{"id":818152,"date":"2023-07-06T16:40:50","date_gmt":"2023-07-06T18:40:50","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-logiciels-malveillants-sophistiques-des-pirates-iraniens-ciblent-les-utilisateurs-de-windows-et-macos\/"},"modified":"2023-07-06T16:40:53","modified_gmt":"2023-07-06T18:40:53","slug":"les-logiciels-malveillants-sophistiques-des-pirates-iraniens-ciblent-les-utilisateurs-de-windows-et-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-logiciels-malveillants-sophistiques-des-pirates-iraniens-ciblent-les-utilisateurs-de-windows-et-macos\/","title":{"rendered":"Les logiciels malveillants sophistiqu\u00e9s des pirates iraniens ciblent les utilisateurs de Windows et macOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des points finaux \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur d&#8217;\u00c9tat-nation iranien connu sous le nom de TA453 a \u00e9t\u00e9 li\u00e9 \u00e0 un nouvel ensemble d&#8217;attaques de harponnage qui infectent les syst\u00e8mes d&#8217;exploitation Windows et macOS avec des logiciels malveillants.<\/p>\n<p>&#8220;TA453 a finalement utilis\u00e9 une vari\u00e9t\u00e9 de fournisseurs d&#8217;h\u00e9bergement cloud pour fournir une nouvelle cha\u00eene d&#8217;infection qui d\u00e9ploie la porte d\u00e9rob\u00e9e PowerShell nouvellement identifi\u00e9e GorjolEcho&#8221;, Proofpoint <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware\" target=\"_blank\">a dit<\/a> dans un nouveau rapport.<\/p>\n<p>\u00ab Lorsqu&#8217;on lui en a donn\u00e9 l&#8217;occasion, TA453 a port\u00e9 son logiciel malveillant et a tent\u00e9 de lancer une cha\u00eene d&#8217;infection \u00e0 saveur Apple baptis\u00e9e NokNok. TA453 a \u00e9galement utilis\u00e9 l&#8217;usurpation d&#8217;identit\u00e9 de plusieurs personnes dans sa qu\u00eate d&#8217;espionnage sans fin.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>TA453, \u00e9galement connu sous les noms APT35, Charming Kitten, Mint Sandstorm et Yellow Garuda, est un groupe mena\u00e7ant li\u00e9 au Corps des gardiens de la r\u00e9volution islamique (IRGC) iranien qui est actif depuis au moins 2011. Plus r\u00e9cemment, Volexity a soulign\u00e9 l&#8217;utilisation par l&#8217;adversaire d&#8217;une version mise \u00e0 jour d&#8217;un implant Powershell appel\u00e9 CharmPower (alias GhostEcho ou POWERSTAR).<\/p>\n<p>Dans la s\u00e9quence d&#8217;attaque d\u00e9couverte par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise \u00e0 la mi-mai 2023, l&#8217;\u00e9quipe de piratage a envoy\u00e9 des e-mails de phishing \u00e0 un expert en s\u00e9curit\u00e9 nucl\u00e9aire d&#8217;un groupe de r\u00e9flexion am\u00e9ricain ax\u00e9 sur les affaires \u00e9trang\u00e8res qui a fourni un lien malveillant vers une macro Google Script qui rediriger la cible vers une URL Dropbox h\u00e9bergeant une archive RAR.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1688668850_847_Les-logiciels-malveillants-sophistiques-des-pirates-iraniens-ciblent-les-utilisateurs.jpg\" alt=\"Logiciel malveillant Windows macOS\" border=\"0\" data-original-height=\"445\" data-original-width=\"728\" title=\"Logiciel malveillant Windows macOS\"\/><\/div>\n<p>Pr\u00e9sent dans le fichier se trouve un compte-gouttes LNK qui lance une proc\u00e9dure en plusieurs \u00e9tapes pour finalement d\u00e9ployer GorjolEcho, qui, \u00e0 son tour, affiche un document PDF leurre, tout en attendant secr\u00e8tement les charges utiles de la prochaine \u00e9tape \u00e0 partir d&#8217;un serveur distant.<\/p>\n<p>Mais en r\u00e9alisant que la cible utilise un ordinateur Apple, TA453 aurait modifi\u00e9 son mode op\u00e9ratoire pour envoyer un deuxi\u00e8me e-mail avec une archive ZIP incorporant un binaire Mach-O qui se fait passer pour une application VPN, mais en r\u00e9alit\u00e9, est un AppleScript qui contacte un serveur distant pour t\u00e9l\u00e9charger une porte d\u00e9rob\u00e9e bas\u00e9e sur un script Bash appel\u00e9e NokNok.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 Gestion des acc\u00e8s privil\u00e9gi\u00e9s\u00a0: apprenez \u00e0 relever les principaux d\u00e9fis<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">D\u00e9couvrez diff\u00e9rentes approches pour relever les d\u00e9fis de la gestion des comptes privil\u00e9gi\u00e9s (PAM) et am\u00e9liorer votre strat\u00e9gie de s\u00e9curit\u00e9 des acc\u00e8s privil\u00e9gi\u00e9s.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">R\u00e9servez votre place<\/a><\/section>\n<p>NokNok, pour sa part, r\u00e9cup\u00e8re jusqu&#8217;\u00e0 quatre modules capables de rassembler les processus en cours d&#8217;ex\u00e9cution, les applications install\u00e9es et les m\u00e9tadonn\u00e9es du syst\u00e8me, ainsi que de d\u00e9finir la persistance \u00e0 l&#8217;aide de LaunchAgents.<\/p>\n<p>Les modules &#8220;refl\u00e8tent la majorit\u00e9 des fonctionnalit\u00e9s&#8221; des modules associ\u00e9s \u00e0 CharmPower, NokNok partageant certains chevauchements de code source avec <a rel=\"nofollow noopener\" href=\"https:\/\/iranthreats.github.io\/resources\/macdownloader-macos-malware\/\" target=\"_blank\">logiciels malveillants macOS<\/a> pr\u00e9c\u00e9demment attribu\u00e9 au groupe en 2017.<\/p>\n<p>L&#8217;acteur utilise \u00e9galement un faux site Web de partage de fichiers qui fonctionne probablement pour prendre les empreintes digitales des visiteurs et agir comme un m\u00e9canisme pour suivre les victimes r\u00e9ussies.<\/p>\n<p>&#8220;TA453 continue d&#8217;adapter son arsenal de logiciels malveillants, en d\u00e9ployant de nouveaux types de fichiers et en ciblant de nouveaux syst\u00e8mes d&#8217;exploitation&#8221;, ont d\u00e9clar\u00e9 les chercheurs, ajoutant que l&#8217;acteur &#8220;continue de travailler vers ses m\u00eames objectifs finaux de reconnaissance intrusive et non autoris\u00e9e&#8221; tout en compliquant simultan\u00e9ment les efforts de d\u00e9tection.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/iranian-hackers-sophisticated-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 juil. 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 des points finaux \/ Logiciels malveillants L&#8217;acteur d&#8217;\u00c9tat-nation iranien connu sous le nom de TA453 a \u00e9t\u00e9 li\u00e9 \u00e0 un nouvel ensemble d&#8217;attaques de harponnage qui infectent les syst\u00e8mes d&#8217;exploitation Windows et macOS avec des logiciels malveillants. &#8220;TA453 a finalement utilis\u00e9 une vari\u00e9t\u00e9 de fournisseurs d&#8217;h\u00e9bergement cloud pour fournir une nouvelle [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":818153,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5863,4168,4158,4165,4161,133,10783,4157,4159,4171,4170,65,4167,4589,34503,4590,4160,4163,4162,4394,4172,4169,72430,7529,4166,4164,45020],"class_list":["post-818152","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-iraniens","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-macos","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-sophistiques","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/818152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=818152"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/818152\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/818153"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=818152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=818152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=818152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}