Matinale cyber du 13 Mars 2023
- romain
- 13 mars 2023
Attaques et Piratages
- CHU de Brest attaqué, à ce jour rien pour indiquer un ransomware
- IR après wiping de tout par LockBit (valéry Marchive)
- Acronis piraté ? 12Go de donnés divulgués mais potentiellement un unique client compromis
- 6,3M$ piraté de la banque Nigériane FlutterWave
- Chick-Fil-A : un an de credential stuffing permanent
- FiXs malware cible les ATMs
- 2 attaques DDoS sur des grandes instances Mastodon
- IS : pôle de recherche Technion victime d'un ransomware par MuddyWater (iran)
- Alphv ransomware a publié des photos de patientes atteintes du cancer du sein
- Stations Radio Russes piratées, cette fois des TV compromises
Annonces
- 4 RU admins d'un forum de vente de CB arrêtés en RU
- PortSwigger arrête son service de news TheDailySwig à cause du backclash
- Un LLaMA en fuite, (on peut identifier l'origine de la fuite)
- Escape from Tarkov : Name and shame pour les tricheurs
- Arrestation de deux suspects du groupe de ransomware DoppelPaymer
- Windows 11 : Procection de LSA par défaut
- GitHub : à partir d'aujourd'hui, on ne peut plus se connecter sans MFA
- Le registraire Freenom (plusieurs TLD nationaux) arrête ses activités après un procès par Meta
- freenom n'avait pas réagi à des cas de typosquatting
- La CISA manque toujours de moyen pour réagir à un SolarWinds
Threat Intel
- AresLoader, malware loader as a service
- Emotet, le (re-(re-(re-)))retour
- New ransomware in the blocks : MarioESXi & DarkAngelSteam
- Nexus C2
- Tableau de tous les chevaux de troie bancaires Android
- Analyse de BruteRatel : uniquement utilisé par les cybercriminels ?
- Nevada ransomware = Nokoyawa rebrandé
- Deep Dive sur Sharp Panda
- Transparent Tribe, un APT Pakistanais qui cible l'Inde et le Pakistan
- Analyse du malware Royal pour les ESXi
- PlugX : un ver USB identifié dans plusieurs pays
- retour du gang IceFire avec l'exploitation de la vuln IBM Aspera
- iswr distribué en Corée du Sud sous une forme déchiffrable
Géopolitique
- Chine : les hackers soutenus par des gouv étrangers sont la plus grande menace
- 99% des cybercriminels russes sont contrôlés par le FSB ?
- Apple prévient gens en Albanie qu'ils sont ciblés
- (droit) Sony Music attaque le registraire Quad9 pour la gestion de DN avec du contenu piraté
- Berlin va interdire les technos Huawei pour les coeurs de réseaux 5G
- Étrange campagne de hacking de TA499 pour la propagande RU
- L'armée MX a utilisé Pegasus
- Fin de l'enquête du FSB sur le fondateur de Group-IB
- Encore une nouvelle entreprise de Spywares israëlienne
- US : la Russie cherche à déstabiliser la Moldavie
Data Sécu
- 28 000 applications envoient leurs données à TikTok
- Brave va bloquer le SSO de Google
- L'appli SHEIN vole votre presse-papier sur Android
- Google et Meta attaquent la CNIL Sud-Coréenne
Vulnérabilités
- https://twitter.com/Ackanir/status/1633536021676580868
- 2 vulnérabilités Critiques de microsoft nécésitent un patch exceptionnel
- SonicWall : DoS dans l'admin panel
- Oracle : un PoC pour la RCE dans Weblogic
- Extension Chrome GetCookies.txt (160k users) volait les cookies
- RCE dans M$ Word
- Attaque Polynonce sur ECDSA : retrouver une clé privée si le PRNG est faible
- CorePlague : RCE dans Jenkins
- Contrôle d'accès dans Joomla exploitée
- Fortinet
Data Leaks
- GunAuction : 550k comptes
- Acr : A160Go de données dans la nature
- DC Health Link : 170k patients
- AT&T : 9M d'utilisateurs, mais pas d'infos personnelles
Les Outils
Les Articles
- Etrange campagne de Subdomain Takeover
- Débunker Jonathan Scott
- The DFIR Report : 2022
- Rapport de l'ODNI des menaces sur les US
Des échanges de cryptoactifs piratés ?
- BitBNS : 7,5M$ volés en cryptoactifs
- TheSandbox : diffusion de malware
- Tender.fi : 1,59M$ piratés, rendus en échange d'un "bounty" de 96k$