{"id":792934,"date":"2023-06-20T15:48:29","date_gmt":"2023-06-20T17:48:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-experts-decouvrent-une-cyberattaque-dun-an-contre-une-entreprise-informatique-a-laide-dun-logiciel-malveillant-personnalise-rdstealer\/"},"modified":"2023-06-20T15:48:32","modified_gmt":"2023-06-20T17:48:32","slug":"des-experts-decouvrent-une-cyberattaque-dun-an-contre-une-entreprise-informatique-a-laide-dun-logiciel-malveillant-personnalise-rdstealer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-experts-decouvrent-une-cyberattaque-dun-an-contre-une-entreprise-informatique-a-laide-dun-logiciel-malveillant-personnalise-rdstealer\/","title":{"rendered":"Des experts d\u00e9couvrent une cyberattaque d&#8217;un an contre une entreprise informatique \u00e0 l&#8217;aide d&#8217;un logiciel malveillant personnalis\u00e9 RDStealer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une cyberattaque tr\u00e8s cibl\u00e9e contre une soci\u00e9t\u00e9 informatique d&#8217;Asie de l&#8217;Est a impliqu\u00e9 le d\u00e9ploiement d&#8217;un logiciel malveillant personnalis\u00e9 \u00e9crit en Golang appel\u00e9 <strong>RDStealer<\/strong>.<\/p>\n<p>&#8220;L&#8217;op\u00e9ration a \u00e9t\u00e9 active pendant plus d&#8217;un an dans le but final de compromettre les informations d&#8217;identification et l&#8217;exfiltration de donn\u00e9es&#8221;, a d\u00e9clar\u00e9 Victor Vrabie, chercheur en s\u00e9curit\u00e9 chez Bitdefender. <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/exposing-rdstealerdeep-dive-into-a-targetedcyber-attack-against-east-asiainfrastructure\/\" target=\"_blank\">a dit<\/a> dans un rapport technique partag\u00e9 avec The Hacker News.<\/p>\n<p>Les preuves recueillies par la soci\u00e9t\u00e9 roumaine de cybers\u00e9curit\u00e9 montrent que la campagne a commenc\u00e9 au d\u00e9but de 2022. La cible \u00e9tait une soci\u00e9t\u00e9 informatique non sp\u00e9cifi\u00e9e situ\u00e9e en Asie de l&#8217;Est.<\/p>\n<p>Dans les premi\u00e8res phases, l&#8217;op\u00e9ration reposait sur des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance facilement disponibles comme AsyncRAT et Cobalt Strike, avant de passer \u00e0 des logiciels malveillants sur mesure fin 2021 ou d\u00e9but 2022 dans le but de contrecarrer la d\u00e9tection.<\/p>\n<p>Une tactique d&#8217;\u00e9vasion principale concerne l&#8217;utilisation de dossiers Microsoft Windows susceptibles d&#8217;\u00eatre exclus de l&#8217;analyse par les logiciels de s\u00e9curit\u00e9 (par exemple, System32 et Program Files) pour stocker les charges utiles de la porte d\u00e9rob\u00e9e.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;un des sous-dossiers en question est &#8220;C:Program FilesDellCommandUpdate&#8221;, qui est le r\u00e9pertoire d&#8217;une application Dell l\u00e9gitime appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.dell.com\/support\/kbdoc\/en-us\/000177325\/dell-command-update\" target=\"_blank\">Commande Dell |  Mise \u00e0 jour<\/a>.<\/p>\n<p>Bitdefender a d\u00e9clar\u00e9 que toutes les machines infect\u00e9es au cours de l&#8217;incident avaient \u00e9t\u00e9 fabriqu\u00e9es par Dell, ce qui sugg\u00e8re que les acteurs de la menace ont d\u00e9lib\u00e9r\u00e9ment choisi ce dossier pour camoufler l&#8217;activit\u00e9 malveillante.<\/p>\n<p>Ce raisonnement est renforc\u00e9 par le fait que l&#8217;auteur de la menace a enregistr\u00e9 des domaines de commande et de contr\u00f4le (C2) tels que &#8220;dell-a[.]mise \u00e0 jour ntp[.]com&#8221; dans le but de se fondre dans l&#8217;environnement cible.<\/p>\n<p>L&#8217;ensemble d&#8217;intrusion se caract\u00e9rise par l&#8217;utilisation d&#8217;une porte d\u00e9rob\u00e9e c\u00f4t\u00e9 serveur appel\u00e9e RDStealer, qui se sp\u00e9cialise dans la collecte continue du contenu du presse-papiers et des donn\u00e9es de frappe de l&#8217;h\u00f4te.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEh_Ng8eXaW2gbPC7MNO2NOELWVOzbY1DDjl8eqsN22ddnxKevN2qD2q3z7lKK3P1y-h0E8vE2R_WuNxI5E1nxapFe5XN4lY5UXmTNMSD_IeyfCUO491oe4rZ86XOOEbMR6c1AMLFEaS0zQlSFuYFSvtiYtQ5Gks3eEYJyAuvP8XzH4scxEP6UmEWfGocrQ\/s728-e365\/malware.jpg\" alt=\"\" border=\"0\" data-original-height=\"278\" data-original-width=\"728\"\/><\/div>\n<p>Mais ce qui le distingue, c&#8217;est sa capacit\u00e9 \u00e0 &#8220;surveiller les RDP entrants [Remote Desktop Protocol] connexions et compromettre une machine distante si <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/termserv\/terminal-services-virtual-channels\" target=\"_blank\">mappage de lecteur client<\/a> est autoris\u00e9.&#8221;<\/p>\n<p>Ainsi, lorsqu&#8217;une nouvelle connexion client RDP est d\u00e9tect\u00e9e, des commandes sont \u00e9mises par RDStealer pour exfiltrer les donn\u00e9es sensibles, telles que l&#8217;historique de navigation, les informations d&#8217;identification et les cl\u00e9s priv\u00e9es d&#8217;applications telles que mRemoteNG, KeePass et Google Chrome.<\/p>\n<p>&#8220;Cela met en \u00e9vidence le fait que les acteurs de la menace recherchent activement des informations d&#8217;identification et des connexions enregistr\u00e9es \u00e0 d&#8217;autres syst\u00e8mes&#8221;, a d\u00e9clar\u00e9 Marin Zugec de Bitdefender. <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads\/\" target=\"_blank\">a dit<\/a> dans une seconde analyse.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>De plus, les clients RDP qui se connectent sont infect\u00e9s par un autre logiciel malveillant personnalis\u00e9 bas\u00e9 sur Golang, connu sous le nom de Logutil, pour maintenir un pied persistant sur le r\u00e9seau victime \u00e0 l&#8217;aide de <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/tech-explainer-what-is-dll-sideloading\/\" target=\"_blank\">Techniques de chargement lat\u00e9ral de DLL<\/a> et faciliter l&#8217;ex\u00e9cution des commandes.<\/p>\n<p>On ne sait pas grand-chose sur l&#8217;acteur mena\u00e7ant \u00e0 part le fait qu&#8217;il est actif depuis au moins 2020.<\/p>\n<p>&#8220;Les cybercriminels innovent et explorent continuellement de nouvelles m\u00e9thodes pour am\u00e9liorer la fiabilit\u00e9 et la furtivit\u00e9 de leurs activit\u00e9s malveillantes&#8221;, a d\u00e9clar\u00e9 Zugec.<\/p>\n<p>&#8220;Cette attaque t\u00e9moigne de la sophistication croissante des cyberattaques modernes, mais souligne \u00e9galement le fait que les acteurs de la menace peuvent tirer parti de leur nouvelle sophistication pour exploiter des technologies plus anciennes et largement adopt\u00e9es.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/experts-uncover-year-long-cyber-attack.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 juin 2023\ue804Ravie Lakshmanan Une cyberattaque tr\u00e8s cibl\u00e9e contre une soci\u00e9t\u00e9 informatique d&#8217;Asie de l&#8217;Est a impliqu\u00e9 le d\u00e9ploiement d&#8217;un logiciel malveillant personnalis\u00e9 \u00e9crit en Golang appel\u00e9 RDStealer. &#8220;L&#8217;op\u00e9ration a \u00e9t\u00e9 active pendant plus d&#8217;un an dans le but final de compromettre les informations d&#8217;identification et l&#8217;exfiltration de donn\u00e9es&#8221;, a d\u00e9clar\u00e9 Victor Vrabie, chercheur en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":792935,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,841,4158,4165,4161,2786,3073,133,74,5009,692,20775,4157,4159,4171,4170,1151,6816,4167,7733,4160,4163,4162,35181,169527,4172,4169,196,4166,4164],"class_list":["post-792934","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberattaque","tag-decouvrent","tag-des","tag-dun","tag-entreprise","tag-experts","tag-informatique","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-laide","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-personnalise","tag-rdstealer","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/792934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=792934"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/792934\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/792935"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=792934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=792934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=792934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}