Matinale cyber du 02/05/2023
- romain
- 1 mai 2023
Attaques et Piratages
- Americold a subi une attaque informatique et ses systèmes informatiques sont hors-service depuis près d'une semaine
- Le gouvernement US a détecté une tentative d'intrusion informatique par des hackers iraniens dans un site de résultats électoraux
- Une campagne Magecart vole les informations financières des acheteurs sur des magasins en ligne basés sur PrestaShop
- Des paquets malveillants ont été trouvés sur npm
- Les incidents liés au rançongiciel étaient rares au début de l'année mais ont augmenté à la fin
- Au premier trimestre 2023, les Pays-Bas ont connu 676 attaques DDoS dont 26 durant plus de 4 heures
Annonces
- Google perturbe le fonctionnement de CryptBot
- Le Département de la Justice US a détecté l'attaque SolarWinds 6 mois avant sa divulgation
- Mozilla arrêtera Firefox Private Network le 15 juin 2021
- GnuPG a ajouté ADSK pour déchiffrer les courriels des employés absents ou partis
- La fin de support de Windows 10 est fixée au 14 octobre 2025
- ChromeOS ajoute de nouvelles fonctionnalités de sécurité pour protéger les données des utilisateurs
- Fastly a lancé une autorité de certificats avec une durée de validité maximale de 30 jours
- Google arrête de supporter les signatures SHA-1 pour éviter les attaques
- Google Authenticator a été mis à jour pour permettre la synchronisation des OTP sur un compte Google
- Elon Musk a facilité les escrocs et a suspendu des comptes de journalistes
- GuardDuty d'Amazon détecte désormais les activités de minage de cryptomonnaies sur AWS Lambda
- Le FBI demande un budget supplémentaire pour recruter autant de spécialistes en cybersécurité que la Chine
- Les fournisseurs de logiciels mondiaux sont impactés par l'auto-attestation de logiciels sécurisés
- MITRE a publié la version 13 de ATT&CK, avec de nouvelles techniques, nouveaux malwares et nouveaux groupes
- Runa Sandvik offre gratuitement des services de cybersécurité aux journalistes ukrainiens
- ETHOS offre un partage d'alertes précoces contre les infrastructures critiques
- Google a annoncé un service d'analyse de fichiers malveillants avec IA/ML
Industrie
- FACCT est l'ancien Group-IB Russia, qui s'est séparé de sa division internationale
- Yubico fusionne avec ACQ Bure pour s'étendre sur de nouveaux marchés
Threat Intel
- Les utilisateurs de BreachForums avaient des mots de passe très sécurisés
- Deepmix et Chang'an se disputent le marché sombre chinois
- La gang Clop est à l'origine des attaques sur les serveurs de gestion de l'impression PaperCut
- FIN7 a exploité une vulnérabilité pour cibler des serveurs de sauvegarde Veeam fin mars
- eSentire a découvert un moyen pour empêcher GootLoader de déployer son contenu sur les sites web piratés
- Bassterlord, ancien affilié à un gang de rançongiciel, s'est retiré et a été interviewé
Rapports
- Plus de 9 millions de fuites de route BGP et 3 millions d'attaques de piratage BGP ont été détectées au premier trimestre 2023
- Phylum a détecté plus de 800 000 paquets suspects en 2023
- Les attaques par phishing ont augmenté de 47% en 2020
- Les demandes de rançon pour des attaques de rançongiciel ont atteint des sommes record en Q1 2023
- Les cyberattaques sont détectées en 10 jours, le ransomware étant le plus répandu (Sophos)
- Plus de 500 000 victimes ont été infectées par des annonces Facebook malveillantes
- Les attaques DDoS contre l'Inde ont doublé en 2021
- Plus de 250 millions d'artifacts et 65 000 images de containers ont été exposés via des registres mal configurés
- Il y a eu une augmentation de 200% du trafic de bots malveillants et une diminution du trafic humain légitime
- Les attaques sur les distributeurs automatiques de billets en Europe ont coûté 211 millions d'euros en 2022
- Des profils Facebook ont été créés pour phisher des utilisateurs dans plus de 20 langues depuis février
- Ne faites pas cela
Malware
- Des outils peuvent être utilisés pour détecter le trafic des C2 Sliver dans un réseau
- Rapture est un nouveau ransomware "astucieusement conçu" et très similaire à Paradise
- Le rapport de Netresec analyse l'activité réseau générée par une infection avec le rançongiciel EvilExtractor
- Uptycs a découvert une version Linux de RTM Locker ransomware
- Fortinet a publié une analyse du ransomware UNIZA découvert ce mois-ci
- Plus de 35 millions de téléchargements d'applications infectées par le malware HiddenAds ont été détectés sur le Google Play Store
- ViperSoftX attaque le secteur de la crypto-monnaie et a déjà touché un grand nombre de victimes
- Des chercheurs de JFrog ont découvert des paquets PyPI malveillants qui volaient des informations
- Mohamed Adel a publié un rapport sur le créateur du logiciel malveillant Aurora Stealer
- LOBSHOT est un malware qui vole des données bancaires et de portefeuille crypto
APTs
- APT37 est une campagne qui cible des organisations sud-coréennes avec le logiciel malveillant RokRat
- FARAJA en Iran a installé du malware sur les appareils des manifestants arrêtés
- APT28 a envoyé des courriels "Windows Update" aux employés ukrainiens pour collecter des données
- LoneZerda s'attaque à des cibles hors de Libye
- Nomadic Octopus a mené une campagne d'espionnage ciblant des entités en Tadjikistan
- ESET a découvert une attaque par Evasive Panda via Tencent QQ et MgBot
- Check Point a révélé des mises à jour des outils et des opérations d'Educated Manticore
- Seongsu Park de Kaspersky a créé un diagramme de l'attribution de l'attaque 3CX
Géopolitique
- Un hacker pirate et expose les adresses BTC utilisées par le GRU et le FSB
- Des hackers Ukrainiens s'invitent à une réunion Iran-Russie
- Microsoft Bing censure plus de résultats de recherche que Baidu
- Les "hacktivistes" soutenant le Kremlin sont contrôlés par le gouvernement russe
- La justice brésilienne a suspendu temporairement l'accès à l'application Telegram au Brésil
- La Maison Blanche va annoncer sa nouvelle Stratégie Nationale de Cybersécurité cet été
- Le FBI aide l'Ukraine à obtenir des preuves des attaques russes
- L'Union européenne impose des règles strictes sur 19 plateformes en ligne pour lutter contre le contenu illégal et nocif
- L'utilisation de logiciels espions par la police israélienne sera enquêtée
- L'OTAN a organisé un exercice de cybersécurité avec 38 pays et 24 équipes
- Le Trésor américain a imposé des sanctions à un responsable iranien pour sa répression des protestations
- La Russie veut forcer les distributeurs à installer un système d'exploitation russe sur tous les nouveaux ordinateurs
- Le gouvernement chinois mène une campagne de désinformation contre les États-Unis
- Un groupe de cyber-espionnage cible des organisations russes par des campagnes de phishing
Data Sécu
- Edge révèle l'historique de navigation à Bing, désactivez la fonction jusqu'à correction
- La loi hawaïenne sur la censure est sur le point d'être abrogée pour éviter tout abus de pouvoir par les autorités
- Un homme a été arrêté en Ukraine pour avoir vendu des bases de données volées
Data Leaks
Vulnérabilités
- Vulnérabilité dans le protocole SLP
- La mise à jour Chrome v113 est en cours de déploiement pour tous les utilisateurs
- Les routeurs TP-Link sont vulnérables à une exploitation par une botnet Mirai
- Une vulnérabilité XSS critique a été découverte sur cPanel et une mise à jour a été publiée
- Des vulnérabilités dans Acrobat et Apple ont été corrigées par Zscaler
- Un chercheur de l'OTAN a découvert une vulnérabilité XSS sur le panneau web de Cisco Prime Collaboration Deployment
- Zyxel a publié des mises à jour de sécurité pour corriger neuf vulnérabilités sur plusieurs de ses produits
- Il y a une faille de sécurité XSS dans Odoo, identifiée par SonarSource
- Une vulnérabilité dans KeyCloak permet à un attaquant authentifié de s'identifier comme la victime
- Thales va tester des vulnérabilités de satellites de l'ESA à la conférence CYSAT
- Google Project Zero a identifié des vulnérabilités dans Intel TDX pouvant avoir des conséquences sécuritaires
- KeePassXC a publié un audit de sécurité de ses outils de gestion de mot de passe effectué plus tôt cette année
- Les chercheurs ont découvert une nouvelle attaque difficile à contrer sur les CPU Intel
- Il existe une faille d'exécution à distance dans Apache Superset
- La communauté Git a publié des mises à jour de sécurité cette semaine
Exploitations
- Les routeurs Cisco sont exposés à une vulnérabilité exploitée par l'APT28 russe
- Des acteurs malveillants exploitent une vulnérabilité d'exécution de code à distance non authentifiée dans Avaya Aura
- L'entreprise CUJO a découvert 55 vulnérabilités IoT l'année dernière, dont la plus fréquemment exploitée était CVE-2017-17215
- Une faille de sécurité dans le serveur PaperCut est exploitée activement
Les Outils
- ImpELF est un outil open-source pour analyser les malwares sur les systèmes Linux
- Samet Sazak a développé Mergen, une application open-source pour auditer la sécurité des systèmes macOS
- Persistance Sniper, une lib en powershell pour trouver des traces de persistance
Les Articles
- Telegram a corrigé plusieurs bugs sans reconnaître le travail de recherche de Davide Turi
- Thales a réussi à hacker un satellite de l'ESA à la conférence CYSAT
Des échanges de cryptoactifs piratés ?
- Un hacker a volé environ 2 millions de dollars de crypto-monnaie sur la plateforme 0VIX
- Des hackers volent des crypto-monnaies d'une valeur estimée entre 15 et 20 millions de dollars via une vulnérabilité API chez AT&T
- Un hacker a volé plus de 1,82 millions de dollars de crypto-monnaies à partir de l'échange décentralisé Merlin
- Un acteur malveillant a volé 700 000 $ en actifs cryptographiques via une vulnérabilité dans un contrat intelligent