Top 10 des meilleurs revêtements d’étagère Ddma 2020 – Bestgamingpro

Top 10 des meilleurs revêtements d’étagère Ddma 2020 – Bestgamingpro


Une carte mère a été retouchée pour inclure un drapeau chinois.
Agrandir / Puce informatique avec drapeau chinois, illustration conceptuelle 3d.

Des chercheurs ont découvert une vaste campagne de piratage informatique utilisant des outils et des techniques sophistiqués pour compromettre les réseaux d’entreprises du monde entier

Les pirates, très probablement issus d’un groupe bien connu financé par le gouvernement chinois, sont équipés d’outils à la fois prêts à l’emploi et sur mesure. L’un de ces outils exploite Zerologon, le nom donné à une vulnérabilité de serveur Windows, corrigée en août, qui peut donner aux attaquants des privilèges d’administrateur instantanés sur des systèmes vulnérables.

Symantec utilise le nom de code Cicada pour le groupe, qui est largement considéré comme financé par le gouvernement chinois et porte également les noms d’APT10, Stone Panda et Cloud Hopper d’autres organisations de recherche. Le groupe est actif dans le piratage de type espionnage depuis au moins 2009 et cible presque exclusivement les entreprises liées au Japon. Alors que les entreprises ciblées dans la récente campagne sont situées aux États-Unis et dans d’autres pays, elles ont toutes des liens avec le Japon ou des entreprises japonaises.

À l’affût

«Les organisations liées au Japon doivent être en alerte car il est clair qu’elles sont une cible clé de ce groupe sophistiqué et bien doté, avec l’industrie automobile apparemment une cible clé dans cette campagne d’attaque», ont écrit des chercheurs de la société de sécurité Symantec rapport. «Cependant, compte tenu du large éventail d’industries ciblées par ces attaques, les organisations japonaises de tous les secteurs doivent être conscientes qu’elles sont exposées à ce type d’activité.»

Les attaques utilisent largement le chargement latéral de DLL, une technique qui se produit lorsque des attaquants remplacent un fichier de bibliothèque de liens dynamiques Windows légitime par un fichier malveillant. Les attaquants utilisent le chargement latéral de DLL pour injecter des logiciels malveillants dans des processus légitimes afin qu’ils puissent empêcher le piratage d’être détecté par un logiciel de sécurité.

La campagne utilise également un outil capable d’exploiter Zerologon. Les exploits fonctionnent en envoyant une chaîne de zéros dans une série de messages qui utilisent le protocole Netlogon, que les serveurs Windows utilisent pour permettre aux utilisateurs de se connecter aux réseaux. Les personnes sans authentification peuvent utiliser Zerologon pour accéder aux joyaux de la couronne d’une organisation: les contrôleurs de domaine Active Directory qui agissent comme un contrôleur d’accès tout-puissant pour toutes les machines connectées à un réseau.

Microsoft a corrigé la vulnérabilité critique d’escalade des privilèges en août, mais depuis lors, les attaquants l’utilisent pour compromettre les organisations qui n’ont pas encore installé la mise à jour. Le FBI et le Département de la sécurité intérieure ont tous deux demandé instamment que les systèmes soient immédiatement corrigés.

Parmi les machines compromises lors des attaques découvertes par Symantec se trouvaient les contrôleurs de domaine et les serveurs de fichiers. Les chercheurs de l’entreprise ont également découvert des preuves d’exfiltration de fichiers de certaines des machines compromises.

Plusieurs régions et industries

Les cibles proviennent de divers secteurs, notamment:

  • L’automobile, avec certains fabricants et organisations impliqués dans la fourniture de pièces à l’industrie automobile, a également été ciblée, indiquant qu’il s’agit d’un secteur de fort intérêt pour les attaquants
  • Vêtements
  • Conglomérats
  • Électronique
  • Ingénierie
  • Sociétés commerciales générales
  • Gouvernement
  • Produits industriels
  • Fournisseurs de services gérés
  • Fabrication
  • Pharmaceutique
  • Services professionnels

Voici une carte de l’emplacement physique des cibles:

Symantec

Symantec a lié les attaques à Cicada sur la base des empreintes digitales numériques trouvées dans le malware et le code d’attaque. Les empreintes digitales comprenaient des techniques d’obfuscation et du code shell impliqués dans le chargement latéral de la DLL, ainsi que les caractéristiques suivantes notées dans ce rapport 2019 de la société de sécurité Cylance:

  • La DLL de troisième étape a une exportation nommée «FuckYouAnti»
  • La DLL de troisième étape utilise la technique CppHostCLR pour injecter et exécuter l’assembly de chargeur .NET
  • .NET Loader est obscurci avec ConfuserEx v1.0.0
  • La charge utile finale est QuasarRAT, une porte dérobée open source utilisée par Cicada dans le passé

«L’ampleur des opérations indique également un groupe de taille et de capacités de Cicada», ont écrit les chercheurs de Symantec. «Le ciblage de plusieurs grandes organisations dans différentes zones géographiques en même temps exigerait beaucoup de ressources et de compétences qui ne sont généralement observées que dans les groupes soutenus par les États-nations. Le lien de toutes les victimes avec le Japon pointe également vers Cicada, qui a été connue pour cibler les organisations japonaises dans le passé.

bob

Articles similaires

Read also x