{"id":794549,"date":"2023-06-21T14:56:33","date_gmt":"2023-06-21T16:56:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-de-scarcruft-exploitent-le-service-ably-pour-des-attaques-furtives-decoutes-telephoniques\/"},"modified":"2023-06-21T14:56:36","modified_gmt":"2023-06-21T16:56:36","slug":"les-pirates-de-scarcruft-exploitent-le-service-ably-pour-des-attaques-furtives-decoutes-telephoniques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-de-scarcruft-exploitent-le-service-ably-pour-des-attaques-furtives-decoutes-telephoniques\/","title":{"rendered":"Les pirates de ScarCruft exploitent le service Ably pour des attaques furtives d&#8217;\u00e9coutes t\u00e9l\u00e9phoniques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybermenace \/ Confidentialit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur nord-cor\u00e9en connu sous le nom de ScarCruft a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un logiciel malveillant voleur d&#8217;informations avec des fonctionnalit\u00e9s d&#8217;\u00e9coute \u00e9lectronique non document\u00e9es ainsi qu&#8217;une porte d\u00e9rob\u00e9e d\u00e9velopp\u00e9e \u00e0 l&#8217;aide de Golang qui exploite le service de messagerie en temps r\u00e9el Ably.<\/p>\n<p>&#8220;L&#8217;acteur de la menace a envoy\u00e9 ses commandes via la porte d\u00e9rob\u00e9e Golang qui utilise le service Ably&#8221;, a d\u00e9clar\u00e9 le centre d&#8217;intervention d&#8217;urgence de s\u00e9curit\u00e9 AhnLab (ASEC). <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/54349\/\" target=\"_blank\">a dit<\/a> dans un rapport technique.  &#8220;La valeur de la cl\u00e9 API requise pour la communication des commandes a \u00e9t\u00e9 enregistr\u00e9e dans un r\u00e9f\u00e9rentiel GitHub.&#8221;<\/p>\n<p>ScarCruft est une organisation parrain\u00e9e par l&#8217;\u00c9tat ayant des liens avec le minist\u00e8re de la S\u00e9curit\u00e9 d&#8217;\u00c9tat (MSS) de la Cor\u00e9e du Nord.  Il est connu pour \u00eatre actif depuis au moins 2012.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgJAjUQq6Q-jnCUYYsXW9S62xJXyCmVlxF__fI5R0hdBdqBD6x-3aAoH7eBcc_FJ1C5b7gUMEbhDvqoDNQli6GCY7zdtiROqBsEwJdQK0GJsddjJY20zaFbXObbbtlW838TLd_DI5fQQ-ug4-jw3mfW8-n6MUytcojduvyOtnjbOxtv7BM36WV4bPSbLQ\/s728-e200\/netspi-728-2.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les cha\u00eenes d&#8217;attaque mont\u00e9es par le groupe impliquent l&#8217;utilisation de leurres de harponnage pour fournir RokRAT, bien qu&#8217;il ait exploit\u00e9 un large \u00e9ventail d&#8217;autres outils personnalis\u00e9s pour r\u00e9colter des informations sensibles.<\/p>\n<p>Dans la derni\u00e8re intrusion d\u00e9tect\u00e9e par l&#8217;ASEC, l&#8217;e-mail contient un fichier Microsoft Compiled HTML Help (.CHM) &#8211; une tactique signal\u00e9e pour la premi\u00e8re fois en mars 2023 &#8211; qui, lorsqu&#8217;il est cliqu\u00e9, contacte un serveur distant pour t\u00e9l\u00e9charger un malware PowerShell connu sous le nom de Chinotto .<\/p>\n<p>Chinotto, en plus d&#8217;\u00eatre responsable de la mise en place de la persistance, de la r\u00e9cup\u00e9ration de charges utiles suppl\u00e9mentaires, y compris une porte d\u00e9rob\u00e9e nomm\u00e9e AblyGo (alias SidLevel par Kaspersky) qui abuse de l&#8217;Ably pour le commandement et le contr\u00f4le.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-pirates-de-ScarCruft-exploitent-le-service-Ably-pour-des.png\" alt=\"\" border=\"0\" data-original-height=\"336\" data-original-width=\"1256\"\/><\/div>\n<p>Cela ne s&#8217;arr\u00eate pas l\u00e0, car AblyGo est utilis\u00e9 comme un conduit pour finalement ex\u00e9cuter un malware voleur d&#8217;informations appel\u00e9 FadeStealer qui est livr\u00e9 avec diverses fonctionnalit\u00e9s pour prendre des captures d&#8217;\u00e9cran, collecter des donn\u00e9es \u00e0 partir de supports amovibles et de smartphones, enregistrer les frappes au clavier et enregistrer le microphone.<\/p>\n<p>&#8220;Le groupe RedEyes m\u00e8ne des attaques contre des individus sp\u00e9cifiques tels que des transfuges nord-cor\u00e9ens, des militants des droits de l&#8217;homme et des professeurs d&#8217;universit\u00e9&#8221;, a d\u00e9clar\u00e9 l&#8217;ASEC.  &#8220;Leur objectif principal est le vol d&#8217;informations.&#8221;<\/p>\n<p>&#8220;L&#8217;\u00e9coute clandestine non autoris\u00e9e d&#8217;individus en Cor\u00e9e du Sud est consid\u00e9r\u00e9e comme une violation de la vie priv\u00e9e et est strictement r\u00e9glement\u00e9e par les lois en vigueur. Malgr\u00e9 cela, l&#8217;acteur mena\u00e7ant a surveill\u00e9 tout ce que les victimes faisaient sur leur PC et a m\u00eame proc\u00e9d\u00e9 \u00e0 des \u00e9coutes t\u00e9l\u00e9phoniques.&#8221;<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>Les fichiers CHM ont \u00e9galement \u00e9t\u00e9 utilis\u00e9s par d&#8217;autres groupes affili\u00e9s \u00e0 la Cor\u00e9e du Nord tels que Kimsuky, avec SentinelOne divulguant une campagne r\u00e9cente tirant parti du format de fichier pour fournir un outil de reconnaissance appel\u00e9 RandomQuery.<\/p>\n<p>Dans un <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/54678\/\" target=\"_blank\">nouvelle s\u00e9rie d&#8217;attaques<\/a> rep\u00e9r\u00e9s par l&#8217;ASEC, les fichiers CHM sont configur\u00e9s pour d\u00e9poser un fichier BAT, qui est ensuite utilis\u00e9 pour t\u00e9l\u00e9charger les logiciels malveillants de la prochaine \u00e9tape et exfiltrer les informations utilisateur de l&#8217;h\u00f4te compromis.<\/p>\n<p>Selon un avis des agences de renseignement am\u00e9ricaines et sud-cor\u00e9ennes, le harponnage, qui est la technique d&#8217;acc\u00e8s initiale pr\u00e9f\u00e9r\u00e9e de Kimsuky depuis plus d&#8217;une d\u00e9cennie, est g\u00e9n\u00e9ralement pr\u00e9c\u00e9d\u00e9 de recherches approfondies et d&#8217;une pr\u00e9paration m\u00e9ticuleuse.<\/p>\n<p>Les conclusions suivent \u00e9galement les recommandations du groupe Lazarus <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/54195\/\" target=\"_blank\">exploitation active<\/a> des failles de s\u00e9curit\u00e9 dans les logiciels tels que <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/50910\/\" target=\"_blank\">INISAFE CrossWeb EX<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/50606\/\" target=\"_blank\">MagicLine4NX<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/50213\/\" target=\"_blank\">TCO!Stream<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/50205\/\" target=\"_blank\">VestCert<\/a> qui sont largement utilis\u00e9s en Cor\u00e9e du Sud pour violer les entreprises et d\u00e9ployer des logiciels malveillants.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/scarcruft-hackers-exploit-ably-service.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 juin 2023\ue804Ravie LakshmananCybermenace \/ Confidentialit\u00e9 L&#8217;acteur nord-cor\u00e9en connu sous le nom de ScarCruft a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un logiciel malveillant voleur d&#8217;informations avec des fonctionnalit\u00e9s d&#8217;\u00e9coute \u00e9lectronique non document\u00e9es ainsi qu&#8217;une porte d\u00e9rob\u00e9e d\u00e9velopp\u00e9e \u00e0 l&#8217;aide de Golang qui exploite le service de messagerie en temps r\u00e9el Ably. &#8220;L&#8217;acteur de la menace [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":794550,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[169739,8074,4168,4158,4165,4161,51224,133,8736,103005,4157,4159,4171,4170,65,4167,4160,4163,4162,4394,185,130502,4172,4169,2314,21854,4166,4164],"class_list":["post-794549","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ably","tag-attaques","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decoutes","tag-des","tag-exploitent","tag-furtives","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-scarcruft","tag-securite-informatique","tag-securite-internet","tag-service","tag-telephoniques","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/794549","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=794549"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/794549\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/794550"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=794549"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=794549"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=794549"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}