{"id":827488,"date":"2023-07-12T18:42:37","date_gmt":"2023-07-12T20:42:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-deploient-un-rootkit-signe-microsoft-pour-cibler-le-secteur-des-jeux\/"},"modified":"2023-07-12T18:42:41","modified_gmt":"2023-07-12T20:42:41","slug":"des-pirates-chinois-deploient-un-rootkit-signe-microsoft-pour-cibler-le-secteur-des-jeux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-deploient-un-rootkit-signe-microsoft-pour-cibler-le-secteur-des-jeux\/","title":{"rendered":"Des pirates chinois d\u00e9ploient un rootkit sign\u00e9 Microsoft pour cibler le secteur des jeux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Cybermenace\/Jeu<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un nouveau rootkit sign\u00e9 par Microsoft qui est con\u00e7u pour communiquer avec une infrastructure d&#8217;attaque contr\u00f4l\u00e9e par des acteurs.<\/p>\n<p>Trend Micro a attribu\u00e9 le cluster d&#8217;activit\u00e9s au m\u00eame acteur qui avait \u00e9t\u00e9 pr\u00e9c\u00e9demment identifi\u00e9 comme \u00e9tant \u00e0 l&#8217;origine du rootkit FiveSys, qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 en octobre 2021.<\/p>\n<p>&#8220;Cet acteur malveillant est originaire de Chine et ses principales victimes sont le secteur du jeu en Chine&#8221;, ont d\u00e9clar\u00e9 Mahmoud Zohdy, Sherif Magdy et Mohamed Fahmy de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/g\/hunting-for-a-new-stealthy-universal-rootkit-loader.html\" target=\"_blank\">a dit<\/a>.  Leur logiciel malveillant semble \u00eatre pass\u00e9 par les laboratoires de qualit\u00e9 mat\u00e9rielle de Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/whql-test-signature-program\" target=\"_blank\">WHQL<\/a>) processus d&#8217;obtention d&#8217;une signature valide.<\/p>\n<p>Plusieurs variantes du rootkit couvrant huit clusters diff\u00e9rents ont \u00e9t\u00e9 d\u00e9couvertes, avec 75 pilotes de ce type sign\u00e9s \u00e0 l&#8217;aide du programme WHQL de Microsoft en 2022 et 2023.<\/p>\n<p>L&#8217;analyse par Trend Micro de certains des \u00e9chantillons a r\u00e9v\u00e9l\u00e9 la pr\u00e9sence de messages de d\u00e9bogage dans le code source, indiquant que l&#8217;op\u00e9ration est toujours en phase de d\u00e9veloppement et de test.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Dans les \u00e9tapes suivantes, le pilote de premi\u00e8re \u00e9tape d\u00e9sactive le contr\u00f4le de compte d&#8217;utilisateur (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/application-security\/application-control\/user-account-control\/how-it-works\" target=\"_blank\">UAC<\/a>) et <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/threat-protection\/security-policy-settings\/user-account-control-switch-to-the-secure-desktop-when-prompting-for-elevation\" target=\"_blank\">Mode bureau s\u00e9curis\u00e9<\/a> en \u00e9ditant le registre et initialise Winsock Kernel (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/network\/introduction-to-winsock-kernel\" target=\"_blank\">WSK<\/a>) objets pour initier la communication r\u00e9seau avec le serveur distant.<\/p>\n<p>Il interroge en outre p\u00e9riodiquement le serveur pour r\u00e9cup\u00e9rer plus de charges utiles et les charger directement dans la m\u00e9moire apr\u00e8s avoir d\u00e9cod\u00e9 et d\u00e9chiffr\u00e9 les donn\u00e9es re\u00e7ues, fonctionnant efficacement comme un chargeur de pilote de noyau furtif qui peut contourner les d\u00e9tections.<\/p>\n<p>&#8220;Le binaire principal agit comme un chargeur universel qui permet aux attaquants de charger directement un module de noyau non sign\u00e9 de deuxi\u00e8me \u00e9tape&#8221;, ont expliqu\u00e9 les chercheurs.  &#8220;Chaque plug-in de deuxi\u00e8me \u00e9tape est personnalis\u00e9 en fonction de la machine victime sur laquelle il est d\u00e9ploy\u00e9, certains contenant m\u00eame un pilote compil\u00e9 personnalis\u00e9 pour chaque machine. Chaque plug-in a un ensemble sp\u00e9cifique d&#8217;actions \u00e0 effectuer \u00e0 partir de l&#8217;espace noyau.&#8221;<\/p>\n<p>Les plug-ins, pour leur part, sont dot\u00e9s de diff\u00e9rentes capacit\u00e9s pour atteindre la persistance, d\u00e9sarmer Microsoft Defender Antivirus, d\u00e9ployer un proxy sur la machine et rediriger le trafic de navigation Web vers un serveur proxy distant.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689194557_718_Des-pirates-chinois-deploient-un-rootkit-signe-Microsoft-pour-cibler.jpg\" alt=\"Rootkit sign\u00e9 Microsoft\" border=\"0\" data-original-height=\"594\" data-original-width=\"728\" title=\"Rootkit sign\u00e9 Microsoft\"\/><\/div>\n<p>Tout comme FiveSys, les nouvelles d\u00e9tections de rootkits ont \u00e9t\u00e9 confin\u00e9es exclusivement \u00e0 la Chine.  L&#8217;un des points d&#8217;entr\u00e9e suspect\u00e9s de ces infections serait un jeu chinois contenant un cheval de Troie, refl\u00e9tant la d\u00e9couverte par Cisco Talos d&#8217;un pilote malveillant appel\u00e9 RedDriver.<\/p>\n<p>Les r\u00e9sultats concordent avec d&#8217;autres rapports de Cisco Talos et Sophos sur l&#8217;utilisation de pilotes en mode noyau malveillants sign\u00e9s par Microsoft pour les activit\u00e9s de post-exploitation, les acteurs de la menace parlant chinois utilisant des logiciels open source populaires au sein de la communaut\u00e9 de d\u00e9veloppement de triche de jeux vid\u00e9o pour contourner restrictions impos\u00e9es par le g\u00e9ant de la technologie.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>Pas moins de 133 pilotes malveillants sign\u00e9s avec des certificats num\u00e9riques l\u00e9gitimes ont \u00e9t\u00e9 d\u00e9couverts, dont 81 sont capables de mettre fin aux solutions antivirus sur les syst\u00e8mes des victimes.  Les pilotes restants sont des rootkits con\u00e7us pour surveiller secr\u00e8tement les donn\u00e9es sensibles envoy\u00e9es sur Internet.<\/p>\n<p>Le fait que ces pilotes soient sign\u00e9s par le programme de compatibilit\u00e9 mat\u00e9rielle de Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/design\/compatibility\/\" target=\"_blank\">WHCP<\/a>) signifie que les attaquants peuvent les installer sur des syst\u00e8mes pirat\u00e9s sans d\u00e9clencher d&#8217;alerte et proc\u00e9der \u00e0 des activit\u00e9s malveillantes pratiquement sans entrave.<\/p>\n<p>&#8220;Parce que les pilotes communiquent souvent avec le &#8216;c\u0153ur&#8217; du syst\u00e8me d&#8217;exploitation et se chargent avant les logiciels de s\u00e9curit\u00e9, lorsqu&#8217;ils sont abus\u00e9s, ils peuvent \u00eatre particuli\u00e8rement efficaces pour d\u00e9sactiver les protections de s\u00e9curit\u00e9, en particulier lorsqu&#8217;ils sont sign\u00e9s par une autorit\u00e9 de confiance&#8221;, a d\u00e9clar\u00e9 Christopher Budd, directeur des menaces. recherche chez Sophos X-Ops, a d\u00e9clar\u00e9.<\/p>\n<p>Microsoft, en r\u00e9ponse aux r\u00e9v\u00e9lations, a d\u00e9clar\u00e9 avoir mis en place des protections de blocage et suspendu les comptes des vendeurs des partenaires impliqu\u00e9s dans l&#8217;incident afin de prot\u00e9ger les utilisateurs contre les menaces futures.<\/p>\n<p>Au contraire, le d\u00e9veloppement brosse le tableau d&#8217;un vecteur d&#8217;attaque en \u00e9volution qui est activement utilis\u00e9 par des adversaires pour obtenir un acc\u00e8s privil\u00e9gi\u00e9 aux machines Windows et une d\u00e9tection de contournement par un logiciel de s\u00e9curit\u00e9.<\/p>\n<p>&#8220;Les acteurs malveillants continueront \u00e0 utiliser des rootkits pour cacher le code malveillant des outils de s\u00e9curit\u00e9, alt\u00e9rer les d\u00e9fenses et voler sous le radar pendant de longues p\u00e9riodes&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Ces rootkits seront largement utilis\u00e9s par des groupes sophistiqu\u00e9s qui ont \u00e0 la fois les comp\u00e9tences pour d\u00e9sosser les composants syst\u00e8me de bas niveau et les ressources n\u00e9cessaires pour d\u00e9velopper de tels outils.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/chinese-hackers-deploy-microsoft-signed.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 juil. 2023\ue804THNCybermenace\/Jeu Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un nouveau rootkit sign\u00e9 par Microsoft qui est con\u00e7u pour communiquer avec une infrastructure d&#8217;attaque contr\u00f4l\u00e9e par des acteurs. Trend Micro a attribu\u00e9 le cluster d&#8217;activit\u00e9s au m\u00eame acteur qui avait \u00e9t\u00e9 pr\u00e9c\u00e9demment identifi\u00e9 comme \u00e9tant \u00e0 l&#8217;origine du rootkit FiveSys, qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":827489,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5663,11338,4168,4158,4165,4161,16028,133,2583,4157,4159,4171,4170,4167,8362,4160,4163,4162,4394,185,30795,3205,4172,4169,872,4166,4164],"class_list":["post-827488","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chinois","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deploient","tag-des","tag-jeux","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-rootkit","tag-secteur","tag-securite-informatique","tag-securite-internet","tag-signe","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/827488","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=827488"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/827488\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/827489"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=827488"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=827488"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=827488"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}