Blog

• romain
• 16 avril 2023
• • Matinale cyber

La UNE

• Thug Shaker Central leaks
• Samsung fait fuiter des secrets par ChatGPT
• TikTok continue son chemin d'interdiction
• Après l'Italie, le Canada bannit ChatGPT pour collecte de données sans consentement
• Anonymous Soudan est en fait KillNet
• Attaque DoS de NPM

Thug Shaker Central

• Des documents classifiés US fuite à propos de la guerre en Ukraine
• Une versin modifiée fait apparaitre des pertes UA supérieures
• L'origine des document est retracée à un premier serveur Discord

Attaques et Piratages

• Western Digital a confirmé une attaque informatique qui a eu lieu le 26 mars et qui a entraîné la fermeture et le dépannage de certains de ses systèmes cloud.
• Le bureau des enregistrements criminels du Royaume-Uni (ACRO) a confirmé avoir subi une attaque informatique qui a paralysé ses systèmes internes le 17 janvier dernier. Les conséquences de cet incident ont touché les citoyens britanniques qui cherchaient à accéder à leurs dossiers criminels et ceux qui souhaitaient voyager ou travailler à l'étranger.
• La page web d'eFile.com, un service autorisé par l'IRS pour la déclaration des impôts, a été compromise et utilisée pour diffuser des logiciels malveillants aux visiteurs.
• Capita, un fournisseur de services informatiques britannique, a subi une importante violation de sécurité informatique. Les détails de la nature de la violation ne sont pas encore connus, mais l'incident a inquiété les responsables gouvernementaux car Capita est un important contractant pour le NHS et de nombreuses autres agences du gouvernement britannique.
• Des étudiants de plusieurs universités et collèges américains et canadiens ont fait l'objet d'une attaque après une violation de sécurité dans la plateforme Campus de la société AudienceView en milieu de février.
• Environ 130 clients de Fortra ont été piratés par le groupe cybercriminel Clop et se font maintenant extorquer de grosses sommes d'argent ou risquent de voir leurs données diffusées.
• La campagne de spam dont on avait déjà parlé ici a fait tombrer NPM
• Le directeur d'une école de Floride a démissionné le mois dernier après avoir envoyé un chèque de 100 000 $ à un escroc se faisant passer pour l'assistant d'Elon Musk.

Annonces

• La faille de sécurité de l'usine de traitement d'eau de Oldsmar, en Floride, en 2021 était en fait le résultat d'un clic sur le mauvais bouton par un employé et non pas une attaque informatique.
• Metamask a mis en place une nouvelle fonctionnalité qui utilise les listes de escrocs connus d'OpenSea et Blockaid pour afficher des alertes aux utilisateurs avant d'envoyer ou de signer une transaction à une entité malveillante connue.
• Les applications Android devront permettre aux utilisateurs de supprimer leurs comptes et leurs données associées à partir de l'application ou d'un tableau de bord web, à compter du début de l'année 2024.
• Google a confirmé la semaine dernière qu'il avait mis en place une limite de 5 millions de fichiers maximum par compte Google Drive, même pour les comptes payants, sans en informer personne.
• Les gouvernements des États-Unis, du Royaume-Uni et de dix autres pays ont publié une déclaration conjointe sur leurs efforts pour lutter contre la prolifération des logiciels espions commerciaux.
• Les dispositifs médicaux soumis à l'approbation de la FDA à partir du 29 mars 2023 devront comprendre une liste des composants logiciels et un plan pour identifier et traiter les vulnérabilités de sécurité et publier des mises à jour de sécurité tout au long de leur cycle de vie.
• Nouveau marché noir : STYX
• Un nouveau forum nommé PwnedForums est apparu comme remplacement pour le maintenant saisi BreachForums et l'ancien administrateur Baphomet a nié être impliqué.
• Les autorités allemandes ont saisi les serveurs de FlyHosting, un fournisseur d'hébergement Web qui servait les gangs de cybercriminalité et les services de DDoS-à-louer.
• Microsoft Defender Vulnerability Management fournit des informations sur le statut de redémarrage des appareils pour l'application des derniers correctifs de sécurité.
• Les principaux fabricants de navigateurs ont annoncé leurs plans pour uniformiser la gestion des cookies intersites (SameSite = None).
• Le gouvernement néerlandais a imposé que tous les serveurs gouvernementaux utilisent le standard RPKI d'ici la fin de 2024 pour signer les routes BGP.
• Les assurés en cybersécurité et l'écosystème des rançons : un rapport publié par un organisme caritatif britannique propose que l'industrie des assurances en cybersécurité pourrait contribuer à ralentir le système actuel de rançon et d'extorsion de données.

Arrestations ?

• Cent-dix-neuf suspects ont été arrêtés par les forces de l'ordre dans 17 pays pour leur implication dans un marché souterrain spécialisé dans la vente de mots de passe et de cookies d'authentification.
• José Luis Huertas, âgé de 19 ans, a été arrêté par les autorités espagnoles pour avoir piraté plusieurs agences gouvernementales, notamment l'administration fiscale et le service judiciaire. Il a créé un service appelé "The Eye of Horus" permettant à d'autres acteurs malveillants d'accéder aux données personnelles des citoyens espagnols.
• Andrey Shevlyakov, un citoyen estonien, a été accusé par les autorités américaines de contourner les sanctions et de tenter d'acquérir des produits électroniques américains au nom du gouvernement et de l'armée russes, ainsi que des outils de piratage informatique.
• Un adolescent de la ville néerlandaise de Leeuwarden a été condamné à une détention juvénile avec sursis de trois mois et à un service à la communauté de 120 heures pour avoir développé et vendu des panneaux de phishing.
• Les autorités américaines ont saisi 112 millions de dollars de crypto-monnaie à partir de six comptes de monnaies virtuelles, utilisés pour blanchir les fonds des escroqueries à la confiance en crypto-monnaie, également connues sous le nom de pig butchering.
• La police européenne a démantelé un gang de phishing qui a volé plus de 4,3 millions de dollars à des citoyens de l'UE via des campagnes de phishing. 10 membres du gang ont été arrêtés et plus de 1000 victimes ont été identifiées.
• Les autorités sri-lankaises ont arrêté 39 nationaux chinois pour hacking et vol d'argent du compte bancaire des personnes vivant dans différents pays.

Threat Intel

• Rapport sur KillNet (DDoS RU) par le gouv US
• Trend Micro a publié un rapport de 27 pages sur les structures internes des groupes de cybercriminalité.
• Le ThreatMon a publié un rapport de 34 pages sur l'Armée IT de l'Ukraine, l'armée informatique non officielle de l'Ukraine.
• Les acteurs chinois menacent d'utiliser des techniques de blanchiment d'argent classiques pour acheter des cartes-cadeaux et des produits coûteux pour les revendre, et des techniques plus récentes qui impliquent l'achat et la revente d'ebooks, de NFT et de pièces TikTok.
• Rapport : Anonymous Russia a mené des opérations visant des entreprises privées, des hôpitaux et des organisations gouvernementales dans les États alliés à l'OTAN et amis de l'Ukraine entre juillet 2022 et mars 2023.
• La nouvelle bande de cybercriminels FusionCore loue l'accès à un assortiment de logiciels malveillants par leur canal Telegram. Elle est actuellement à l'origine du Ransomware-as-a-Service AntraXXXLocker, du ransomware SarinLocker, de l'infostealer et du ransomware RootFinder, de l'infostealer Strontium, du crypter Cryptonic et du cryptominer GoldenMine.
• Des chercheurs de Trustwave ont relié à nouveau le groupe hacktiviste Anonymous Sudan au Kremlin, affirmant que ce n'est pas un mouvement authentique mais plutôt un projet annexe du groupe pro-Kremlin Killnet.

Géopolitique

• Les hackers du groupe CyberRésistance ont piraté le compte AliExpress du blogueur militaire russe Mykhayl Luchin et ont utilisé une carte de paiement liée à ce compte pour acheter 25 000 $ de sextoys sur AliExpress.
• Uniview, une autre entreprise chinoise de caméras de sécurité, fournit des outils de surveillance et des capacités de profilage ethnique au gouvernement chinois dans les régions du Xinjiang et du Tibet.
• La Procureure européenne a ouvert une enquête sur la présumée utilisation par le gouvernement grec du logiciel espion Predator pour écouter les communications de ses rivaux politiques, de journalistes et de ses membres de la branche judiciaire.
• L'Internal Revenue Service des États-Unis souhaite acheter des données de flux Internet auprès de Team Cymru, un fournisseur connu pour le FBI et l'armée américaine.
• Une agence gouvernementale américaine a utilisé une société écran pour obtenir un accès à un outil de surveillance de NSO Group quelques jours avant que l'administration Biden ne sanctionne la société en novembre 2021.
• La Chine procédera à une évaluation de sécurité des produits vendus par le fabricant de puces américain Micron sur le territoire chinois.
• Le gouvernement indien cherche à dépenser jusqu'à 120 millions de dollars en logiciels espions et en produits de surveillance pour remplacer ses capacités de NSO Group.
• Les comptes médias d'Etat chinois sont désormais visibles dans les fils d'actualité des utilisateurs de Twitter, en dépit des propres politiques de la plateforme.

Data Sécu

• Ban temporaire de ChatGPT en Italie à cause de la collecte de données
  • L'Autorité italienne de protection des données a interdit temporairement le logiciel d'intelligence artificielle ChatGPT pour enquêter sur une éventuelle violation de la législation RGPD.
• L'autorité de protection des données canadienne a lancé une enquête officielle sur le service ChatGPT d'OpenAI après une plainte selon laquelle le service collectait des données personnelles sans consentement.
• TikTok :
  • TikTok a été sanctionné par la Commission de protection des données du Royaume-Uni pour avoir collecté des données personnelles d'enfants de moins de 13 ans sans le consentement parental.
  • L'Australie interdit l'utilisation de l'application TikTok sur les appareils gouvernementaux.
  • La NATO a interdit à ses employés de télécharger l'application sur leurs appareils fournis par la NATO, en raison des craintes de surveillance et d'espionnage chinois.

Data Leaks

• Fuite de données chez Samsung à cause de ChatGPT
  • Samsung a averti ses employés de ne pas utiliser ChatGPT pour leur travail quotidien.
• La Fédération Néerlandaise de Football a été victime d'une violation de ses serveurs, entraînant le vol des informations personnelles de ses employés.
• Des données personnelles de plus de deux millions de citoyens néerlandais ont été volées à la fin du mois dernier lors d'une fuite de données chez Blauw, une entreprise de recherche de marché néerlandaise. La société a accusé une vulnérabilité logicielle chez un de ses sous-traitants, Nebu, qui aurait refusé de coopérer à son enquête.
• Un hacker nommé 9Near a revendiqué avoir piraté et volé les données personnelles de plus de 55 millions de citoyens thaïlandais, représentant presque les trois quarts de la population du pays. La rançon demandée était destinée à empêcher la fuite des données.

Vulnérabilités

• Des affiliés du groupe ransomware AlphV (BlackCat) ciblent des serveurs de sauvegarde Veritas exposés publiquement pour accéder aux réseaux d'entreprises. Ils exploitent trois vulnérabilités de 2021 dans le serveur Veritas Backup Exec.
• Les chercheurs d'IBM X-Force ont découvert une vulnérabilité (CVE-2023-26462) dans ThingsBoard, une plateforme de gestion et d'agrégation des données utilisée par les fabricants de périphériques IoT. Cette vulnérabilité peut permettre à un attaquant distant d'obtenir des privilèges élevés car des informations d'identification de service prédéfinies sont stockées dans un format non sécurisé.
• Les vulnérabilités trouvées dans le client Linux de CyberGhostVPN permettent des attaques de type Man-in-the-Middle, Remote Code Execution et Local Privilege Escalation.
• Les smartphones Google Pixel 6 étaient vulnérables à une faille qui avait été corrigée cinq mois plus tôt.
• Evan Connelly a révélé une faille permettant de prendre le contrôle des comptes internes de Tesla.
• Cisco a publié 13 mises à jour de sécurité pour certains de ses produits, dont la CVE-2023-20102.

KEV (Exploitations)

• CVE-2022-27926 - Zimbra RCE
• CVE-2013-3163 - Microsoft Internet Explorer Memory Corruption Vulnerability
• CVE-2014-1776 - Microsoft Internet Explorer Memory Corruption Vulnerability
• CVE-2017-7494 - Samba Remote Code Execution Vulnerability
• CVE-2022-42948 - Fortra Cobalt Strike User Interface Remote Code Execution Vulnerability
• CVE-2022-39197 - Fortra Cobalt Strike Teamserver Cross-Site Scripting (XSS) Vulnerability
• CVE-2021-30900 - Apple iOS, iPadOS, and macOS Out-of-Bounds Write Vulnerability
• CVE-2022-38181 - Arm Mali GPU Kernel Driver Use-After-Free Vulnerability
• CVE-2023-0266 - Linux Kernel Use-After-Free Vulnerability
• CVE-2022-3038 - Google Chrome Use-After-Free Vulnerability
• CVE-2022-22706 - Arm Mali GPU Kernel Driver Unspecified Vulnerability

Les Outils

• Mozilla a mis à jour le service de surveillance et d'alerte des violations de données Firefox Monitor et a lancé un site web dédié.
• Noyb a lancé un outil gratuit pour permettre aux utilisateurs de se désinscrire du suivi en ligne de Meta.
• Le navigateur Mullvad, construit sur Firefox, offre des protections anti-fingerprinting fortes, le blocage des suiveurs tiers, une navigation privée par défaut et aucune collecte télémétrique cachée, disponible pour Windows, macOS et Linux.
• Les chercheurs de l'Université Carnegie Mellon ont développé un outil appelé Privacy Label Wiz qui peut aider les développeurs iOS à créer des étiquettes de confidentialité plus précises pour leurs applications.
• Living Off the Land Drivers
• GTFOArgs
• BBRadar, regrouper tous les programmes de bug bounty
• debugHunter est une extension Chrome créée par le chercheur en sécurité Daniel Pua qui peut découvrir des paramètres de débogage cachés et révéler les secrets des applications web.
• ProcMon pour MacoS
• Les vulnérabilités Pentah0wnage de la plateforme Pentaho Business Analytics Server permettent une chaîne de commande à distance à l'authentification préalable.
• Avec l'attaque TAP OBO, SpecterOps a mis en évidence une nouvelle méthode pour maintenir un accès à un compte cible dans AzureAD en se servant des passes d'accès temporaires et du flux OAuth on-behalf-of.
• Il existe une exploitation en cours de CVE-2023-23397, une faille 0-day récemment corrigée dans le client Outlook de Microsoft.

Les Articles

• Rapport d'une cyberattaqude d'un PPT : Pas doué Persistent Threat
• Manipuler l'algorithme de Twitter pour faire taire des comptes.
• Rapport de Sucuri (GoDaddy) :
  • 1.2 M de backdoors
  • plus de la moitié des sites piratés utilisaient un CMS obsolète
  • 1/3 des sites wordpress avec des comptes admins malveillants
• RCE dans Azure pipelines
• Les chercheurs de CrowdStrike ont découvert que des archives SFX vides pouvaient être utilisées pour exécuter des commandes PowerShell sans être détectées.
• Les attaques de proxyjacking peuvent cibler des serveurs cloud et utiliser des serveurs légitimes pour relayer le trafic web des autres.
• Les voleurs utilisent une nouvelle technique appelée "Injection CAN" pour pirater des véhicules et contourner le système d'entrée sans clé, puis ouvrir les portes et démarrer le moteur.
• Des vulnérabilités ont été découvertes dans les produits Nexx, telles que les portes de garage, les systèmes d'alarme et les prises électriques connectées. Ces vulnérabilités permettraient à un attaquant distant de contrôler ces produits à distance pour tous les clients Nexx à travers le monde. Nexx n'a pas répondu aux chercheurs en sécurité, aux journalistes et même à la CISA. Aucune mise à jour n'est disponible pour les produits Nexx affectés.
• Microsoft a corrigé en janvier une vulnérabilité dans le planificateur de tâches Windows liée à CVE-2023-21541.
• Avec l'attaque TAP OBO, SpecterOps a mis en évidence une nouvelle méthode pour maintenir un accès à un compte cible dans AzureAD en se servant des passes d'accès temporaires et du flux OAuth on-behalf-of.
• Il existe une exploitation en cours de CVE-2023-23397, une faille 0-day récemment corrigée dans le client Outlook de Microsoft.
• Comparaison : ExploitDB contient plus de 45 000 exploits, contre moins de 38 000 pour 0day.today.
• Plus de 15 millions de systèmes à travers le monde sont exposés aux 896 vulnérabilités incluses dans la base de données CISA KEV, et les dix vulnérabilités les plus exposées sont répertoriées dans le tableau ci-dessous, avec deux problèmes de serveur web Apache en tête.

Des échanges de cryptoactifs piratés ?

• Sentiment : 1M$
• Plusieurs bots MEV : 20 M$ à partir d'un seul bot.
• Allbridge : 570k$ volés, 465k$ rendus