{"id":836224,"date":"2023-07-18T13:04:46","date_gmt":"2023-07-18T15:04:46","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-entites-pakistanaises-ciblees-dans-une-attaque-sophistiquee-deployant-le-logiciel-malveillant-shadowpad\/"},"modified":"2023-07-18T13:04:50","modified_gmt":"2023-07-18T15:04:50","slug":"des-entites-pakistanaises-ciblees-dans-une-attaque-sophistiquee-deployant-le-logiciel-malveillant-shadowpad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-entites-pakistanaises-ciblees-dans-une-attaque-sophistiquee-deployant-le-logiciel-malveillant-shadowpad\/","title":{"rendered":"Des entit\u00e9s pakistanaises cibl\u00e9es dans une attaque sophistiqu\u00e9e d\u00e9ployant le logiciel malveillant ShadowPad"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Logiciels malveillants \/ cyberattaques<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un acteur malveillant non identifi\u00e9 a compromis une application utilis\u00e9e par plusieurs entit\u00e9s au Pakistan pour fournir ShadowPad, un successeur de la porte d\u00e9rob\u00e9e PlugX qui est g\u00e9n\u00e9ralement associ\u00e9e aux \u00e9quipes de piratage chinois.<\/p>\n<p>Selon Trend Micro, les cibles comprenaient une entit\u00e9 gouvernementale pakistanaise, une banque du secteur public et un fournisseur de t\u00e9l\u00e9communications.  Les infections ont eu lieu entre la mi-f\u00e9vrier 2022 et septembre 2022.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que l&#8217;incident pourrait \u00eatre le r\u00e9sultat d&#8217;une attaque de la cha\u00eene d&#8217;approvisionnement, dans laquelle un logiciel l\u00e9gitime utilis\u00e9 par des cibles d&#8217;int\u00e9r\u00eat est transform\u00e9 en cheval de Troie pour d\u00e9ployer des logiciels malveillants capables de collecter des informations sensibles \u00e0 partir de syst\u00e8mes compromis.<\/p>\n<p>La cha\u00eene d&#8217;attaque prend la forme d&#8217;un programme d&#8217;installation malveillant pour <a rel=\"nofollow noopener\" href=\"https:\/\/nitb.gov.pk\/NewsDetail\/M2VmNzI5ZTktNDgwYS00ZTk2LWIxNGUtNDI3ZTAxMTE2OWRk\" target=\"_blank\">Bureau \u00e9lectronique<\/a>une application d\u00e9velopp\u00e9e par le National Information Technology Board (NITB) du Pakistan pour aider les services gouvernementaux \u00e0 se passer du papier.<\/p>\n<p>Il n&#8217;est actuellement pas clair comment le programme d&#8217;installation d&#8217;E-Office d\u00e9rob\u00e9 a \u00e9t\u00e9 livr\u00e9 aux cibles.  Cela dit, rien ne prouve \u00e0 ce jour que l&#8217;environnement de construction de l&#8217;agence gouvernementale pakistanaise en question ait \u00e9t\u00e9 compromis.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Cela soul\u00e8ve la possibilit\u00e9 que l&#8217;auteur de la menace ait obtenu le programme d&#8217;installation l\u00e9gitime et l&#8217;ait falsifi\u00e9 pour inclure des logiciels malveillants, puis a ensuite incit\u00e9 les victimes \u00e0 ex\u00e9cuter la version cheval de Troie via des attaques d&#8217;ing\u00e9nierie sociale.<\/p>\n<p>&#8220;Trois fichiers ont \u00e9t\u00e9 ajout\u00e9s au programme d&#8217;installation MSI l\u00e9gitime\u00a0: Telerik.Windows.Data.Validation.dll, mscoree.dll et mscoree.dll.dat&#8221;, a d\u00e9clar\u00e9 Daniel Lunghi, chercheur chez Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/g\/supply-chain-attack-targeting-pakistani-government-delivers-shad.html\" target=\"_blank\">a dit<\/a> dans une analyse mise \u00e0 jour publi\u00e9e aujourd&#8217;hui. <\/p>\n<p>Telerik.Windows.Data.Validation.dll est un fichier applaunch.exe valide sign\u00e9 par Microsoft, qui est vuln\u00e9rable \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Chargement lat\u00e9ral de DLL<\/a> et est utilis\u00e9 pour charger mscoree.dll qui, \u00e0 son tour, charge mscoree.dll.dat, le <a rel=\"nofollow noopener\" href=\"https:\/\/www.pwc.co.uk\/issues\/cyber-security-services\/research\/chasing-shadows.html\" target=\"_blank\">Charge utile ShadowPad<\/a>.<\/p>\n<p>Trend Micro a d\u00e9clar\u00e9 que les techniques d&#8217;obscurcissement utilis\u00e9es pour dissimuler les DLL et les logiciels malveillants d\u00e9crypt\u00e9s en phase finale sont une \u00e9volution d&#8217;une approche pr\u00e9c\u00e9demment expos\u00e9e par Positive Technologies en janvier 2021 dans le cadre d&#8217;une campagne de cyberespionnage chinois men\u00e9e par le groupe Winnti (alias APT41).<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>Outre ShadowPad, les activit\u00e9s de post-exploitation ont impliqu\u00e9 l&#8217;utilisation de <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/cybersecurity-101\/mimikatz\/\" target=\"_blank\">Mimikatz<\/a> pour vider les mots de passe et les informations d&#8217;identification de la m\u00e9moire.<\/p>\n<p>L&#8217;attribution \u00e0 un acteur mena\u00e7ant connu a \u00e9t\u00e9 entrav\u00e9e par un manque de preuves, bien que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 ait d\u00e9clar\u00e9 avoir d\u00e9couvert des \u00e9chantillons de logiciels malveillants tels que Deed RAT, qui a \u00e9t\u00e9 attribu\u00e9 \u00e0 l&#8217;acteur mena\u00e7ant Space Pirates (ou Webworm).<\/p>\n<p>&#8220;Toute cette campagne est le r\u00e9sultat d&#8217;un acteur de menace tr\u00e8s comp\u00e9tent qui a r\u00e9ussi \u00e0 r\u00e9cup\u00e9rer et \u00e0 modifier le programme d&#8217;installation d&#8217;une application gouvernementale pour compromettre au moins trois cibles sensibles&#8221;, a d\u00e9clar\u00e9 Lunghi.<\/p>\n<p>&#8220;Le fait que l&#8217;acteur de la menace ait acc\u00e8s \u00e0 une version r\u00e9cente de ShadowPad le lie potentiellement au lien des acteurs de la menace chinois, bien que nous ne puissions pas d\u00e9signer un groupe particulier avec confiance.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/pakistani-entities-targeted-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 juil. 2023\ue804THNLogiciels malveillants \/ cyberattaques Un acteur malveillant non identifi\u00e9 a compromis une application utilis\u00e9e par plusieurs entit\u00e9s au Pakistan pour fournir ShadowPad, un successeur de la porte d\u00e9rob\u00e9e PlugX qui est g\u00e9n\u00e9ralement associ\u00e9e aux \u00e9quipes de piratage chinois. Selon Trend Micro, les cibles comprenaient une entit\u00e9 gouvernementale pakistanaise, une banque du secteur public [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":836225,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1933,46619,4168,4158,4165,4161,429,174530,133,32776,4157,4159,4171,4170,6816,4167,7733,4160,4163,4162,73697,4172,4169,83812,83809,196,4166,4164],"class_list":["post-836224","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaque","tag-ciblees","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-deployant","tag-des","tag-entites","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pakistanaises","tag-securite-informatique","tag-securite-internet","tag-shadowpad","tag-sophistiquee","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/836224","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=836224"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/836224\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/836225"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=836224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=836224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=836224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}