{"id":801585,"date":"2023-06-26T04:55:43","date_gmt":"2023-06-26T06:55:43","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-hackers-chinois-utilisent-des-tactiques-inedites-pour-attaquer-des-infrastructures-critiques\/"},"modified":"2023-06-26T04:55:46","modified_gmt":"2023-06-26T06:55:46","slug":"des-hackers-chinois-utilisent-des-tactiques-inedites-pour-attaquer-des-infrastructures-critiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-hackers-chinois-utilisent-des-tactiques-inedites-pour-attaquer-des-infrastructures-critiques\/","title":{"rendered":"Des hackers chinois utilisent des tactiques in\u00e9dites pour attaquer des infrastructures critiques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyber \u200b\u200bEspionnage \/ LotL<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>On a observ\u00e9 que l&#8217;acteur d&#8217;\u00c9tat-nation chinois r\u00e9cemment d\u00e9couvert connu sous le nom de Volt Typhoon \u00e9tait actif dans la nature depuis au moins la mi-2020, avec l&#8217;\u00e9quipe de piratage li\u00e9e \u00e0 des engins commerciaux in\u00e9dits pour conserver un acc\u00e8s \u00e0 distance aux cibles d&#8217;int\u00e9r\u00eat.<\/p>\n<p>Les r\u00e9sultats proviennent de CrowdStrike, qui suit l&#8217;adversaire sous le nom <strong>Panda de l&#8217;avant-garde<\/strong>.<\/p>\n<p>&#8220;L&#8217;adversaire a syst\u00e9matiquement utilis\u00e9 les exploits de ManageEngine Self-service Plus pour obtenir un acc\u00e8s initial, suivis de shells Web personnalis\u00e9s pour un acc\u00e8s persistant, et de techniques de vie hors de la terre (LotL) pour les mouvements lat\u00e9raux&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/falcon-complete-thwarts-vanguard-panda-tradecraft\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Volt Typhoon, connu sous le nom de Bronze Silhouette, est un groupe de cyberespionnage chinois qui a \u00e9t\u00e9 li\u00e9 \u00e0 des op\u00e9rations d&#8217;intrusion de r\u00e9seau contre le gouvernement am\u00e9ricain, la d\u00e9fense et d&#8217;autres organisations d&#8217;infrastructures critiques.<\/p>\n<p>Une analyse du modus operandi du groupe a r\u00e9v\u00e9l\u00e9 l&#8217;importance qu&#8217;il accorde \u00e0 la s\u00e9curit\u00e9 op\u00e9rationnelle, utilisant avec pr\u00e9caution un ensemble complet d&#8217;outils open source contre un nombre limit\u00e9 de victimes pour mener des actes malveillants \u00e0 long terme.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/La-nouvelle-souche-Linux-Ransomware-BlackSuit-presente-des-similitudes-frappantes.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il a en outre \u00e9t\u00e9 d\u00e9crit comme un groupe de menaces qui &#8220;favorise les shells Web pour la persistance et s&#8217;appuie sur de courtes p\u00e9riodes d&#8217;activit\u00e9 impliquant principalement des binaires vivant hors de la terre pour atteindre ses objectifs&#8221;.<\/p>\n<p>Lors d&#8217;un incident infructueux ciblant un client non sp\u00e9cifi\u00e9, l&#8217;acteur a cibl\u00e9 le service Zoho ManageEngine ADSelfService Plus ex\u00e9cut\u00e9 sur un serveur Apache Tomcat pour d\u00e9clencher l&#8217;ex\u00e9cution de commandes suspectes concernant l&#8217;\u00e9num\u00e9ration des processus et la connectivit\u00e9 r\u00e9seau, entre autres. <\/p>\n<p>&#8220;Les actions de Vanguard Panda ont indiqu\u00e9 une familiarit\u00e9 avec l&#8217;environnement cible, en raison de la succession rapide de leurs commandes, ainsi que des noms d&#8217;h\u00f4te et des adresses IP internes sp\u00e9cifiques \u00e0 ping, des partages distants \u00e0 monter et des informations d&#8217;identification en clair \u00e0 utiliser pour <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/wmisdk\/wmi-start-page\" target=\"_blank\">WMI<\/a>&#8220;, a d\u00e9clar\u00e9 CrowdStrike.<\/p>\n<p>Un examen plus approfondi des journaux d&#8217;acc\u00e8s Tomcat a mis au jour plusieurs requ\u00eates HTTP POST adress\u00e9es \u00e0 \/html\/promotion\/selfsdp.jspx, un shell Web camoufl\u00e9 en tant que solution de s\u00e9curit\u00e9 d&#8217;identit\u00e9 l\u00e9gitime pour contourner la d\u00e9tection.<\/p>\n<p>On pense que le shell Web a \u00e9t\u00e9 d\u00e9ploy\u00e9 pr\u00e8s de six mois avant l&#8217;activit\u00e9 pratique sur le clavier susmentionn\u00e9e, ce qui indique une reconnaissance pr\u00e9alable approfondie du r\u00e9seau cible.<\/p>\n<p>Bien qu&#8217;il ne soit pas imm\u00e9diatement clair comment Vanguard Panda a r\u00e9ussi \u00e0 violer l&#8217;environnement ManageEngine, tous les signes indiquent l&#8217;exploitation de CVE-2021-40539, une faille critique de contournement d&#8217;authentification avec l&#8217;ex\u00e9cution de code \u00e0 distance qui en r\u00e9sulte.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/memcyco-inside\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Des-hackers-chinois-utilisent-des-tactiques-inedites-pour-attaquer-des.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>On soup\u00e7onne que l&#8217;auteur de la menace a supprim\u00e9 des artefacts et falsifi\u00e9 les journaux d&#8217;acc\u00e8s \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/\" target=\"_blank\">obscurcir la piste m\u00e9dico-l\u00e9gale<\/a>.  Cependant, dans un faux pas flagrant, le processus n&#8217;a pas pris en compte la source Java et <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Java_class_file\" target=\"_blank\">fichiers de classe compil\u00e9s<\/a> qui ont \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9s au cours de l&#8217;attaque, conduisant \u00e0 la d\u00e9couverte de plus de shells Web et de portes d\u00e9rob\u00e9es.<\/p>\n<p>Cela inclut un fichier JSP qui est probablement r\u00e9cup\u00e9r\u00e9 \u00e0 partir d&#8217;un serveur externe et qui est con\u00e7u pour d\u00e9jouer &#8220;tomcat-websocket.jar&#8221; en utilisant un fichier JAR auxiliaire appel\u00e9 &#8220;tomcat-ant.jar&#8221; qui est \u00e9galement r\u00e9cup\u00e9r\u00e9 \u00e0 distance au moyen d&#8217;un site Web shell, apr\u00e8s quoi des actions de nettoyage sont effectu\u00e9es pour couvrir les pistes.<\/p>\n<p>La version trojanis\u00e9e de tomcat-websocket.jar est \u00e9quip\u00e9e de trois nouvelles classes Java &#8211; nomm\u00e9es A, B et C &#8211; avec A.class fonctionnant comme un autre shell Web capable de recevoir et d&#8217;ex\u00e9cuter des commandes cod\u00e9es en Base64 et crypt\u00e9es en AES.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;une biblioth\u00e8que Apache Tomcat avec porte d\u00e9rob\u00e9e est un TTP de persistance non divulgu\u00e9 pr\u00e9c\u00e9demment utilis\u00e9 par Vanguard Panda&#8221;, a d\u00e9clar\u00e9 CrowdStrike, notant avec une confiance mod\u00e9r\u00e9e que l&#8217;implant est utilis\u00e9 pour &#8220;permettre un acc\u00e8s persistant \u00e0 des cibles de grande valeur s\u00e9lectionn\u00e9es apr\u00e8s la phase d&#8217;acc\u00e8s initiale d&#8217;op\u00e9rations utilisant alors les vuln\u00e9rabilit\u00e9s zero-day.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/chinese-hackers-using-never-before-seen.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 juin 2023\ue804Ravie LakshmananCyber \u200b\u200bEspionnage \/ LotL On a observ\u00e9 que l&#8217;acteur d&#8217;\u00c9tat-nation chinois r\u00e9cemment d\u00e9couvert connu sous le nom de Volt Typhoon \u00e9tait actif dans la nature depuis au moins la mi-2020, avec l&#8217;\u00e9quipe de piratage li\u00e9e \u00e0 des engins commerciaux in\u00e9dits pour conserver un acc\u00e8s \u00e0 distance aux cibles d&#8217;int\u00e9r\u00eat. Les r\u00e9sultats proviennent [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":801586,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8626,5663,4168,5729,4158,4165,4161,133,6578,28533,6121,4157,4159,4171,4170,4167,4160,4163,4162,185,4172,4169,11977,10784,4166,4164],"class_list":["post-801585","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaquer","tag-chinois","tag-comment-pirater","tag-critiques","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-hackers","tag-inedites","tag-infrastructures","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-tactiques","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/801585","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=801585"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/801585\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/801586"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=801585"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=801585"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=801585"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}