{"id":813076,"date":"2023-07-03T14:18:48","date_gmt":"2023-07-03T16:18:48","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-hackers-chinois-utilisent-la-contrebande-html-pour-infiltrer-les-ministeres-europeens-avec-plugx\/"},"modified":"2023-07-03T14:18:51","modified_gmt":"2023-07-03T16:18:51","slug":"des-hackers-chinois-utilisent-la-contrebande-html-pour-infiltrer-les-ministeres-europeens-avec-plugx","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-hackers-chinois-utilisent-la-contrebande-html-pour-infiltrer-les-ministeres-europeens-avec-plugx\/","title":{"rendered":"Des hackers chinois utilisent la contrebande HTML pour infiltrer les minist\u00e8res europ\u00e9ens avec PlugX"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>03 juil. 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Attaque de logiciels malveillants\/Cyberespionnage<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Un groupe d’\u00c9tats-nations chinois a \u00e9t\u00e9 observ\u00e9 ciblant les minist\u00e8res des Affaires \u00e9trang\u00e8res et les ambassades en Europe en utilisant des techniques de contrebande HTML pour livrer le cheval de Troie d’acc\u00e8s \u00e0 distance PlugX sur des syst\u00e8mes compromis.<\/p>\n

La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Check Point a d\u00e9clar\u00e9 que l’activit\u00e9, surnomm\u00e9e SmugX<\/strong>est en cours depuis au moins d\u00e9cembre 2022.<\/p>\n

“La campagne utilise de nouvelles m\u00e9thodes de diffusion pour d\u00e9ployer (notamment le HTML Smuggling) une nouvelle variante de PlugX, un implant couramment associ\u00e9 \u00e0 une grande vari\u00e9t\u00e9 d’acteurs mena\u00e7ants chinois”, Check Point a dit<\/a>.<\/p>\n

“Bien que la charge utile elle-m\u00eame reste similaire \u00e0 celle trouv\u00e9e dans les anciennes variantes de PlugX, ses m\u00e9thodes de livraison entra\u00eenent de faibles taux de d\u00e9tection, ce qui, jusqu’\u00e0 r\u00e9cemment, aidait la campagne \u00e0 passer sous le radar.”<\/p>\n

L’identit\u00e9 exacte de l’acteur de la menace derri\u00e8re l’op\u00e9ration est un peu floue, bien que les indices existants pointent vers Mustang Panda, qui partage \u00e9galement des chevauchements avec des clusters suivis comme Earth Preta, RedDelta et la propre d\u00e9signation de Check Point, Camaro Dragon.<\/p>\n

Cependant, la soci\u00e9t\u00e9 a d\u00e9clar\u00e9 qu’il n’y avait “pas suffisamment de preuves” \u00e0 ce stade pour l’attribuer de mani\u00e8re concluante au collectif contradictoire.<\/p>\n

\"Contrebande<\/div>\n

La derni\u00e8re s\u00e9quence d’attaque est significative pour l’utilisation de Contrebande HTML<\/a> \u2013 une technique furtive dans laquelle les fonctionnalit\u00e9s HTML5 et JavaScript l\u00e9gitimes sont utilis\u00e9es \u00e0 mauvais escient pour assembler et lancer le logiciel malveillant \u2013 dans les documents leurres joints aux e-mails de harponnage.<\/p>\n

“La contrebande HTML utilise des attributs HTML5 qui peuvent fonctionner hors ligne en stockant un binaire dans un bloc de donn\u00e9es immuable dans le code JavaScript”, Trustwave indiqu\u00e9<\/a> plus t\u00f4t en f\u00e9vrier. “Le blob de donn\u00e9es, ou la charge utile int\u00e9gr\u00e9e, est d\u00e9cod\u00e9 en un objet fichier lorsqu’il est ouvert via un navigateur Web.”<\/p>\n

Une analyse des documents, qui ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s dans la base de donn\u00e9es de logiciels malveillants VirusTotal, r\u00e9v\u00e8le qu’ils sont con\u00e7us pour cibler des diplomates et des entit\u00e9s gouvernementales en Tch\u00e9quie, en Hongrie, en Slovaquie, au Royaume-Uni, en Ukraine et probablement aussi en France et en Su\u00e8de.<\/p>\n

\"La<\/a><\/center><\/div>\n

Dans un cas, l’auteur de la menace aurait utilis\u00e9 un leurre sur le th\u00e8me ou\u00efghour (“La Chine essaie de bloquer un haut-parleur ou\u00efghour pro\u00e9minent \u00e0 l’ONU.docx”) qui, une fois ouvert, se dirige vers un serveur externe au moyen d’un syst\u00e8me de suivi int\u00e9gr\u00e9 et invisible. pixel pour exfiltrer les donn\u00e9es de reconnaissance.<\/p>\n

Le processus d’infection en plusieurs \u00e9tapes utilise des m\u00e9thodes de chargement lat\u00e9ral de DLL pour d\u00e9chiffrer et lancer la charge utile finale, PlugX.<\/p>\n

Aussi appel\u00e9 Korplug, le malware remonte \u00e0 2008 et est un cheval de Troie modulaire capable d’accueillir “divers plugins avec des fonctionnalit\u00e9s distinctes” qui permettent aux op\u00e9rateurs d’effectuer des vols de fichiers, des captures d’\u00e9cran, l’enregistrement des frappes et l’ex\u00e9cution de commandes.<\/p>\n

“Au cours de notre enqu\u00eate sur les \u00e9chantillons, l’acteur de la menace a envoy\u00e9 un script batch, envoy\u00e9 depuis le serveur C&C, destin\u00e9 \u00e0 effacer toute trace de leurs activit\u00e9s”, a d\u00e9clar\u00e9 Check Point.<\/p>\n

“Ce script, nomm\u00e9 del_RoboTask Update.bat, \u00e9radique l’ex\u00e9cutable l\u00e9gitime, la DLL du chargeur PlugX et la cl\u00e9 de registre impl\u00e9ment\u00e9e pour la persistance, et finit par se supprimer. Il est probable que cela soit d\u00fb au fait que les acteurs de la menace ont pris conscience qu’ils \u00e9taient sous surveillance. .”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n