{"id":837616,"date":"2023-07-19T09:30:42","date_gmt":"2023-07-19T11:30:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-apt41-chinois-ciblent-les-appareils-mobiles-avec-les-nouveaux-logiciels-espions-wyrmspy-et-dragonegg\/"},"modified":"2023-07-19T09:30:45","modified_gmt":"2023-07-19T11:30:45","slug":"les-pirates-apt41-chinois-ciblent-les-appareils-mobiles-avec-les-nouveaux-logiciels-espions-wyrmspy-et-dragonegg","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-apt41-chinois-ciblent-les-appareils-mobiles-avec-les-nouveaux-logiciels-espions-wyrmspy-et-dragonegg\/","title":{"rendered":"Les pirates APT41 chinois ciblent les appareils mobiles avec les nouveaux logiciels espions WyrmSpy et DragonEgg"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Logiciels espions\/s\u00e9curit\u00e9 mobile<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur prolifique d&#8217;\u00c9tat-nation li\u00e9 \u00e0 la Chine connu sous le nom d&#8217;APT41 a \u00e9t\u00e9 li\u00e9 \u00e0 deux souches de logiciels espions Android auparavant non document\u00e9es appel\u00e9es WyrmSpy et DragonEgg.<\/p>\n<p>\u00ab Connu pour son exploitation des applications Web et l&#8217;infiltration des terminaux traditionnels, un acteur de menace \u00e9tabli comme APT 41, y compris le mobile dans son arsenal de logiciels malveillants, montre \u00e0 quel point les terminaux mobiles sont des cibles de grande valeur avec des donn\u00e9es d&#8217;entreprise et personnelles convoit\u00e9es \u00bb, Lookout <a rel=\"nofollow noopener\" href=\"https:\/\/www.lookout.com\/threat-intelligence\/article\/wyrmspy-dragonegg-surveillanceware-apt41\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>APT41, \u00e9galement suivi sous les noms Axiom, Blackfly, Brass Typhoon (anciennement Barium), Bronze Atlas, HOODOO, Wicked Panda et Winnti, est connu pour \u00eatre op\u00e9rationnel depuis au moins 2007, ciblant un large \u00e9ventail d&#8217;industries pour mener des vols de propri\u00e9t\u00e9 intellectuelle. .<\/p>\n<p>Les attaques r\u00e9centes mont\u00e9es par le collectif contradictoire ont tir\u00e9 parti d&#8217;un outil d&#8217;\u00e9quipe rouge open source connu sous le nom de Google Command and Control (GC2) dans le cadre d&#8217;attaques visant les m\u00e9dias et les plateformes d&#8217;emploi \u00e0 Ta\u00efwan et en Italie.<\/p>\n<p>Le vecteur d&#8217;intrusion initial de la campagne de surveillanceware mobile n&#8217;est pas connu, bien qu&#8217;il soit soup\u00e7onn\u00e9 d&#8217;avoir impliqu\u00e9 l&#8217;utilisation de l&#8217;ing\u00e9nierie sociale.  Lookout a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 pour la premi\u00e8re fois WyrmSpy d\u00e8s 2017 et DragonEgg au d\u00e9but de 2021, avec de nouveaux \u00e9chantillons de ce dernier rep\u00e9r\u00e9s aussi r\u00e9cemment qu&#8217;en avril 2023.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>WyrmSpy se fait principalement passer pour une application syst\u00e8me par d\u00e9faut utilis\u00e9e pour afficher des notifications \u00e0 l&#8217;utilisateur.  Cependant, des variantes ult\u00e9rieures ont int\u00e9gr\u00e9 le logiciel malveillant dans des applications se faisant passer pour du contenu vid\u00e9o pour adultes, Baidu Waimai et Adobe Flash.  D&#8217;autre part, DragonEgg a \u00e9t\u00e9 distribu\u00e9 sous la forme de claviers Android tiers et d&#8217;applications de messagerie comme Telegram.<\/p>\n<p>Il n&#8217;y a aucune preuve que ces applications malveillantes ont \u00e9t\u00e9 distribu\u00e9es via le Google Play Store.<\/p>\n<p>Les connexions de WyrmSpy et DragonEgg \u00e0 APT41 r\u00e9sultent de l&#8217;utilisation d&#8217;une commande et d&#8217;un serveur (C2) avec l&#8217;adresse IP 121.42.149[.]52, qui se r\u00e9sout en un domaine (&#8220;vpn2.umisen[.]com&#8221;) pr\u00e9c\u00e9demment identifi\u00e9 comme associ\u00e9 \u00e0 l&#8217;infrastructure du groupe.<\/p>\n<p>Une fois install\u00e9es, les deux souches de logiciels malveillants demandent des autorisations intrusives et sont \u00e9quip\u00e9es de capacit\u00e9s sophistiqu\u00e9es de collecte et d&#8217;exfiltration de donn\u00e9es, r\u00e9coltant les photos, les emplacements, les messages SMS et les enregistrements audio des utilisateurs.<\/p>\n<p>Le logiciel malveillant a \u00e9galement \u00e9t\u00e9 observ\u00e9 en s&#8217;appuyant sur des modules qui sont t\u00e9l\u00e9charg\u00e9s \u00e0 partir d&#8217;un serveur C2 d\u00e9sormais hors ligne apr\u00e8s l&#8217;installation de l&#8217;application pour faciliter la collecte de donn\u00e9es, tout en \u00e9vitant simultan\u00e9ment la d\u00e9tection.<\/p>\n<p>WyrmSpy, pour sa part, est capable de d\u00e9sactiver Security-Enhanced Linux (SELinux), une fonctionnalit\u00e9 de s\u00e9curit\u00e9 d&#8217;Android, et d&#8217;utiliser des outils d&#8217;enracinement tels que KingRoot11 pour obtenir des privil\u00e8ges \u00e9lev\u00e9s sur les combin\u00e9s compromis.  Une caract\u00e9ristique notable de DragonEgg est qu&#8217;il \u00e9tablit un contact avec le serveur C2 pour r\u00e9cup\u00e9rer un module tertiaire inconnu qui se pr\u00e9sente comme un programme m\u00e9dico-l\u00e9gal.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>&#8220;La d\u00e9couverte de WyrmSpy et DragonEgg est un rappel de la menace croissante pos\u00e9e par les logiciels malveillants Android avanc\u00e9s&#8221;, a d\u00e9clar\u00e9 Kristina Balaam, chercheuse principale sur les menaces chez Lookout.  &#8220;Ces packages de logiciels espions sont tr\u00e8s sophistiqu\u00e9s et peuvent \u00eatre utilis\u00e9s pour collecter un large \u00e9ventail de donn\u00e9es \u00e0 partir d&#8217;appareils infect\u00e9s.&#8221;<\/p>\n<p>Les d\u00e9couvertes surviennent alors que Mandiant a r\u00e9v\u00e9l\u00e9 l&#8217;\u00e9volution des tactiques adopt\u00e9es par les \u00e9quipes d&#8217;espionnage chinoises pour voler sous le radar, y compris la militarisation des dispositifs de r\u00e9seau et des logiciels de virtualisation, l&#8217;utilisation de botnets pour obscurcir le trafic entre l&#8217;infrastructure C2 et les environnements des victimes, et la tunnellisation du trafic malveillant \u00e0 l&#8217;int\u00e9rieur des r\u00e9seaux des victimes via des r\u00e9seaux compromis. syst\u00e8mes.<\/p>\n<p>&#8220;L&#8217;utilisation de botnets, la transmission par proxy du trafic dans un r\u00e9seau compromis et le ciblage des appareils p\u00e9riph\u00e9riques ne sont pas de nouvelles tactiques, ni propres aux acteurs chinois du cyberespionnage&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de renseignement sur les menaces appartenant \u00e0 Google.  &#8220;Cependant, au cours de la derni\u00e8re d\u00e9cennie, nous avons suivi l&#8217;utilisation de ces tactiques et d&#8217;autres par les acteurs du cyberespionnage chinois dans le cadre d&#8217;une \u00e9volution plus large vers des op\u00e9rations plus cibl\u00e9es, furtives et efficaces.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/chinese-apt41-hackers-target-mobile.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 juil. 2023\ue804THNLogiciels espions\/s\u00e9curit\u00e9 mobile L&#8217;acteur prolifique d&#8217;\u00c9tat-nation li\u00e9 \u00e0 la Chine connu sous le nom d&#8217;APT41 a \u00e9t\u00e9 li\u00e9 \u00e0 deux souches de logiciels espions Android auparavant non document\u00e9es appel\u00e9es WyrmSpy et DragonEgg. \u00ab Connu pour son exploitation des applications Web et l&#8217;infiltration des terminaux traditionnels, un acteur de menace \u00e9tabli comme APT 41, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":837617,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8737,22631,84,5663,5863,4168,4158,4165,4161,174678,14359,4157,4159,4171,4170,65,4167,4589,4160,2463,4588,4163,4162,4394,4172,4169,4166,4164,174677],"class_list":["post-837616","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-appareils","tag-apt41","tag-avec","tag-chinois","tag-ciblent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dragonegg","tag-espions","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-mises-a-jour-de-la-cybersecurite","tag-mobiles","tag-nouveaux","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wyrmspy"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/837616","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=837616"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/837616\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/837617"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=837616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=837616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=837616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}