{"id":836607,"date":"2023-07-18T18:10:50","date_gmt":"2023-07-18T20:10:50","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-fin8-utilise-une-porte-derobee-sardonic-modifiee-pour-les-attaques-de-blackcat-ransomware\/"},"modified":"2023-07-18T18:10:54","modified_gmt":"2023-07-18T20:10:54","slug":"le-groupe-fin8-utilise-une-porte-derobee-sardonic-modifiee-pour-les-attaques-de-blackcat-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-fin8-utilise-une-porte-derobee-sardonic-modifiee-pour-les-attaques-de-blackcat-ransomware\/","title":{"rendered":"Le groupe FIN8 utilise une porte d\u00e9rob\u00e9e Sardonic modifi\u00e9e pour les attaques de BlackCat Ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Ran\u00e7ongiciel\/Cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur mena\u00e7ant \u00e0 motivation financi\u00e8re connu sous le nom de FIN8 a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser une version &#8220;remani\u00e9e&#8221; d&#8217;une porte d\u00e9rob\u00e9e appel\u00e9e <strong>Sardonique<\/strong> pour livrer le ran\u00e7ongiciel BlackCat.<\/p>\n<p>Selon l&#8217;\u00e9quipe Symantec Threat Hunter, qui fait partie de Broadcom, le d\u00e9veloppement est une tentative de la part du groupe de cybercriminalit\u00e9 de diversifier ses objectifs et de maximiser les profits des entit\u00e9s infect\u00e9es.  La tentative d&#8217;intrusion a eu lieu en d\u00e9cembre 2022.<\/p>\n<p>FIN8 est suivi par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 sous le nom de Syssphinx.  Connu pour \u00eatre actif depuis au moins 2016, l&#8217;adversaire \u00e9tait \u00e0 l&#8217;origine attribu\u00e9 \u00e0 des attaques ciblant les syst\u00e8mes de points de vente (PoS) utilisant des logiciels malveillants tels que PUNCHTRACK et BADHATCH.<\/p>\n<p>Le groupe a refait surface apr\u00e8s plus d&#8217;un an en mars 2021 avec une version mise \u00e0 jour de BADHATCH, suivie d&#8217;un tout nouvel implant sur mesure appel\u00e9 Sardonic, qui a \u00e9t\u00e9 divulgu\u00e9 par Bitdefender en ao\u00fbt 2021.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>&#8220;La porte d\u00e9rob\u00e9e Sardonic bas\u00e9e sur C++ a la capacit\u00e9 de collecter des informations syst\u00e8me et d&#8217;ex\u00e9cuter des commandes, et dispose d&#8217;un syst\u00e8me de plug-in con\u00e7u pour charger et ex\u00e9cuter des charges utiles de logiciels malveillants suppl\u00e9mentaires fournies sous forme de DLL&#8221;, a d\u00e9clar\u00e9 Symantec. <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/Syssphinx-FIN8-backdoor\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Contrairement \u00e0 la variante pr\u00e9c\u00e9dente, qui a \u00e9t\u00e9 con\u00e7ue en C ++, la derni\u00e8re it\u00e9ration contient des modifications importantes, la plupart du code source \u00e9tant r\u00e9\u00e9crit en C et modifi\u00e9 de mani\u00e8re \u00e0 \u00e9viter d\u00e9lib\u00e9r\u00e9ment les similitudes.<\/p>\n<p>Dans l&#8217;incident analys\u00e9 par Symantec, Sardonic est int\u00e9gr\u00e9 dans un script PowerShell qui a \u00e9t\u00e9 d\u00e9ploy\u00e9 dans le syst\u00e8me cibl\u00e9 apr\u00e8s avoir obtenu l&#8217;acc\u00e8s initial.  Le script est con\u00e7u pour lancer un chargeur .NET, qui d\u00e9crypte et ex\u00e9cute ensuite un module d&#8217;injection pour finalement ex\u00e9cuter l&#8217;implant.<\/p>\n<p>&#8220;Le but de l&#8217;injecteur est de d\u00e9marrer la porte d\u00e9rob\u00e9e dans un processus WmiPrvSE.exe nouvellement cr\u00e9\u00e9&#8221;, a expliqu\u00e9 Symantec.  \u00ab Lors de la cr\u00e9ation du <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/wmisdk\/wmi-start-page\" target=\"_blank\">Processus WmiPrvSE.exe<\/a>l&#8217;injecteur tente de le d\u00e9marrer en session-0 (meilleur effort) \u00e0 l&#8217;aide d&#8217;un jeton vol\u00e9 au processus lsass.exe.&#8221;<\/p>\n<p>Sardonic, en plus de prendre en charge jusqu&#8217;\u00e0 10 sessions interactives sur l&#8217;h\u00f4te infect\u00e9 pour que l&#8217;acteur de la menace ex\u00e9cute des commandes malveillantes, prend en charge trois formats de plug-in diff\u00e9rents pour ex\u00e9cuter des DLL et des shellcodes suppl\u00e9mentaires.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>Certaines des autres fonctionnalit\u00e9s de la porte d\u00e9rob\u00e9e incluent la possibilit\u00e9 de d\u00e9poser des fichiers arbitraires et d&#8217;exfiltrer le contenu des fichiers de la machine compromise vers une infrastructure contr\u00f4l\u00e9e par l&#8217;acteur.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que FIN8 est d\u00e9tect\u00e9 en utilisant Sardonic dans le cadre d&#8217;une attaque de ransomware.  En janvier 2022, Lodestone et Trend Micro ont d\u00e9couvert l&#8217;utilisation par FIN8 du ran\u00e7ongiciel White Rabbit, qui, en soi, est bas\u00e9 sur Sardonic.<\/p>\n<p>&#8220;Syssphinx continue de d\u00e9velopper et d&#8217;am\u00e9liorer ses capacit\u00e9s et son infrastructure de diffusion de logiciels malveillants, affinant p\u00e9riodiquement ses outils et ses tactiques pour \u00e9viter la d\u00e9tection&#8221;, a d\u00e9clar\u00e9 Symantec.<\/p>\n<p>&#8220;La d\u00e9cision du groupe de passer des attaques aux points de vente au d\u00e9ploiement de ransomwares d\u00e9montre l&#8217;engagement des acteurs de la menace \u00e0 maximiser les profits des organisations victimes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/fin8-group-using-modified-sardonic.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 juil. 2023\ue804THNRan\u00e7ongiciel\/Cybermenace L&#8217;acteur mena\u00e7ant \u00e0 motivation financi\u00e8re connu sous le nom de FIN8 a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser une version &#8220;remani\u00e9e&#8221; d&#8217;une porte d\u00e9rob\u00e9e appel\u00e9e Sardonique pour livrer le ran\u00e7ongiciel BlackCat. Selon l&#8217;\u00e9quipe Symantec Threat Hunter, qui fait partie de Broadcom, le d\u00e9veloppement est une tentative de la part du groupe de cybercriminalit\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":836608,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,30550,4168,4158,4165,4161,7084,174571,681,4157,4159,4171,4170,65,4167,4160,19140,4163,4162,2742,185,4392,174572,4172,4169,196,1282,4166,4164],"class_list":["post-836607","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-blackcat","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-fin8","tag-groupe","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-modifiee","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-pour","tag-ransomware","tag-sardonic","tag-securite-informatique","tag-securite-internet","tag-une","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/836607","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=836607"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/836607\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/836608"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=836607"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=836607"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=836607"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}