de menace d&#8217;\u00c9tat-nation&#8221;, a d\u00e9clar\u00e9 Rochberger.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/state-backed-hackers-employ-advanced.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 juin 2023\ue804Ravie LakshmananCyberattaque \/ Piratage Des entit\u00e9s gouvernementales au Moyen-Orient et en Afrique ont \u00e9t\u00e9 la cible d&#8217;attaques de cyberespionnage soutenues qui exploitent des techniques in\u00e9dites et rares de vol d&#8217;informations d&#8217;identification et d&#8217;exfiltration d&#8217;e-mails Exchange. &#8220;L&#8217;objectif principal des attaques \u00e9tait d&#8217;obtenir des informations hautement confidentielles et sensibles, sp\u00e9cifiquement li\u00e9es aux politiciens, aux activit\u00e9s [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":790823,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[53595,11338,4168,4158,4165,4161,35486,133,12508,8154,4157,4159,4171,4170,65,251,4167,13798,4160,38053,4163,4162,164,4394,185,4172,4169,70368,10784,4166,4164],"class_list":["post-790822","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avancees","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dafrique","tag-des","tag-gouvernements","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-letat","tag-logiciel-malveillant-de-ransomware","tag-methodes","tag-mises-a-jour-de-la-cybersecurite","tag-moyenorient","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-soutenus","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/790822","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=790822"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/790822\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/790823"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=790822"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=790822"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=790822"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}