Blog

• romain
• 23 avril 2023
• • Matinale cyber

La UNE

• Un plan de réponse à incident global pour toute l'Europe ?
• On en sait plus sur l'attaque de 3CX
• Tickets de session TLS
• Les conséquences des Pentagon Leaks
• Le développement des entreprises d'espionnage

Attaques et Piratages

3CX : https://pbs.twimg.com/media/FuKI3LqWYAEbnv1?format=jpg&name=small

• Le point sur 3CX : l'attaque supply-chain venait d'une autre attaque supply-chain
  • Mandiant a fait le lien en premier
  • Un employé de 3CX a été piraté via X_Trader, une application de trading boursier de Trading Technologies.
  • Les attaques contre 3CX ont été réalisées avec les malwares TAXHAUL, COLDCAT et SIMPLESEA.
• Une tentative de spear-phishing a été faite sur les employés d'une plateforme d'échange de cryptomonnaie, sans succès.
• CommScope, un des plus grands fabricants d'équipements de réseau au monde, a été victime d'une attaque de ransomware par le gang de ransomware Vice Society
• Ransomware : Evide, un MSSP des NGO UK : les données personnelles de victimes compromises
• Ransomware : NCR, le plus grand fabricant de logiciels bancaires et de paiements au monde, la plateforme de paiement Aloha PoS est down
• Ransomware : La société de hardware Taiwanaise MSI a confirmé le ransomware MoneyMessage
• Activision-Blizzard a subi plusieurs attaques DDoS cette semaine qui ont déconnecté tous ses utilisateurs des jeux.
• Une campagne de phishing massive a été menée en Espagne pour usurper l'identité de l'agence fiscale espagnole, dont les charges finales comprennent Vidar et IcedID.
• Les cybercriminels utilisent des attaques par force brute pour pirater et prendre le contrôle des comptes ChatGPT premium. Les comptes sont vendus sur des marchés illégaux et sont généralement achetés par d'autres cybercriminels qui veulent contourner les restrictions de géo-fencing d'OpenAI et obtenir un accès illimité à ChatGPT à des fins malveillantes.
• Un acteur malveillant a compromis un petit nombre de bases de données MySQL hébergées sur le service cloud de Google en septembre de l'année dernière, a chiffré les données et a demandé une rançon.
• Des entreprises profitent des victimes de sextorsion en leur faisant payer des frais exorbitants pour des services fictifs prétendant être en lien avec des officiels de la loi.

Annonces

• Un plan de réposne à incident global pour toute l'Europe ?
• Proton Pass, le gestionnaire de mots de passe de ProtonMail en bêta ouverte.
• GitHub permet aux développeurs JavaScript de lier leurs packages npm à un référentiel GitHub et d'éliminer la friction des utilisateurs pour trouver le référentiel source d'un package npm.
• GitHub a lancé une nouvelle fonctionnalité appelée Private Vulnerability Reporting qui permet aux utilisateurs de signaler en privé une faille de sécurité dans un référentiel public sans avoir à divulguer les détails de l'exploit via sa section Issues Tracker publique.
• L'ICANN et Verisign proposent de modifier les accords de registres de domaine pour permettre à n'importe quel gouvernement de saisir facilement des noms de domaine .NET, sans aucune protection pour les registres ou les propriétaires de domaines.
• Respawn Entertainment a ajouté des protections DDoS aux serveurs hébergeant des jeux pour ses classements Apex Legends de haut niveau tels que "Prédateur", "Maître" et "Diamant".
• Firefox a publié une nouvelle version qui corrige un bug important qui effaçait les fichiers de cookies de ses utilisateurs.
• Un hélicoptère militaire australien s'est crashé car il a manqué une mise à jour logicielle cruciale.
• Google Cloud offre gratuitement le service Assured OSS qui permet à ses clients d'utiliser les mêmes packages Java et Python que ceux qu'utilise Google pour ses propres applications.
• Google a lancé une API pour deps.dev, une base de données de métadonnées de sécurité, comprenant des dépendances, des licences, des avis et d'autres signaux critiques pour la santé et la sécurité de plus de 50 millions de versions de packages open-source.
• Les agences de cybersécurité des pays des Five Eyes ont publié un guide de bonnes pratiques de cybersécurité pour les smart cities : planification et conception sécurisées, gestion proactive des risques de chaîne d'approvisionnement et résilience opérationnelle.
• Les procureurs généraux des États d'Iowa, du Missouri et de l'Arkansas ont intenté une action en justice contre l'EPA pour sa nouvelle et onéreuse règle de cybersécurité qu'ils estiment imposer des coûts significatifs aux systèmes d'eau publics.
• Les principaux organismes de cybersécurité des pays membres du Commonwealth ont publié une déclaration et des lignes directrices demandant aux fournisseurs de logiciels de publier des produits sécurisés par défaut et par conception.
• Le gouv indien exige que les plateformes en ligne comme Meta et Twitter suppriment les informations non vérifiées par la gouvernement, dans le but de lutter contre la désinformation en ligne
• Les campagnes d'e-mail d'extorsion ont rapporté aux cybercriminels environ 130 000 $ en Bitcoin depuis la fin de février selon McAfee.
• ESET et GitHub ont perturbé les backends du rançongiciel RedLine. GitHub a supprimé les quatre dépôts, empêchant ainsi les opérateurs de cybercriminalité qui avaient acheté l'accès au malware RedLine d'accéder à leurs backends.
• Selon le rapport M-Trends 2023 de Mandiant, la durée médiane d'un attaquant à l'intérieur d'un réseau compromis est passée à 16 jours l'année dernière, contre 21 jours en 2021 et 416 jours en 2011, ce qui suggère que les entreprises sont devenues plus efficaces pour détecter les acteurs de menace à l'intérieur de leurs réseaux.
• OpenAI, le créateur de ChatGPT, a lancé un programme de récompense pour les bogues.
• L'audit de sécurité de Kubernetes de NCC Group est terminé et publié, et aucun problème majeur n'a été trouvé.
• Les chercheurs en sécurité de Google ont découvert deux nouvelles façons d'exploiter la vulnérabilité Spectre du noyau Linux. Ces deux problèmes ont été corrigés et sont identifiés sous les références CVE-2023-0458 et CVE-2023-0459.
• Dmitry Volkov et Ilya Sachkov ont vendu leurs parts respectives dans les entités russe et singapourienne de Group-IB.
• Ça gronde au sein de l'OWASP
• De nouveau le bazar chez Twitter
• Essor des campagnes de surveillance ciblées d'après Amnesty International
• QuaDream, une nouvelle entreprise israëlienne de surveillance ciblé, NSO-like

arrestations ?

• Denis Dubnikov, un ressortissant russe qui a blanchi de l'argent pour le groupe Ryuk ransomware, a reçu une peine très légère des autorités américaines.
• Les autorités néerlandaises ont averti les utilisateurs de RaidForums que leur anonymat n'existe plus et qu'ils risquent des conséquences sérieuses s'ils poursuivent des activités illégales.
• La police européenne a arrêté cinq suspects faisant partie d'une organisation ayant détourné plus de 89 millions d'euros de plus de 33 000 victimes dans le monde entier.

Threat Intel

News :

• Bumblebee malware distribué via des pubs Google Search
• Les acteurs malveillants adoptent de plus en plus le protocole pair-à-pair IPFS pour leurs infrastructures de phishing, et cela après que le protocole IPFS soit devenu une technologie de base pour de nombreuses chaînes de blocs et que de nombreux fournisseurs de cloud l'aient ajouté pour répondre aux besoins en infrastructures des plateformes modernes de crypto-monnaie Web3.
• Faceless est un service proxy qui aide les gangs de cybercriminalité à dissimuler leurs activités malveillantes depuis sept ans.
• Selon le rapport trimestriel de ANY.RUN, le logiciel malveillant RedLine était le plus analysé sur sa plateforme au cours du premier trimestre 2023.
• Les auteurs de malware proposent des services pour déployer des logiciels malveillants dans des applications Android approuvées par Google Play, moyennant un prix d'environ 5 000 dollars.
• Les attaques contre les entreprises d'experts-comptables : GuLoader est le malware utilisé par un acteur menaçant pour cibler les entreprises d'expertise comptable. Microsoft et Fortinet rapportent également des campagnes utilisant des stratégies liées aux impôts pendant la saison des impôts.
• Torswats est un service de swatting à la demande vendu via Telegram qui utilise des voix synthétiques pour passer des appels aux postes de police aux États-Unis.
• Le lieutenant-colonel Sergey Alexandrovich Morgachev, accusé par le Département de la justice américaine d'être responsable de l'attaque contre le Parti démocrate en 2016, est identifié comme le leader de l'unité de piratage militaire russe APT28.
• Les hackers russes prennent le contrôle des caméras de sécurité privées dans les cafés et les entreprises privées ukrainiennes afin de collecter des informations sur les convois d'aide traversant le territoire ukrainien.

Rapports :

• Les gangs de rançongiciels utilisent l'outil AuKill pour désactiver le logiciel de sécurité EDR sur les environnements compromis avant de lancer leurs opérations de chiffrement de fichiers.
• LockBit a réalisé un test de rançonnage de macOS analysé par SentinelOne.
• Dark.IoT est un botnet dont une nouvelle version a été repérée par des chercheurs de QiAnXin qui utilise Pastebin et ClouDNS comme partie de son système de contrôle et de commande.
• Trend Micro a publié une analyse du ransomware BabLock (également connu sous le nom de Rorschach).
• Le ransomware Trigona cible les serveurs MSSQL, en utilisant des mots de passe simples et en installant des chevaux de Troie et des mineurs de cryptomonnaie.
• Les chercheurs de Sucuri ont découvert une campagne de malware gigantesque qui a compromis plus d'un million de sites WordPress depuis 2017, exploitant des vulnérabilités dans les thèmes et plugins WordPress pour infecter les serveurs Linux avec une porte dérobée appelée Balada.
• 2 analyses de Aurora Stealer :
  • Aurora Stealer est un infostealer populaire basé sur Go souvent utilisé par des opérateurs de cybercriminalité de bas niveau.
  • Des chercheurs en sécurité ont identifié Aurora Stealer, un outil malveillant écrit dans le langage de programmation Go.
• La société de sécurité française Glimps a publié une analyse technique de la nouvelle version du ransomware LockBit, connue sous le nom de LockBit Green.

Géopolitique

• Premier cas d'un citoyen israélien infecté par Pegasus
• Des cyberattaques sont suspectées d'avoir perturbé le fonctionnement des systèmes d'irrigation de la région du Galilée supérieure en Israël. L'identité de l'attaquant reste inconnue.
• Les comptes Twitter Blue sont parmi les plus grands diffuseurs d'informations erronées sur la plateforme.
• Patreon semble appliquer des standards différents pour suspendre des comptes ukrainiens pour leur soutien militaire et pas pour les Russes.
• Les entreprises peuvent maintenant vérifier les comptes LinkedIn de leurs employés grâce à la solution cloud Microsoft Entra.
• WhatsApp a mis en place trois nouvelles fonctionnalités de sécurité : Account Protect, Device Verification et Automatic Security Codes
• La campagne de désinformation ciblant la Pologne de Ghostwriter : des messages SMS et Telegram leur annonçant qu'ils étaient recrutés pour participer à une guerre en Ukraine.
• Des agents du FSB et du MVD ont effectué des perquisitions dans plusieurs commissariats de police de Moscou, soupçonnés de vente d'informations personnelles de citoyens russes à des entités ukrainiennes.
• Les entreprises privées chinoises ont facilité plusieurs campagnes d'espionnage numérique menées par des pirates militaires chinois contre des cibles néerlandaises l'année dernière.
• Le NCSC du Royaume-uni a averti que les nouvelles groupes de hacktivistes russes pourraient bientôt mener des attaques plus disruptives et destructrices contre les infrastructures critiques occidentales.
• Syriza, le principal parti d'opposition de gauche de Grèce, a demandé au gouvernement en place s'il a autorisé l'exportation du logiciel espion Predator au Soudan, un pays au bord d'une nouvelle guerre civile.
• Pentagon Leaks :
  • Suite aux Pentagon Leaks, le fabricant de caméras Hikvision a nié travailler avec les services de renseignment CN
  • Le gouvernement américain est bien conscient des opérations de désinformation russes, qui se vantent de diffuser de la progagande anti-UA et des fake news sur les vaccsins via un vaste réseau de faux comptes encore non détectés
• Le gouvernement russe utilise des caméras intelligentes installées à Moscou pour identifier et localiser les individus qui évitent le dernier recrutement de l'armée russe.
• La CN accuse les US d'avoir mis en danger la cybersécurité mondiale par leurs opérations d'espionnage , en se basant sur des incidents passés et publics
• Le groupe hacktiviste pro-chinois Xiaoqiying prévoit de lancer des attaques informatiques contre des organisations au Japon et à Taiwan, ainsi que contre des pays et régions de l'OTAN et tout autre pays ou région hostile à la Chine.
• La nouvelle organisation de rançongiciels Shadow s'attaque aux entreprises russes et demande des rançons allant jusqu'à 2 millions de dollars pour décrypter leurs fichiers.
• Des attaques APT ciblent des organisations chinoises depuis le Vietnam, l'Inde, Taiwan, la péninsule coréenne et les États-Unis.
• Les chercheurs d'EclecticIQ ont accédé à un panneau de serveur SMTP exploité par le groupe d'APT russe Gamaredon. Le serveur exposait les précédentes opérations de phishing ciblant des entités gouvernementales ukrainiennes telles que le Service de renseignement étranger d'Ukraine (SZRU) et le Service de sécurité d'Ukraine (SSU).

Data Sécu

• Environ 7,24 % du trafic vu par l'extension de navigateur d'AdGuard provient de réseaux liés à des traceurs publicitaires en ligne.
• Les autorités suédoises ont fait une descente dans l'entreprise Mullvad VPN à Göteborg, mais n'ont pas pu prendre de serveurs car aucune donnée client n'y existait.
• Les entreprises de messagerie à chiffrement de bout en bout, dont Signal, WhatsApp et Threema, ont signé une lettre ouverte demandant au gouvernement britannique de reconsidérer la forme actuelle de sa loi sur la sécurité en ligne car elle pourrait servir à briser le chiffrement de bout en bout et ouvrir la porte à une surveillance routinière et généralisée des communications personnelles.
• Les organismes de l'application de la loi demandent à Meta de reconsidérer l'ajout de fonctionnalités de chiffrement de bout en bout (E2EE) aux messages de Facebook et Instagram, car cela entraverait leurs efforts et ceux de Meta pour lutter contre la prolifération du contenu à caractère sexuel illicite sur la plateforme.
• Le législateur de l'État du Montana a voté pour interdire l'utilisation de l'application TikTok sur tous les appareils personnels de l'État, devenant ainsi le premier État américain à interdire l'application.

Data Leaks

• Les filiales italiennes et françaises de Hyundai ont fuité les informations de leurs clients, exposant ainsi leurs adresses e-mail, numéros de téléphone, adresses postales et numéros de châssis des véhicules.

Vulnérabilités

• LUKS cassé par la Police Nationale ?
• Exploitation d'une RCE dans les serveurs d'impression PaperCut
• Exploitation de Eval PHP, un plugin obsolète de WordPress
• La bibliothèque npm 'vibrance' modifiée pour distribuer un malware (on avait déjà vu son équivalent python)
• Censys a trouvé plus de 8 000 serveurs exposés à Internet qui hébergeaient des informations sensibles, ainsi que plus de 40 000 outils de surveillance et serveurs API exposés sans authentification adéquate, ce qui pourrait être exploité par des attaquants pour mener des reconnaissances.
• Des anciens routeurs mis hors service révèlent des informations confidentielles d'entreprises, selon une étude menée par ESET.
• Il y a plus de 465 000 systèmes Windows connectés en ligne exposant leur service MSMQ et qui pourraient être exploités via la vulnérabilité RCE CVE-2023-21554 récemment patchée.
• SysSec a découvert des vulnérabilités dans les tickets de session TLS, ce qui permet aux attaquants de décrypter le trafic TLS ou d'imiter le serveur.
• Google a publié un correctif pour Chrome v112.0.5615.137/138 qui corrige huit failles de sécurité, y compris une nouvelle zero-day (CVE-2023-2136) découverte par l'équipe TAG de Google.
• Oracle a corrigé 433 vulnérabilités dans diverses familles de produits dans le cadre de ses mises à jour de sécurité trimestrielles.
• La vulnérabilité CVE-2023-25194 de Kafka RCE impacte également le moteur d'analyse Apache Druid, qui dispose d'une fonctionnalité permettant d'importer des données depuis des serveurs Kafka.
• La vulnérabilité CVE-2022-29844 d'un appareil NAS Western Digital My Cloud a été exploitée lors du concours de hacking Pwn2Own Toronto 2022 pour obtenir un accès non autorisé.
• Un chercheur en sécurité a découvert une vulnérabilité facile à exploiter permettant de prendre le contrôle des boîtes mail KerioConnect en envoyant un fichier malveillant à la cible souhaitée.
• Des failles de sécurité peuvent être exploitées sur les comptes de stockage Azure pour voler les jetons d'identification privilégiés, accéder aux actifs d'entreprise critiques et exécuter du code à distance.
• Des étudiants en sécurité maltais ont été arrêtés après avoir signalé une vulnérabilité à l'application FreeHour et avoir demandé une récompense pour leurs efforts.
• RCE dans le réseau interne de Google via une attaque de confusion de dépendance
• Les chercheurs ont découvert qu'une fonctionnalité vulnérable dans de nombreux portefeuilles crypto-monnaie pour applications mobiles, appelée WalletConnect, peut être exploitée pour des attaques de phishing qui peuvent induire les utilisateurs à signer des transactions malveillantes et à perdre leurs fonds.

Patch Tuesday :

• Adobe,
• Apple,
• Microsoft,
• Mozilla Firefox,
• Google Chrome,
• Google Cloud,
• Fortinet,
• Hikvision,
• Jenkins,
• SAP.
• Android
• Cisco

KEV (Exploitations)

Les Outils

• L'extension Security Notes, développée par Refactor Security, a été libérée en open-source pour aider aux revues de code d'un point de vue sécuritaire.
• QuarksLab a open-source le framework collaboratif PASTIS pour le fuzzing.
• SpecterOps a publié la version 4.3 du kit d'outils de l'équipe rouge BloodHound.
  • L'EQUIPE ROUGE
• Le Prof. Emily M. Bender a lancé une base de données publique d'incidents liés à la sécurité et à la confidentialité causés par l'intelligence artificielle.
• Red Canary a publié un nouvel outil libre appelé Mac Monitor, conçu pour la recherche en matière de sécurité sur MacOS et qui collecte et enrichit les événements système pour les afficher graphiquement avec un ensemble de fonctionnalités étendues pour réduire le bruit.

Les Articles

• Le point sur l'extraction des secrets dans Windows
• Le guide SBOM de CISA fournit des techniques et des solutions permettant de partager des fichiers SBOM pour aider les organisations à choisir la solution de partage la plus adaptée.
• LoRa comme système de commande et de contrôle
• Quels forums monitorer sur le Dark Web ?
• Les vidéos de la conférence Botconf 2023 sont désormais disponibles sur YouTube.
• Le NOUVEAU LAPS de Microsoft

Des échanges de cryptoactifs piratés ?

• Le hacker qui a volé 8,9 millions de dollars d'actifs de la plateforme de cryptomonnaie SafeMoon s'est engagé à restituer 80% des fonds volés, estimés à 7 millions de dollars.
• Un acteur est en train de siphonner des fonds de portefeuilles de crypto-monnaies sur Internet depuis décembre dernier, plus de 9,7 M$
• La plateforme Hundred Finance a été victime d'une attaque de prêt flash : 7,4 M$
• La plateforme de cryptomonnaie sud-coréenne GDAC : 13 M$
• L'échange de cryptomonnaies Bitrue a été piraté via l'attaque de ses wallets hots : 23M$
• Un pirate informatique a exploité une faille dans la plateforme Yearn Finance pour voler des actifs de 11,6M$
• Terraport a été piraté et 4 M$

DRAMA Cyber

• https://twitter.com/epelboin/status/1648730211326873600?s=20

WTF