Blog

• romain
• 11 avril 2023
• • Matinale cyber

La UNE

• Saisie du marché noir Genesis
• Fuite de données chez Samsung à cause de ChatGPT
• LOLDrivers : Living Off the Land Drivers

Attaques et Piratages

• UK’s Criminal Records Office (ACRO) victime d'un ransomware probable
• Entreprise de stockage de masse WD attaquée
• Attaque de la Fédération de foot hollandaise et vol des données des employés
• La campagne de spam a fait tombrer NPM
• Attaque de Capita, un fournisseur du service de santé UK

Annonces

• Saisie du marché noir Genesis, 119 suspects arrêtés à travers 17 pays
  • Est ce que vs données ont été vendues sur Genesis ?
  • Rapports sur les botnets vendus : par Sector7 et Trellix
• La Hollande force l'utilisation de sa PKI pour BGP
• Nouveau marché noir : STYX
• Mullvad browser : TOR sans le routage
• Nouveau forum après Breached : PwnedForums
• L'attaque contre l'usine de traitement des eaux d'Oldsmar en 2021 n'était pas un hack !
• Saisie en allemagne des serveurs de FlyHosting

Threat Intel

• Rapport sur KillNet (DDoS RU) par le gouv US

Géopolitique

• Piratage du compte AliExpress d'un blogueur mili pro-RU
• L'australie interdit TikTok des tel pro des agents
• L'OTAN aussi
• La Chine se méfie des puces US

Data Sécu

• Ban temporaire de ChatGPT en Italie à cause de la collecte de données
• Google restreint les permissions accordées aux applications de prêt bancaires
• Amende de TikTok de 12,7M£ aux UK pour manque de consentement des enfants
• Un label pour les applications iOS qui respectent la vie privée

Data Leaks

• Fuite de données chez Samsung à cause de ChatGPT
• Après l'Italie, enquête sur ChatGPT par le Canada
• Blauw : fuite des données de 2M de citoyens hollandais à cause d'un fournisseur, ce qui a fuité n'est pas très sûr
• fuite des données de 55 M de thailandais (nom/tel/CNI/date de naissance), finalement le hacker annule la publication des données par "conviction"

Vulnérabilités

• CyberGhost VPN
• Vol de voiture via CAN injection
• On peut abuser l'algo de Twitter pour invisibiliser des comptes arbitrairement
• Windows Task Scheduler
• Azure Temporary Access Passes (TAP) via OAuth on-behalf-of (OBO)
• Outlook 0-day exploitée dans la nature

KEV (Exploitations)

• Zimbra vuln exploitée par la RUssie
• CVE-2013-3163 - Microsoft Internet Explorer Memory Corruption Vulnerability
• CVE-2014-1776 - Microsoft Internet Explorer Memory Corruption Vulnerability
• CVE-2017-7494 - Samba Remote Code Execution Vulnerability
• CVE-2022-42948 - Fortra Cobalt Strike User Interface Remote Code Execution Vulnerability
• CVE-2022-39197 - Fortra Cobalt Strike Teamserver Cross-Site Scripting (XSS) Vulnerability
• CVE-2021-30900 - Apple iOS, iPadOS, and macOS Out-of-Bounds Write Vulnerability
• CVE-2022-38181 - Arm Mali GPU Kernel Driver Use-After-Free Vulnerability
• CVE-2023-0266 - Linux Kernel Use-After-Free Vulnerability
• CVE-2022-3038 - Google Chrome Use-After-Free Vulnerability
• CVE-2022-22706 - Arm Mali GPU Kernel Driver Unspecified Vulnerability

Les Outils

• Opt-out du tracking de Meta (Facebook)
• Living Off the Land Drivers
• GTFOArgs

Les Articles

• Rapport d'une cyberattaqude d'un PPT : Pas doué Persistent Threat
• Rapport de Sucuri (GoDaddy) :
  • 1.2 M de backdoors
  • plus de la moitié des sites piratés utilisaient un CMS obsolète
  • 1/3 des sites wordpress avec des comptes admins malveillants
• RCE dans Azure pipelines

Des échanges de cryptoactifs piratés ?

• Sentiment : 1 M$ volés
• Allbridge : 570k$ volés, 465k$ rendus