Blog

• romain
• 20 mars 2023
• • Matinale cyber

EDITO

• Travailler plus longtemps la semaine ou sort GPT-4 et Midjourneyv5, la fin d'un récit ?

Attaques et Piratages

• Piratage du jeu Stalker 2 par un fan pro-russe
• Autorité de santé chilienne
• GAZE, un software pour empêcher les IA de s'entrainer sur les dessins
• Ring Security System piraté par ALPHV : tweet
• Marshall Amps rançonné par BlackBasta
• RansomHouse a rançonné le pays caribbéen Saint Kitts et Nevis
• Arnaque à la russe : votre compte a envoyé de l'argent à l'armée Ukrainienne !
• Beaucoup d'arnaques quite au crash de la SVB
• DEV-1101 : un proxy as a service pour faire des attaques "Attacker in The Middle"
• Cloud Rubrik : une des victimes de la vuln GoAnyWhere

Annonces

• M$ va améliorer la sécurité de OneNote
• IBM donne des projets à l'OWASP pour des outils de SBOM
• La BCE va faire une campagne de résilience cyber sur les banque €U
• Régulation sur la sécurité du cloud : résilience, sécu interne, et features de sécurité par défaut
• Arrestation d'un vendeur de NetWire RAT
• Arrestation de Pompomurin, l'admin de BreachedForums : PCA du site, Baphomet est le nouvel admin
• Update sur STALKER2 : le chantage ne marche pas
• Élections en Estonie attaquées : rien d'inhabituel à signaler
• Arrestation de l'opérateur du service de blanchiment de cryptomonnaie ChipMixer : 44 M€ saisis
• Arrestation des membres du groupe ViLE qui s'étaient fait passer pour la police aux frontières US
• Nouveau framework de caractéristion d'attaque par Meta

Threat Intel

• Royal poartage beaucoup d'infrastructure avec Conti et FRwL (Z-Team, UAC-0118)
  • FRwL cible infrastructure UA
• Doxxing du leader de Sandworm, maintenant responsable au GRU
• GoBruteforcer : un botnet pour bruteforcer les vieux sites
• Xenomorphv3, le banking trojan du plus gros développeur de malware android
• Nouvelle campagne de BatLoader
• Tick APT : campagne d'attaque par supply-chain en Asie
• YoroTrooper : nouvel APT RU qui espionne l'Ukraine
• Rapport du FBI sur LockBitv3
• BianLian a changé de tactiques depuis qu'un déchiffreur a été trouvé
• WU de la RCE GoAnywhere
• Rapport sur Reaper, outil de surveillance de Corée du Nord

Géopolitique

• Une carte des opérations de la galaxie Prigojine
• Interdiction de TikTok pour les fonctionnaires belges
• Rapport du SSSCIP sur un an de guerre en UA
  • Mapping des UAC
• Rapport de QiAnXin sur la menace APT
• La Pologne démantèle un grand réseau d'observation RU de l'aide arrivant en Ukraine

Data Sécu

• BlackBaud condamné à 3M$ pour ne pas avoir remarqué que des données bancaires avaient été volées

Vulnérabilités

• Patch de sécurité Veeam
• XSS sur OpenSea qui permet de déanonymiser un contenu
• Hardware : Infrared in-situ pour lire le contenu de puces
• RCE sur des téléphones modernes (Pixel, Samsung, Vivo)
  • Supplément
• Patch Tuesday : Adobe, Microsoft, Mozilla Firefox, Citrix, SAP, the Android project, Chrome, and Fortinet.
• Dolibarr SQLi

KEV (Exploitations)

• CVE-2020-5741, Plex media server RCE exploitée chez LastPass
• CVE-2021-39144, XStream Java library, exploitée un peu partout
• CVE-2023-23397 : Microsoft Outlook Privesc (Vulnérabilité Outlook exploitée en Ukraine)
• CVE-2023-24880 : M$ Windows SmartScreen (exploitée par des acteurs de ransomwares
• CVE-2023-26360 : Adobe ColdFusion
• CVE-2022-41328 : Fortinet Path Traversal (exploitée par des APTs

Les Outils

• BlackMamba, génération par ML de malware polymorphique (ici un keylogger)
• Kali Purple, une Kali destinée aux équipes de défense

Les Articles

• Utiliser l'OSINT pour les gangs criminels
• Rapport du FBI sur la cybercriminalité
  • investment fraud > BEC
• Rapport de Trend Micro : Ransomware sur MacOS diminuent, Attaques sur Linux x8, Shift vers l'exploitation de bugs non-Microsoft en 2022, Log4j, Log4j everywhere
• WU de la RCE GoAnywhere
• Étude comparative des techniques de triche en jeu vidéo
• Analyse de AVBurner et identification de la désactivation des kernel callbacks avec volatility
• Focus sur les privilèges dans Azure AD
• WU : la fameuse vuln Outlook
• Rapport Kaspersky sur les attaques qui ont touché des ICS

Des échanges de cryptoactifs piratés ?

• Euler : 197M$
• PeopleDAO : une bête histoire de colonne sur Google Sheets
• Poolz Finance : 665k$

WTF

• Un employé de NSO google comment désactiver McAfee pour revendre des 0-days
• Un sénateur républicain US organise un réseau de capture (skimming) de cartes bleues
• Un propriétaire de NFT a gain de cause au tribunal
• https://pbs.twimg.com/media/FraoAymX0AQuxrv?format=jpg&name=medium)
• https://pbs.twimg.com/media/FrIUyYZXsAQ6a2Z?format=png&name=900x900)