{"id":796796,"date":"2023-06-22T21:37:30","date_gmt":"2023-06-22T23:37:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/camaro-dragon-hackers-strike-avec-un-logiciel-malveillant-auto-propagation-usb\/"},"modified":"2023-06-22T21:37:33","modified_gmt":"2023-06-22T23:37:33","slug":"camaro-dragon-hackers-strike-avec-un-logiciel-malveillant-auto-propagation-usb","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/camaro-dragon-hackers-strike-avec-un-logiciel-malveillant-auto-propagation-usb\/","title":{"rendered":"Camaro Dragon Hackers Strike avec un logiciel malveillant auto-propagation USB"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybermenace\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur chinois du cyberespionnage connu sous le nom de <strong>Dragon Camaro<\/strong> a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter une nouvelle souche de logiciels malveillants auto-propag\u00e9s qui se propagent via des cl\u00e9s USB compromises.<\/p>\n<p>&#8220;Alors que leur objectif principal \u00e9tait traditionnellement les pays d&#8217;Asie du Sud-Est, cette derni\u00e8re d\u00e9couverte r\u00e9v\u00e8le leur port\u00e9e mondiale et met en \u00e9vidence le r\u00f4le alarmant que jouent les cl\u00e9s USB dans la propagation des logiciels malveillants&#8221;, a d\u00e9clar\u00e9 Check Point dans un nouveau communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/beyond-the-horizon-traveling-the-world-on-camaro-dragons-usb-flash-drives\/\" target=\"_blank\">recherche<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, qui a trouv\u00e9 des preuves d&#8217;infections par des logiciels malveillants USB au Myanmar, en Cor\u00e9e du Sud, en Grande-Bretagne, en Inde et en Russie, a d\u00e9clar\u00e9 que les d\u00e9couvertes sont le r\u00e9sultat d&#8217;un cyberincident sur lequel elle a enqu\u00eat\u00e9 dans un h\u00f4pital europ\u00e9en anonyme au d\u00e9but de 2023.<\/p>\n<p>L&#8217;enqu\u00eate a r\u00e9v\u00e9l\u00e9 que l&#8217;entit\u00e9 n&#8217;\u00e9tait pas directement cibl\u00e9e par l&#8217;adversaire mais avait plut\u00f4t subi une br\u00e8che via la cl\u00e9 USB d&#8217;un employ\u00e9, qui a \u00e9t\u00e9 infect\u00e9e lorsqu&#8217;elle a \u00e9t\u00e9 branch\u00e9e sur l&#8217;ordinateur d&#8217;un coll\u00e8gue lors d&#8217;une conf\u00e9rence en Asie.<\/p>\n<p>&#8220;En cons\u00e9quence, \u00e0 son retour \u00e0 l&#8217;\u00e9tablissement de sant\u00e9 en Europe, l&#8217;employ\u00e9 a introduit par inadvertance la cl\u00e9 USB infect\u00e9e, ce qui a entra\u00een\u00e9 la propagation de l&#8217;infection aux syst\u00e8mes informatiques de l&#8217;h\u00f4pital&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1686048876_77_Alerte-Zero-Day-Google-publie-un-correctif-pour-la-nouvelle-vulnerabilite.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Camaro Dragon partage des similitudes tactiques avec celles des clusters d&#8217;activit\u00e9s suivis comme Mustang Panda et LuminousMoth, l&#8217;\u00e9quipe adverse \u00e9tant r\u00e9cemment li\u00e9e \u00e0 une porte d\u00e9rob\u00e9e bas\u00e9e sur Go appel\u00e9e TinyNote et \u00e0 un implant de micrologiciel de routeur malveillant nomm\u00e9 HorseShell.<\/p>\n<p>La derni\u00e8re cha\u00eene d&#8217;infection comprend un lanceur Delphi connu sous le nom de HopperTick qui se propage via des cl\u00e9s USB et sa charge utile principale appel\u00e9e WispRider, qui est responsable de l&#8217;infection des appareils lorsqu&#8217;ils sont connect\u00e9s \u00e0 une machine.<\/p>\n<p>&#8220;Lorsqu&#8217;une cl\u00e9 USB b\u00e9nigne est ins\u00e9r\u00e9e dans un ordinateur infect\u00e9, le logiciel malveillant d\u00e9tecte un nouveau p\u00e9riph\u00e9rique ins\u00e9r\u00e9 dans le PC et manipule ses fichiers, cr\u00e9ant plusieurs dossiers cach\u00e9s \u00e0 la racine de la cl\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Check Point.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687477050_593_Camaro-Dragon-Hackers-Strike-avec-un-logiciel-malveillant-auto-propagation-USB.jpg\" alt=\"Logiciels malveillants auto-propag\u00e9s\" border=\"0\" data-original-height=\"501\" data-original-width=\"728\" title=\"Logiciels malveillants auto-propag\u00e9s\"\/><\/div>\n<p>WispRider, en plus d&#8217;infecter l&#8217;h\u00f4te actuel si ce n&#8217;est d\u00e9j\u00e0 fait, est charg\u00e9 de communiquer avec un serveur distant, de compromettre tout p\u00e9riph\u00e9rique USB nouvellement connect\u00e9, d&#8217;ex\u00e9cuter des commandes arbitraires et d&#8217;effectuer des op\u00e9rations sur les fichiers.<\/p>\n<p>Certaines variantes de WispRider fonctionnent \u00e9galement comme une porte d\u00e9rob\u00e9e avec des capacit\u00e9s pour contourner une solution antivirus indon\u00e9sienne appel\u00e9e Smadav ainsi que pour recourir au chargement lat\u00e9ral de DLL en utilisant des composants de logiciels de s\u00e9curit\u00e9 comme G-DATA Total Security.<\/p>\n<p>Une autre charge utile post-exploitation livr\u00e9e avec WispRider est un module de voleur appel\u00e9 moniteur de disque (<a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/threatintel\/apt-treasure-trove-avast-suspects-chinese-apt-group-mustang-panda-is-collecting-data-from-burmese-government-agencies-and-opposition-groups\/\" target=\"_blank\">HPCustPartUI.dll<\/a>) qui organise les fichiers avec des extensions pr\u00e9d\u00e9finies (par exemple, docx, mp3, wav, m4a, wma, aac, cda et mid) pour l&#8217;exfiltration.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que des acteurs chinois de la menace sont observ\u00e9s en train de tirer parti des p\u00e9riph\u00e9riques USB comme vecteur d&#8217;infection pour atteindre des environnements bien au-del\u00e0 de la port\u00e9e des principaux int\u00e9r\u00eats de l&#8217;acteur de la menace.<\/p>\n<p>En novembre 2022, Mandiant, propri\u00e9t\u00e9 de Google, a attribu\u00e9 UNC4191, un acteur mena\u00e7ant avec un lien pr\u00e9sum\u00e9 avec la Chine, \u00e0 une s\u00e9rie d&#8217;attaques d&#8217;espionnage aux Philippines qui ont conduit \u00e0 la distribution de logiciels malveillants tels que MISTCLOAK, DARKDEW et BLUEHAZE.<\/p>\n<p>Un rapport ult\u00e9rieur de Trend Micro en mars 2023 a r\u00e9v\u00e9l\u00e9 des chevauchements entre UNC4191 et Mustang Panda, reliant ce dernier \u00e0 l&#8217;utilisation de MISTCLOAK et BLUEHAZE dans des campagnes de harponnage ciblant les pays d&#8217;Asie du Sud-Est.<\/p>\n<p>Ce d\u00e9veloppement est un signe que les acteurs de la menace modifient activement leurs outils, tactiques et proc\u00e9dures (TTP) pour contourner les solutions de s\u00e9curit\u00e9, tout en s&#8217;appuyant simultan\u00e9ment sur une vaste collection d&#8217;outils personnalis\u00e9s pour exfiltrer les donn\u00e9es sensibles des r\u00e9seaux victimes.<\/p>\n<p>&#8220;Le groupe Camaro Dragon APT continue d&#8217;utiliser des p\u00e9riph\u00e9riques USB comme m\u00e9thode pour infecter des syst\u00e8mes cibl\u00e9s, combinant efficacement cette technique avec d&#8217;autres tactiques \u00e9tablies&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/camaro-dragon-hackers-strike-with-usb.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 juin 2023\ue804Ravie LakshmananCybermenace\/malware L&#8217;acteur chinois du cyberespionnage connu sous le nom de Dragon Camaro a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter une nouvelle souche de logiciels malveillants auto-propag\u00e9s qui se propagent via des cl\u00e9s USB compromises. &#8220;Alors que leur objectif principal \u00e9tait traditionnellement les pays d&#8217;Asie du Sud-Est, cette derni\u00e8re d\u00e9couverte r\u00e9v\u00e8le leur port\u00e9e mondiale [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":796797,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[169988,84,166000,4168,4158,4165,4161,39619,6578,4157,4159,4171,4170,6816,4167,7733,4160,4163,4162,4172,4169,8544,78790,4166,4164],"class_list":["post-796796","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-autopropagation","tag-avec","tag-camaro","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dragon","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-strike","tag-usb","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/796796","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=796796"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/796796\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/796797"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=796796"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=796796"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=796796"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}