Matinale cyber du 09/05/2023 : CyberMuraille de Chine, Smashing Pumpkins, ChatGPT, obfuscation de Powershell
- romain
- 9 mai 2023
Attaques et Piratages
- La Money Message ransomware gang a publié les clés privées cryptographiques de plus de cent produits MSI après une attaque de ransomware contre leur succursale américaine.
- Une ancienne entreprise de la société Orqa a planté un code malveillant dans leur firmware avant de partir et a récemment activé le code pour causer des problèmes aux clients.
- Le Service des marshals US est encore en train de gérer les conséquences de l'attaque de ransomware qui a frappé ses systèmes informatiques en février de cette année.
- T-Mobile a signalé une brèche entre le 24 février et le 30 mars 2021, mais ce n'est pas la première cette année.
- 8 nouveaux paquets malveillants npm ont été découverts la semaine dernière.
Attaques et Piratages
Piratages notables cette semaine
- Le service de police du comté de San Bernardino a payé une rançon de 1,1 million de dollars à un groupe de ransomware.
- La société NextGen a été victime d'une attaque de credential-stuffing et d'un incident avec le ransomware AlphV ces deux derniers mois.
- Un gang de rançongiciels a piraté le système d'alerte d'urgence d'une université américaine et a menacé les étudiants et le personnel d'une fuite de données si leur rançon n'était pas payée.
- Dallas, la 9ème plus grande ville des États-Unis, a été victime d'une attaque de rançongiciel qui a perturbé ses réseaux informatiques et ses sites web officiels.
- Bitmarck, un fournisseur IT allemand, a bloqué tous ses systèmes informatiques suite à une attaque suspectée être un rançongiciel et ne trouve pas encore de preuve d'exfiltration de données.
Annonces
- Le Village AI DEF CON se tiendra avec des entreprises AI afin de vérifier le respect des règles de l'AI Bill of Rights et de l'AI Risk Management Framework, publiées par l'Administration Biden.
- Le Ministère de la Défense japonais prévoit d'augmenter ses effectifs de cybersécurité de plus de 20 000 personnes d'ici 2027.
- Discord va changer le format de ses comptes et l'augmentation des prix des comptes sur les forums de piratage est prévue.
- Le NIST US a publié un premier jet pour sa prochaine version 2.0 du Cadre de sécurité cybernétique (CSF).
- Google offre un certificat de cybersécurité qui coûte entre 150$ et 300$.
- Ciaran Martin, ancien directeur du GCHQ, est nommé président de la branche britannique de CyberCX.
- Un documentaire sur le scandale Panama Papers est disponible gratuitement sur la plateforme Documentary+.
- Binance prévient ses clients que l'utilisation de l'application Google Authenticator peut rendre leurs comptes vulnérables aux attaques.
- WhatsApp teste une nouvelle fonctionnalité qui permettra de muetter les appels entrants des numéros inconnus.
- Mozilla a lancé un serveur Mastodon officiel en version bêta, et les nouveaux utilisateurs doivent s'inscrire sur une liste d'attente.
- Opera a présenté Opera One, un nouveau navigateur qui remplace son navigateur actuel et inclut des groupes d'onglets.
- Azure AD supporte désormais l'authentification des appareils mobiles via des dispositifs YubiKey.
- AWS a ajouté une fonctionnalité d'historique pour permettre aux équipes de sécurité de suivre les changements historiques apportés à un problème de sécurité trouvé sur leur infrastructure.
- Dashlane a supprimé son mot de passe principal et a adopté un système sans mot de passe intégrant des clés d'authentification biométriques.
- 1Password a eu un problème lors d'une maintenance de sa base de données, ce qui a entraîné des notifications de modification de mots de passe et de clés secrètes.
- Google ajoute le support des passkeys pour les comptes Google sur tous les services et plateformes.
- Google va retirer l'icône de verrouillage HTTPS du navigateur Chrome et le remplacer par une icône musicale.
- Apple a utilisé sa nouvelle fonctionnalité de sécurité « Rapid Security Response » pour apporter des mises à jour de sécurité pour iOS et macOS.
- Automattic a annoncé qu'il supprimait la possibilité de partager automatiquement du contenu WordPress sur Twitter et ajoutait celle pour Instagram et Mastodon.
- Mastodon a annoncé une série de nouvelles fonctionnalités, notamment des messages cités, une recherche plus efficace et un onboarding simplifié.
- OWASP publie un projet de Top 10 des vulnérabilités API pour sa version de 2023.
Annonces
Industrie
- Mozilla a acquis Fakespot, un service pour détecter les faux avis de shopping, et l'intègrera à de futures versions de Firefox.
- La société de cybersécurité BishopFox a licencié 50 employés, soit environ 13% de ses employés.
- Cyberpress, un service de diffusion de communiqués de presse en cybersécurité, est lancé cette semaine.
- Un homme du Texas a été condamné à 5 ans de prison pour avoir mené une campagne de harcèlement en ligne et d'extorsion contre une femme et sa famille.
Annonces
Arrestations
- Le gouvernement US a fermé le service illégal Try2Check et offre une récompense de 10 millions de dollars pour l'arrestation de son propriétaire russe, qui aurait gagné plus de 18 millions de dollars en Bitcoin.
- Un hacker néerlandais de 25 ans a été arrêté en raison du hack d'une entreprise néerlandaise et de la tentative d'extorsion de 50 000 €.
Threat Intel
- Le groupe pro-Kremlin Killnet s'est renommé PMC Killnet et indique qu'il va fournir des services de piratage pour le compte d'autres entreprises.
- Un analyste a publié la deuxième partie du profil d'un cybercriminel ukrainien, Bassterlord, qui était autrefois affilié à la gang LockBit mais qui est maintenant à la retraite.
- Un analyste a un profil sur Bassterlord, un cybercriminel ukrainien ayant travaillé avec LockBit ransomware mais qui est maintenant à la retraite (prétendument).
- Thomas Roccia, chercheur en sécurité chez Microsoft, a annoncé le lancement d'un guide visuel pour les nouveaux analystes en renseignement cyber.
- Katyushabit est un nouveau type de rançongiciel qui offre une prime de 40% pour l'accès à un réseau d'entreprise.
- Les cybercriminels utilisent de plus en plus le protocole IPFS pour leurs activités de phishing.
- Selon Avast, les infostealers et les opérations de phishing sont les principales menaces pour les utilisateurs de bureau, et l'adware est la principale menace pour les utilisateurs mobiles.
Threat Intel
Groupes
- ThreatMon a publié un rapport de 45 pages sur Anonymous Sudan, un groupe africain pro-Kremlin.
- Un nouveau ransomware, GazpromLock, basé sur le code source divulgué de la gang Conti, a été trouvé dans la nature depuis mi-avril.
- AhnLab a identifié un nouvel infostealer, RecordBreaker Stealer, propagé via des comptes YouTube compromis qui vantaient des tricheurs de jeux, des keygens et des logiciels crackés.
- Un nouveau groupe de rançonnage, nommé RA Group, a été découvert par le chercheur en sécurité MalwareHunterTeam.
- Cleafy a publié un rapport sur drIBAN, un kit d'injection web qui est vendu sur des marchés souterrains depuis 2019.
- Deux rapports sur IcedID ont été publiés cette semaine : l'analyse de sa configuration par PAN's Unit42 et le rapport sur son évolution par LoginSoft.
- OALABS a publié des informations sur Satacom (LegionLoader), un chargeur de logiciels malveillants récemment associé à l'opération NullMixer.
- Microsoft a détecté 17 opérations de cyber-influence iraniennes entre juin et décembre 2022, menées principalement par Emennet Pasargad.
- GreenMwizi est un groupe menant des escroqueries par l'ingénierie sociale via Twitter et Remitly, basé au Kenya.
- Le chercheur en sécurité slipstream/RoL a publié une liste de toutes les attaques BitLocker connues du public.
- 1877 Team est un groupe de hacktivistes kurdes irakiens créé en juillet 2021 qui a revendiqué plusieurs attaques DDoS, défigements et doxxes cette année.
- Le groupe CrossLock, qui opère une plateforme de fuite sur le dark web, est le nouveau groupe de ransomware à la mode depuis avril 2023.
Threat Intel
Malware
- Une nouvelle opération de rançongiciel double-extorsion nommée Akira a été détectée, bien qu'il n'est pas clair si c'est la même que celle détectée en 2017.
- Le chercheur en sécurité Mayank Malik a publié une analyse du logiciel malveillant infostealer DeathNote.
- L'équipe de sécurité d'Elastic a publié un rapport sur le décodage et l'analyse des échantillons de malware IcedID.
- Dragos a publié une analyse technique de MOUSEHOLE, un module de PIPEDREAM, un framework de logiciels malveillants ICS développé par le groupe Chernovite.
- Trois nouvelles versions d'infostealers pour macOS ont été publiées et sont actuellement présentes sur des forums et canaux Telegram, et sont capables de récupérer les mots de passes, données du navigateur, cookies et fichiers de configuration des portefeuilles cryptographiques.
- Les chercheurs de ThreaMon ont publié une analyse technique du nouvel infostealer ZarazaBot qui est présentement très publicisé sur les forums de piratage.
- Le chercheur en sécurité Equinix William Thomas a fait un rapport sur le ver USB Raspberry Robin qui a été utilisé cette année pour des attaques de rançongiciel.
- Les chercheurs de Kaspersky ont découvert 11 applications Android infectées par un nouveau trojan Android nommé Fleckpe, qui s'abonne aux utilisateurs à des services premium non désirés et a infecté plus de 620 000 appareils.
- Check Point a détecté un nouveau malware Android nommé FluHorse qui vise à voler des informations bancaires et à contourner la 2FA des utilisateurs.
- Les chercheurs d'AhnLab ont découvert un nouveau coinminer appelé KONO DIO DA qui est actuellement installé sur des serveurs Linux SSH mal gérés.
Threat Intel
APTs
- Microsoft déclare que des groupes APT iraniens exploitent une faille dans les serveurs de gestion d'impression PaperCut.
- Le groupe APT Dragon Breath utilise la technique du 'double DLL loading' pour éviter détection et charger des charges malveillantes sur des systèmes compromis.
- Le CERT Japonais a détecté une nouvelle campagne menée par le groupe APT nord-coréen CryptoMimic (SnatchCrypto) ciblant les plateformes d'échange de cryptomonnaies.
- Fortinet a publié un rapport sur les récentes campagnes du groupe APT pakistanais SideCopy.
- Meta a suspendu des comptes utilisés par des groupes APT pour cibler différentes régions d'Asie du Sud et des opérations d'influence à partir de Chine, Iran et autres pays.
- Check Point a publié un rapport détaillant les dernières opérations et chaînes d'infection utilisées par le groupe APT37 nord-coréen.
- Earth Longzhi, un sous-groupe de APT41, a lancé des attaques sur des organisations de Taiwan, Thaïlande, Philippines et Fidji en utilisant la technique Bring-Your-Own-Vulnerable-Driver (BYOVD).
- Le groupe d'espionnage chinois Mustang Panda cible des organisations gouvernementales australiennes.
- Wired publie un long article sur l'attaque SolarWinds.
- Le CERT-UA d'Ukraine pense que le groupe militaire russe Sandworm a conduit une nouvelle attaque destructrice contre une organisation gouvernementale non nommée.
Géopolitique
- La CyberMuraille de Chine capable de détecter des protocoles chiffrés
- TikTok a suivi les déplacements de Cristina Criddle, journaliste du Financial Times, pour découvrir ses sources et savoir si elle rencontrait des employés de TikTok.
- L'UE et les États-Unis ont averti le gouvernement malaisien des risques de sécurité nationale liés à l'utilisation de Huawei pour le réseau 5G.
- Les experts technologiques russes travaillent à l'élaboration de nouveaux protocoles de réseau pour remplacer le protocole TCP/IP américain.
- Une étude de Qihoo 360 accuse les Etats-Unis et le CIA d'utiliser des technologies comme les réseaux maillés et les messagers sécurisés pour soutenir le changement de régime dans le monde.
- Amnesty International a trouvé des traces du logiciel espion Pegasus de NSO sur le téléphone personnel de Nuria Piera, une journaliste d'investigation réputée de la République Dominicaine.
Data Sécu
- L'Italie rouvre l'accès à ChatGPT
- IA : NewsGuard a identifié 49 sites d'informations générés par l'intelligence artificielle.
- La FTC propose d'interdire à Facebook de monétiser les données des jeunes.
- Lors d'une perquisition, la police suédoise a tenté d'obtenir des données sur les utilisateurs du service VPN Mullvad, sans succès car Mullvad ne stocke pas ces données.
- Le gouvernement mexicain surveille les migrants en utilisant des drones, des scanners forensiques et des systèmes biométriques.
- Plus de 40 organisations pro-vie privée ont signé une lettre ouverte pour encourager les gouvernements à défendre le chiffrement, la vie privée et la liberté de la presse.
- Le gouvernement indien a interdit 14 applications de messagerie sécurisée accusées d'être utilisées par des terroristes pour propager leur propagande et provoquer des émeutes.
Data Leaks
- Le Centre Général des Fréquences Radio (GRFC) Russe a été condamné à une amende de 30 000 roubles en raison d'une violation de données en Novembre 2022.
- Twitter a notifié ses utilisateurs d'une fuite de données dans sa fonctionnalité Twitter Circle, qui était visible par des utilisateurs externes pendant près de deux semaines.
- Une entreprise américaine qui escroquait ses citoyens à l'aide d'emplois fictifs USPS a exposé les données personnelles de plus de 900 000 de ses anciennes victimes.
- Une fournisseur d'énergie de l'île de Man a envoyé involontairement des factures contenant des données personnelles à un client.
- L'ancien CSO d'Uber évite la prison après avoir caché une fuite de données en 2016.
Vulnérabilités
- Les mises à jour de sécurité Android pour mai 2023 sont sorties.
- 180 panneaux web de l'application GoAnywhere sont encore exposés en ligne 3 mois après la divulgation d'un zero-day.
- Les chercheurs en sécurité Imperva ont découvert une vulnérabilité qui permettait de surveiller l'activité d'un utilisateur sur mobile et ordinateur et TikTok l'a corrigée.
- Une vulnérabilité a été détectée sur la plateforme OpenAI et corrigée en mars 2023 permettant aux attaquants d'accéder à des crédits illimités.
- Les chercheurs de Trustwave ont trouvé une vulnérabilité dans l'utilitaire Linux chfn qui permet de modifier le fichier /etc/psswd.
- Les chercheurs de Trellix ont découvert et documenté une vulnérabilité dans le composant graphique de Windows corrigée par Microsoft en octobre 2020.
- Un ingénieur logiciel de Google a découvert une vulnérabilité LPE dans Videostream, une application sans fil conçue pour diffuser des vidéos, de la musique et des images sur les appareils Google Chromecast.
- Giraffe Security a découvert une vulnérabilité de confusion de dépendance dans le service Dependabot de GitHub.
- Un chercheur en sécurité a trouvé des bugs dans le traitement des cookies par 4 frameworks web.
- Les chercheurs de VulnCheck ont développé un nouveau preuve de concept pour la récente vulnérabilité PaperCut (CVE-2023-27350) qui a été récemment utilisée pour accéder et backdoorer des réseaux d'entreprise.
- Apple a sorti une mise à jour de sécurité pour ses casques Beats qui corrige une faille Bluetooth permettant aux attaquants d'accéder aux appareils de l'utilisateur.
- Les chercheurs en sécurité ont découvert une vulnérabilité RCE non autorisée dans l'interface de gestion Web des adaptateurs téléphoniques Cisco SPA112, qui pourrait être utilisée pour prendre le contrôle des appareils.
- Les chercheurs d'Ermetic ont découvert trois vulnérabilités dans le service Azure API Management, dont une qui pourrait être utilisée pour contourner les pare-feux web.
- Un chercheur en sécurité s'est approprié des bibliothèques PHP publiées sur Packagist en utilisant des identifiants faibles.
- Des chercheurs ont mis au point une nouvelle attaque contre le module de plate-forme de confiance (fTPM) basé sur le firmware des processeurs AMD nommée faulTPM.
- Des chercheurs ont découvert une vulnérabilité RCE pré-authentifiée dans le système de gestion des propriétés hôtelières Oracle Opera.
- Une faille de privilege escalation a été découverte dans VMware Workstation par Nguyễn Hoang Thạch de STAR Labs.
- NTT a publié des détails sur une vulnérabilité trouvée dans le moteur antivirus OfficeScan de Trend Micro, un produit qui avait été victime de plusieurs zero-days les années précédentes.
- Trend Micro ZDI a une analyse pour CVE-2023-28231, une vulnérabilité à distance d'exécution dans le serveur DHCP Windows que Microsoft a corrigé ce mois-ci.
- Une vulnérabilité de Databricks pourrait permettre à un utilisateur authentifié avec des privilèges administratifs limités d'accéder à des clusters dans le même espace et organisation.
- Les chercheurs de Bitdefender ont identifié des vulnérabilités dans les appareils exécutant le système d'exploitation FireOS d'Amazon.
- Forescout a découvert 3 vulnérabilités dans FRRouting, un protocole de routage pour les systèmes d'exploitation Linux et BSD.
Vulnérabilités
Exploitations
- Trend Micro a découvert un acteur menaçant ciblant des ressources cloud mal configurées pour installer un conteneur Linux qui génère de l'argent en dirigeant le trafic vers des sites Web spécifiques et en interagissant avec des publicités.
- Un acteur financier cible des organisations ukrainiennes avec un malware appelé SmokeLoader.
- L'opération SpecTor d'Europol a permis d'arrêter 288 vendeurs et de saisir plus de 50 millions d'euros, 850kg de drogues et 117 armes.
- Cofense a découvert une campagne de malspam répandant le malware open-source Gh0st RAT, âgé de 15 ans.
- Mandiant a détecté des acteurs malveillants qui utilisent des fichiers LNK et CRX malveillants dans le cadre d'opérations malspam.
- SentinelOne a publié un rapport sur la dernière campagne de Kimsuky qui impliquait la distribution d'une nouvelle souche de malware appelée ReconShark.
- Fortinet a noté une augmentation de l'exploitation d'une vulnérabilité de 5 ans (CVE-2018-9995) qui touche les produits DVR de la société japonaise TBK.
Vulnérabilités
KEV (Exploitations)
Les Outils
- Google a publié un nouvel outil open-source nommé rules_oci qui facilite la construction et le test des containers OCI-compatible.
- Nettitude Labs a open-sourcé un nouvel outil nommé ETWHash qui extrait des hashes NetNTLMv2 pour le crack offline.
- Une entreprise de sécurité a open-sourced un outil ASOC nommé Dracon en février.
- Invictus Incident Response a ouvert une nouvelle suite d'outils intitulée Microsoft 365 Extractor pour extraire des données d'investigation à partir des services cloud Microsoft.
- Google a annoncé un nouveau service intitulé Crowdsourced YARA Hub permettant aux entreprises et chercheurs de partager des règles de recherche de menace.
- Cisco Talos a publié la version 1.1 du moteur antivirus open source ClamAV.
Les Articles
- Alexander Hubert a publié un billet de blog sur les méthodes d'obfuscation et de dissimulation de code Powershell malveillant et sur la manière de les détecter et de les analyser.
- SCRT a publié un write-up et un PoC pour l'exploitation à distance du moteur de recherche Apache Solr.
Des échanges de cryptoactifs piratés ?
- DEUS Finance a perdu 6 millions de dollars suite à une attaque et a proposé à l'attaquant une récompense en échange du retour des fonds volés.
- Les autorités US et ukrainiennes ont saisi neuf plateformes d'échange de cryptomonnaies utilisées pour blanchir des fonds provenant d'arnaques et d'opérations de cybercriminalité.
- Une plateforme DeFi, Level Finance, a perdu 1 million de dollars de crypto-actifs suite à l'exploitation d'une vulnérabilité par un acteur malveillant.