{"id":794151,"date":"2023-06-21T09:49:02","date_gmt":"2023-06-21T11:49:02","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-de-hackers-chinois-flea-cible-les-ministeres-americains-avec-une-porte-derobee-graphique\/"},"modified":"2023-06-21T09:49:05","modified_gmt":"2023-06-21T11:49:05","slug":"le-groupe-de-hackers-chinois-flea-cible-les-ministeres-americains-avec-une-porte-derobee-graphique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-de-hackers-chinois-flea-cible-les-ministeres-americains-avec-une-porte-derobee-graphique\/","title":{"rendered":"Le groupe de hackers chinois &#8220;Flea&#8221; cible les minist\u00e8res am\u00e9ricains avec une porte d\u00e9rob\u00e9e graphique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybermenace \/ APT<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les minist\u00e8res des Affaires \u00e9trang\u00e8res des Am\u00e9riques ont \u00e9t\u00e9 cibl\u00e9s par un acteur parrain\u00e9 par l&#8217;\u00c9tat chinois nomm\u00e9 <strong>Puce<\/strong> dans le cadre d&#8217;une r\u00e9cente campagne qui s&#8217;est d\u00e9roul\u00e9e de fin 2022 \u00e0 d\u00e9but 2023.<\/p>\n<p>Les cyberattaques, selon Symantec de Broadcom, impliquaient une nouvelle porte d\u00e9rob\u00e9e nomm\u00e9e Graphican.  Certaines des autres cibles comprenaient un d\u00e9partement des finances du gouvernement et une soci\u00e9t\u00e9 qui commercialise des produits dans les Am\u00e9riques ainsi qu&#8217;une victime non pr\u00e9cis\u00e9e dans un pays europ\u00e9en.<\/p>\n<p>&#8220;Flea a utilis\u00e9 un grand nombre d&#8217;outils dans cette campagne&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/flea-backdoor-microsoft-graph-apt15\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News, d\u00e9crivant l&#8217;acteur de la menace comme &#8220;grand et bien dot\u00e9&#8221;.  &#8220;En plus de la nouvelle porte d\u00e9rob\u00e9e Graphican, les attaquants ont exploit\u00e9 une vari\u00e9t\u00e9 d&#8217;outils vivant hors de la terre, ainsi que des outils qui \u00e9taient auparavant li\u00e9s \u00e0 Flea.&#8221;<\/p>\n<p>Flea, \u00e9galement appel\u00e9 APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (anciennement Nickel), Playful Taurus, Royal APT et Vixen Panda, est un groupe de menace persistante avanc\u00e9 qui est connu pour frapper les gouvernements, les missions diplomatiques et les ambassades depuis au moins 2004.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/La-nouvelle-souche-Linux-Ransomware-BlackSuit-presente-des-similitudes-frappantes.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Plus t\u00f4t en janvier, le groupe a \u00e9t\u00e9 accus\u00e9 d&#8217;\u00eatre \u00e0 l&#8217;origine d&#8217;une s\u00e9rie d&#8217;attaques visant des entit\u00e9s gouvernementales iraniennes entre juillet et fin d\u00e9cembre 2022.<\/p>\n<p>Puis le mois dernier, il est apparu que le gouvernement kenyan avait \u00e9t\u00e9 point\u00e9 du doigt dans une vaste op\u00e9ration de collecte de renseignements de trois ans visant les principaux minist\u00e8res et institutions d&#8217;\u00c9tat du pays.<\/p>\n<p>L&#8217;\u00e9quipe de l&#8217;\u00c9tat-nation a \u00e9galement \u00e9t\u00e9 impliqu\u00e9e dans plusieurs campagnes de surveillance Android &#8211; <a rel=\"nofollow noopener\" href=\"https:\/\/www.lookout.com\/blog\/multiyear-surveillance-campaigns-discovered-targeting-uyghurs\" target=\"_blank\">SoieBean<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.lookout.com\/blog\/uyghur-surveillance-campaign-badbazaar-moonshine\" target=\"_blank\">BadBazar<\/a> \u2013 ciblant les Ou\u00efghours en R\u00e9publique populaire de Chine et \u00e0 l&#8217;\u00e9tranger, comme d\u00e9taill\u00e9 par Lookout en juillet 2020 et novembre 2022, respectivement.<\/p>\n<p>On dit que Graphican est une \u00e9volution d&#8217;une porte d\u00e9rob\u00e9e Flea connue appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2019\/07\/18\/okrum-ke3chang-targets-diplomatic-missions\/\" target=\"_blank\">Ketrican<\/a>dont les fonctionnalit\u00e9s ont depuis \u00e9t\u00e9 fusionn\u00e9es avec un autre implant connu sous le nom d&#8217;Okrum pour engendrer un nouveau malware nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/intezer.com\/blog\/research\/the-evolution-of-apt15s-codebase-2020\/\" target=\"_blank\">Ketrum<\/a>.<\/p>\n<p>La porte d\u00e9rob\u00e9e, bien qu&#8217;ayant la m\u00eame fonctionnalit\u00e9, se distingue de Ketrican pour l&#8217;utilisation de l&#8217;API Microsoft Graph et de OneDrive pour obtenir les d\u00e9tails du serveur de commande et de contr\u00f4le (C&#038;C).<\/p>\n<p>&#8220;Les \u00e9chantillons Graphican observ\u00e9s n&#8217;avaient pas de serveur C&#038;C cod\u00e9 en dur, mais ils se connectaient \u00e0 OneDrive via l&#8217;API Microsoft Graph pour obtenir l&#8217;adresse chiffr\u00e9e du serveur C&#038;C \u00e0 partir d&#8217;un dossier enfant dans le dossier &#8220;Personne&#8221;&#8221;, a d\u00e9clar\u00e9 Symantec.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>&#8220;Le logiciel malveillant a ensuite d\u00e9cod\u00e9 le nom du dossier et l&#8217;a utilis\u00e9 comme serveur C&#038;C pour le logiciel malveillant.&#8221;<\/p>\n<p>Il convient de souligner que l&#8217;abus de l&#8217;API Microsoft Graph et de OneDrive a d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9 dans le cas d&#8217;acteurs mena\u00e7ants russes et chinois comme APT28 (alias Sofacy ou Swallowtail) et Bad Magic (alias Red Stinger). <\/p>\n<p>Graphican est \u00e9quip\u00e9 pour interroger le serveur C&#038;C pour de nouvelles commandes \u00e0 ex\u00e9cuter, y compris la cr\u00e9ation d&#8217;une ligne de commande interactive qui peut \u00eatre contr\u00f4l\u00e9e depuis le serveur, t\u00e9l\u00e9charger des fichiers sur l&#8217;h\u00f4te et configurer des processus secrets pour r\u00e9colter des donn\u00e9es d&#8217;int\u00e9r\u00eat.<\/p>\n<p>L&#8217;un des autres outils remarquables utilis\u00e9s dans l&#8217;activit\u00e9 comprend une version mise \u00e0 jour de la porte d\u00e9rob\u00e9e EWSTEW pour extraire les e-mails envoy\u00e9s et re\u00e7us sur les serveurs Microsoft Exchange pirat\u00e9s.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;une nouvelle porte d\u00e9rob\u00e9e par Flea montre que ce groupe, malgr\u00e9 ses longues ann\u00e9es de fonctionnement, continue \u00e0 d\u00e9velopper activement de nouveaux outils&#8221;, a d\u00e9clar\u00e9 Symantec.  &#8220;Le groupe a d\u00e9velopp\u00e9 plusieurs outils personnalis\u00e9s au fil des ans.&#8221;<\/p>\n<p>&#8220;Les similitudes de fonctionnalit\u00e9 entre Graphican et la porte d\u00e9rob\u00e9e Ketrican connue peuvent indiquer que le groupe n&#8217;est pas tr\u00e8s pr\u00e9occup\u00e9 par le fait qu&#8217;une activit\u00e9 lui soit attribu\u00e9e.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/chinese-hacker-group-flea-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 juin 2023\ue804Ravie LakshmananCybermenace \/ APT Les minist\u00e8res des Affaires \u00e9trang\u00e8res des Am\u00e9riques ont \u00e9t\u00e9 cibl\u00e9s par un acteur parrain\u00e9 par l&#8217;\u00c9tat chinois nomm\u00e9 Puce dans le cadre d&#8217;une r\u00e9cente campagne qui s&#8217;est d\u00e9roul\u00e9e de fin 2022 \u00e0 d\u00e9but 2023. Les cyberattaques, selon Symantec de Broadcom, impliquaient une nouvelle porte d\u00e9rob\u00e9e nomm\u00e9e Graphican. Certaines des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":794152,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1450,84,5663,7087,4168,4158,4165,4161,7084,20894,2880,681,6578,4157,4159,4171,4170,65,4167,54732,4160,4163,4162,2742,4172,4169,196,4166,4164],"class_list":["post-794151","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-americains","tag-avec","tag-chinois","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-flea","tag-graphique","tag-groupe","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-ministeres","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/794151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=794151"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/794151\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/794152"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=794151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=794151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=794151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}