Actualités

EpMe et Jian : derrière le correctif remontant à 2017, des exploits “potentiellement” reliés à Équation Group ! (retour vers le 0-day…)

CheckPoint vient, à nouveau, de cibler une nouvelle menace en (rétro)perspective : selon les observations sécuritaires des chercheurs, l’exploit Jian, remontant, au moins, à 2014 aurait été un reliquat inspiré d’EpMe. Les deux exploits serait le fruit du groupe Équation qui avait alors, en 2017, fait grand bruit, notamment en puisant dans les bottes sécuritaires secrètes de la NSA, l’agence fédérale américaine des États-Unis.

 

“CVE-2017-0005, une vulnérabilité Windows LPE qui a été attribuée à un APT chinois, a été répliquée sur la base d’un exploit Equation Group pour la même vulnérabilité à laquelle l’APT avait accès. «EpMe», l’exploit Equation Group pour CVE-2017-0005, est l’un des 4 exploits Local Privilège Escalation différents inclus dans le cadre d’attaque DanderSpritz. DanderSpritz est le cadre de post-exploitation d’Equation Group qui contient une grande variété d’outils pour la persistance, la reconnaissance, les mouvements latéraux, le contournement des moteurs antivirus, etc. «EpMe» remonte au moins à 2013, soit quatre ans avant qu’APT31 ne soit capturé en train d’exploiter la vulnérabilité dans la nature“, indique CheckPoint qui remet en question, en toute logique, la culpabilité d’APT31 (Zirconium). En toute discrétion, Microsoft, à l’époque, avait colmaté la vulnérabilité, en Mai 2017 mais il semble que Jian ait fait des petits dont EpMo, qui aurait été l’une des multiples vagues de cyber-attaques survenues en 2017 mais non-évoquées officiellement, par l’entreprise américaine.

 

Parmi tant d’autres, des similitudes entre Jian et EpMen, au niveau de la mémoire (buffer).

Si, de ce fait, il manque certains éléments pour corréler l’ensemble, l’équipe sécuritaire confirme que EpMe et Jian possèdent une base commune. De manière synthétique, il s’agirait d’un recyclage d’un outil ou ensemble d’outil par d’autres cyber-attaquants… A veiller !

 

 

Source : CheckPoint – 22 Février 2021 – Équation Group : les outils potentiellement déviés par les Shadow Brokers auraient eu plusieurs variants (EpMe, EpMo, Jian).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2