{"id":21136,"date":"2023-10-31T11:53:07","date_gmt":"2023-10-31T09:53:07","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21136"},"modified":"2023-10-31T11:53:07","modified_gmt":"2023-10-31T09:53:07","slug":"sas-2023-research","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/sas-2023-research\/21136\/","title":{"rendered":"Security Analyst Summit 2023 : les recherches cl\u00e9s"},"content":{"rendered":"<p>Lors de la conf\u00e9rence Security Analyst Summit, les experts de l\u2019\u00e9quipe Global Research and Analysis Team (GReAT) de Kaspersky ont pr\u00e9sent\u00e9 certaines \u00e9tudes particuli\u00e8rement passionnantes. Nous n\u2019allons pas toutes les revoir en d\u00e9tail, mais nous souhaitons bri\u00e8vement revenir sur les faits le plus int\u00e9ressants.<\/p>\n<h2>Une plateforme pour le logiciel espion StripedFly<\/h2>\n<p>Ce pourrait \u00eatre un roman policier. Ce programme malveillant avait d\u2019abord \u00e9t\u00e9 d\u00e9tect\u00e9 comme un mineur de cryptomonnaie quelconque pour Monero alors qu\u2019il s\u2019agissait en r\u00e9alit\u00e9 d\u2019une couverture pour une menace modulaire complexe capable d\u2019infecter les ordinateurs sous Windows et Linux. Plusieurs modules StripedFly peuvent voler des informations, prendre des captures d\u2019\u00e9cran, enregistrer des fichiers audios via le microphone et intercepter les mots de passe Wi-Fi. Pourtant, l\u2019espionnage n\u2019est pas sa seule utilit\u00e9. Il poss\u00e8de aussi des modules qui lui permettent de fonctionner comme ran\u00e7ongiciel et comme mineur de cryptomonnaie.<\/p>\n<p>Le plus int\u00e9ressant est que cette menace peut se propager en utilisant l\u2019exploit EthernalBlue, m\u00eame si ce vecteur a \u00e9t\u00e9 corrig\u00e9 en 2017. De plus, StripedFly peut utiliser les cl\u00e9s et les mots de passe vol\u00e9s pour infecter les syst\u00e8mes Linux et Windows qui ont un serveur SSH en service. Vous trouverez une \u00e9tude d\u00e9taill\u00e9e ainsi que les indicateurs de compromission dans cet article publi\u00e9 sur notre <a href=\"https:\/\/securelist.com\/stripedfly-perennially-flying-under-the-radar\/110903\/\" target=\"_blank\" rel=\"noopener\">blog Securelist<\/a>.<\/p>\n<h2>Les d\u00e9tails de l\u2019op\u00e9ration Triangulation<\/h2>\n<p>Un autre rapport pr\u00e9sent\u00e9 au Security Analyst Summit est celui relatif aux conclusions de l\u2019enqu\u00eate sur l\u2019op\u00e9ration Triangulation dont nos employ\u00e9s, entre autres, ont \u00e9t\u00e9 victimes. C\u2019est gr\u00e2ce \u00e0 une analyse d\u00e9taill\u00e9e de cette menace que nos experts ont pu d\u00e9tecter cinq vuln\u00e9rabilit\u00e9s exploit\u00e9es par cet acteur de menace dans le syst\u00e8me iOS. Quatre d\u2019entre elles (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-32434\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-32434<\/a>,\u00a0<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-32435\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-32435<\/a>,\u00a0<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-38606\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-38606<\/a>\u00a0and\u00a0<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-41990\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-41990<\/a>) \u00e9taient des vuln\u00e9rabilit\u00e9s zero-day. Elles se trouvaient dans les appareils iPhone mais aussi iPod, iPad, macOS, Apple TV et Apple Watch. Il s\u2019est av\u00e9r\u00e9 qu\u2019en plus d\u2019infecter les dispositifs via iMessage, les cybercriminels pouvaient attaquer le navigateur Safari. Nous vous invitons \u00e0 lire <a href=\"https:\/\/securelist.com\/operation-triangulation-catching-wild-triangle\/110916\/\" target=\"_blank\" rel=\"noopener\">cet article<\/a> pour obtenir plus de d\u00e9tails et pour d\u00e9couvrir comment nos experts ont analys\u00e9 cette menace.<\/p>\n<h2>Une nouvelle campagne de Lazarus<\/h2>\n<p>Le troisi\u00e8me rapport pr\u00e9sent\u00e9 par les experts GReAT se concentre sur les nouvelles attaques lanc\u00e9es par l\u2019APT Lazarus. Ce groupe cible d\u00e9sormais les d\u00e9veloppeurs de programmes (dont certains qui ont \u00e9t\u00e9 attaqu\u00e9s plusieurs fois) et utilise activement des attaques de la cha\u00eene d\u2019approvisionnement.<\/p>\n<p>En exploitant les vuln\u00e9rabilit\u00e9s de programmes l\u00e9gitimes utilis\u00e9s pour chiffrer les communications sur le Web, Lazarus infecte le syst\u00e8me et d\u00e9ploie un nouvel implant SIGNBT, dont la partie principale n\u2019op\u00e8re que dans la m\u00e9moire. Cet implant permet d\u2019\u00e9tudier la victime (afin d\u2019obtenir les param\u00e8tres du r\u00e9seau et les noms des processus et des utilisateurs) et de lancer d\u2019autres charges malveillantes. Il t\u00e9l\u00e9charge notamment une version am\u00e9lior\u00e9e de la porte d\u00e9rob\u00e9e d\u00e9j\u00e0 connue LPEClient, qui s\u2019ex\u00e9cute aussi dans la m\u00e9moire et qui, \u00e0 son tour, lance un programme malveillant capable de voler les identifiants ou d\u2019autres donn\u00e9es. Vous trouverez les informations techniques relatives aux nouveaux outils du groupe APT Lazarus et leurs indicateurs de compromission sur notre <a href=\"https:\/\/securelist.com\/unveiling-lazarus-new-campaign\/110888\/\" target=\"_blank\" rel=\"noopener\">blog Securelist<\/a>.<\/p>\n<h2>L\u2019attaque TetrisPhantom<\/h2>\n<p>De plus, nos experts ont fourni quelques d\u00e9tails sur l\u2019attaque TetrisPhantom qui a vis\u00e9 les organismes publics de l\u2019Asie-Pacifique. TetrisPhantom consiste \u00e0 mettre en danger certains types de cl\u00e9s USB s\u00e9curis\u00e9es qui assurent le chiffrement du mat\u00e9riel et qui souvent utilis\u00e9es par les organismes publics. Alors qu\u2019ils \u00e9tudiaient cette menace, les experts ont identifi\u00e9 une campagne compl\u00e8te d\u2019espionnage qui se servait de plusieurs modules malveillants pour ex\u00e9cuter des ordres, recueillir les fichiers et les informations des ordinateurs compromis et les transf\u00e9rer \u00e0 d\u2019autres machines qui utilisent aussi les cl\u00e9s USB s\u00e9curis\u00e9es. Notre <a href=\"https:\/\/securelist.com\/apt-trends-report-q3-2023\/110752\/\" target=\"_blank\" rel=\"noopener\">rapport trimestriel sur les menaces APT<\/a> apporte plus de d\u00e9tails sur cette campagne.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nos experts ont pr\u00e9sent\u00e9 quatre \u00e9tudes importantes lors de la conf\u00e9rence internationale SAS 2023.<\/p>\n","protected":false},"author":2706,"featured_media":21137,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[4433,498,145,921,602],"class_list":{"0":"post-21136","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-thesas2023","10":"tag-apt","11":"tag-etude","12":"tag-recherche","13":"tag-sas"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sas-2023-research\/21136\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sas-2023-research\/26558\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sas-2023-research\/21984\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sas-2023-research\/29254\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sas-2023-research\/26841\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sas-2023-research\/26796\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sas-2023-research\/29282\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sas-2023-research\/28156\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sas-2023-research\/36474\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sas-2023-research\/49448\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sas-2023-research\/21926\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sas-2023-research\/30625\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sas-2023-research\/34946\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sas-2023-research\/27124\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sas-2023-research\/32837\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sas-2023-research\/32485\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=21136"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21136\/revisions"}],"predecessor-version":[{"id":21140,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21136\/revisions\/21140"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/21137"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=21136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=21136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=21136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}