Matinale cyber du 27 février 2023
- romain
- 26 février 2023
La UNE 📰
- Technopolice Albanaise vs Technomafia : https://korii.slate.fr/tech/crime-albanie-mafia-equipee-propre-reseau-cameras-surveillance-avance-coups-police-gangs-tirana
- GoDaddy annonce une brèche vieille de plusieurs années: https://arstechnica.com/information-technology/2023/02/godaddy-says-a-multi-year-breach-hijacked-customer-websites-and-accounts/
- Radios russes piratés pour diffuser une annonce de raid aérien dans les grandes villes: https://www-vedomosti-ru.translate.goog/society/news/2023/02/22/963970-v-mchs-oprovergli-soobscheniya-ob-ugroze-raketnogo-udara?_x_tr_sl=auto&_x_tr_tl=fr&_x_tr_hl=fr&_x_tr_pto=wapp
- Attaque sur UA avec des backdoord d'1 à 2 ans: https://www.bleepingcomputer.com/news/security/ukraine-says-russian-hackers-backdoored-govt-websites-in-2021/
- Lockbit a eu accès a une police d'assurance: https://twitter.com/AlvieriD/status/1628377099969912832/photo/2
- Valve piège les cheaters avec un honeypot dans Dota2: https://www.dota2.com/newsentry/3677788723152833273
- Eliminalia, une entreprise pour faire taire les critiques au nom du RGPD: https://forbiddenstories.org/story-killers/the-gravediggers-eliminalia/
🏴☠️ Attaques 🏴☠️
- Technopolice Albanaise vs Technomafia: https://korii.slate.fr/tech/crime-albanie-mafia-equipee-propre-reseau-cameras-surveillance-avance-coups-police-gangs-tirana
- GoDaddy annonce une brèche vieille de plusieurs années: https://arstechnica.com/information-technology/2023/02/godaddy-says-a-multi-year-breach-hijacked-customer-websites-and-accounts/
- Radios russes piratés pour diffuser une annonce de raid aérien dans les grandes villes: https://www-vedomosti-ru.translate.goog/society/news/2023/02/22/963970-v-mchs-oprovergli-soobscheniya-ob-ugroze-raketnogo-udara?_x_tr_sl=auto&_x_tr_tl=fr&_x_tr_hl=fr&_x_tr_pto=wapp
- Attaque sur UA avec des backdoord d'1 à 2 ans: https://www.bleepingcomputer.com/news/security/ukraine-says-russian-hackers-backdoored-govt-websites-in-2021/
- FBI attaqué, l'attaque contenue: https://edition.cnn.com/2023/02/17/politics/fbi-cyber-incident-computer-network/index.html
- Lockbit a eu accès a une police d'assurance: https://twitter.com/AlvieriD/status/1628377099969912832/photo/2
- Dole touchée par un ransomware: https://edition.cnn.com/2023/02/22/business/dole-cyberattack
- Attaque sur la TV Virgin Media: https://archive.ph/fN18T
- Fabriquant de semiconducteurs va perdre 250M$ à cause d'un fournisseur touché par un ransomware: https://therecord.media/applied-materials-supply-chain-mks-ransomware-attack/
📢 Annonces 📢
- Valve piège les chaeters avec un honeypot: https://www.dota2.com/newsentry/3677788723152833273
- Message Guard, sandboxing des SMS: https://news.samsung.com/global/samsung-message-guard-protects-you-from-new-and-invisible-threats
- Google va mettre en place des protections pour le firmware des Android: https://security.googleblog.com/2023/02/hardening-firmware-across-android.html
- S2T, une nouvelle entreprise de surveillance: https://forbiddenstories.org/story-killers/osint-s2t-unlocking-cyberspace-journalists-activists/
- Twitter blue est bien abusé comme il faut pas les trolls russes: https://www.washingtonpost.com/technology/2023/02/22/russian-propagandists-said-buy-twitter-blue-check-verifications/
- Le CERT-PL publie un outil de déchiffrement du ransomware Phobos (limité): https://cert.pl/en/posts/2023/02/breaking-phobos/
- Problème de filtre dans les boites mail Outlook, tout le monde inondé de spam: https://www.theverge.com/2023/2/20/23607056/microsoft-outlook-spam-email-filters-not-working-broken
- Saisie de 6M$ en cryptos piratées par un APT nord-coréen: https://www.okokrim.no/record-cryptocurrency-seizure-in-the-axie-case.6585495-549344.html
- Arrestation de 5 paxs qui utilisaient un IMSI-Catcher pour faire des escroqueries aux SMS: https://www.francetvinfo.fr/faits-divers/escroquerie-aux-sms-de-l-assurance-maladie-les-suspects-volaient-les-numeros-de-telephone-depuis-leur-voiture_5665943.html
- Rapport de M$ sur les attaques DDoS sur Azure: https://www.microsoft.com/en-us/security/blog/2023/02/21/2022-in-review-ddos-attack-trends-and-insights/
- Rifi à l'X sur les annonces de la CNIL pour le filtrage des sites porno: https://twitter.com/Elsa_Trujillo_/status/1629053238551904257
🌏 Géopolitique 🌍
- La Chine teste le coupage de câbles sous-marins de Taiwan: https://foreignpolicy.com/2023/02/21/matsu-islands-internet-cables-china-taiwan/
- Vepr, le nouveau système de surveillance russe, capable de "prédire les éléments de tension" sur Internet: https://tass.ru/obschestvo/17091419
- Amendes pour les Telcos RU qui refusent d'installer SORM, l'outil de surveillance du Kremlin: https://www-vedomosti-ru.translate.goog/technology/articles/2023/02/17/963490-oborotnie-shtrafi-sorm?_x_tr_sl=fr&_x_tr_tl=zh-CN&_x_tr_hl=fr&_x_tr_pto=wapp
- Les US accusés d'ingérence par la Chine à cause de l'utilisation de Starlink dans le conflit Urkainien: https://docs-library.unoda.org/Open-Ended_Working_Group_on_Reducing_Space_Threats_(2022)/202301~1.PDF
- La RU va tester des robots militaires ?: https://taskandpurpose.com/news/russia-ukraine-marker-tank-ugv/
🕵️ Threat Intelligence 🕵️
- Attribution du ransomware TZW à la famille GlobeImposte: https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family/
- CatB, un nouveau ransomware: https://www.fortinet.com/blog/threat-research/ransomware-roundup-catb-ransomware
- SoulSearcher, backdoor sous stéroides: https://research.openanalysis.net/yara/soulsearcher/intel/malpedia/worm/2023/02/16/soulsearcher-worm.html
- Stealc, nouvelle famille de ransomware: https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-part-1/
📜 Protection des Données 📜
- Eliminalia, une entreprise pour faire taire les critiques au nom du RGPD: https://forbiddenstories.org/story-killers/the-gravediggers-eliminalia/
- Mozilla prévient que les autorisations affichées sur le Play Store sont pipeau: https://foundation.mozilla.org/en/campaigns/googles-data-safety-labels/
- La comission Européenne bannit TikTok: https://www.theguardian.com/technology/2023/feb/23/european-commission-bans-staff-from-using-tiktok-on-work-devices
⚠️ Vulnérabilités ⚠️
- Grosse vulnérabilité Fortinet: https://www.fortiguard.com/psirt/FG-IR-22-300
- Privesc sur les systèmes Apple: https://www.trellix.com/en-us/about/newsroom/stories/research/trellix-advanced-research-center-discovers-a-new-privilege-escalation-bug-class-on-macos-and-ios.html
- Telegram hack utilisé par la Team Jorge: https://infosec.exchange/@drwhax/109908688285053508
- forgeage de jetons OAuth dans Azure B2C: https://www.praetorian.com/blog/azure-b2c-crypto-misuse-and-account-compromise/
- 41 packages Pypi malveillants: https://www.reversinglabs.com/blog/beware-impostor-http-libraries-lurk-on-pypi
- NPM package de 4M de téléchargement peut être piraté à cause de l'utilisation d'un nm de domaine expiré: https://blog.illustria.io/illustria-discovers-account-takeover-vulnerability-in-a-popular-package-affecting-1000-8aaaf61ebfc4
💦 Fuites de données 💦
- les données de 31M d'utilisateurs de RailYatri, une compagnie ferroviaire indienne, sur Breached Forums: https://www.hindustantimes.com/cities/mumbai-news/railyatri-user-data-up-for-sale-on-dark-web-101676836961703.html
- Un serveur Azure du DOD exposé sur Internet depuis le 8 février: https://consent.yahoo.com/v2/collectConsent?sessionId=3_cc-session_ab4b1401-11ff-4ae4-bf91-b55554aa4986
💸 Des Crypto-Échanges piratés ? 💸
- Platyus (8,5M$): https://archive.ph/NQh9q
- Dexible (2M$): https://archive.ph/E6YAe
- Gate.io (3,8M): https://archive.ph/cTjIN
🛠 Les outils 🛠
- RuboCop : analyseur statique de code Ruby : https://github.com/rubocop/rubocop
- MAAD : post-compromise dans un environneent AzureAD/O365 : https://www.vectra.ai/blogpost/you-should-get-maad-af-about-emulating-attacks
- Artemis, scanner web: https://github.com/CERT-Polska/Artemis
- Compte Bris de glace AWS: https://github.com/awslabs/aws-break-glass-role
🔎 Les Articles 🔎
- (Khaos) Analyser les enregistrement grâce au bruit électronique: https://robertheaton.com/enf/
- Comparaison des protocoles de preuves de critères anonymes type sites porno: https://broken-by-design.fr/posts/proto-authz-porn/
- Histoire d'Empress, la crackeuse de JV: https://www.reddit.com/r/HobbyDrama/comments/rowk83/digital_piracy_the_rise_of_empress_how_one_woman/
- (WU) forgeage de jetons OAuth dans Azure B2C: https://www.praetorian.com/blog/azure-b2c-crypto-misuse-and-account-compromise/
- (WU) trouver un bug dans linux readline: https://blog.trailofbits.com/2023/02/16/suid-logic-bug-linux-readline/
- WU rapide de la vuln fortinet: https://www.horizon3.ai/fortinet-fortinac-cve-2022-39952-deep-dive-and-iocs/
- Les parachutes n'empêchent pas de mourir lorsque l'on saute d'un avion: un essai clinique : https://twitter.com/c0nc0rdance/status/1628824330435014656
- (WU) Privesc sur les systèmes Apple: https://www.trellix.com/en-us/about/newsroom/stories/research/trellix-advanced-research-center-discovers-a-new-privilege-escalation-bug-class-on-macos-and-ios.html
- Guide de la NSA sur les devices personnels et comment les sécuriser: https://media.defense.gov/2023/Feb/22/2003165170/-1/-1/0/CSI_BEST_PRACTICES_FOR_SECURING_YOUR_HOME_NETWORK.PDF
- (WU) Telegram hack utilisé par la Team Jorge: https://infosec.exchange/@drwhax/109908688285053508