Blog

• romain
• 14 mai 2023
• • Matinale cyber

La UNE

• Le filtre anti-arnaques de JN Barrot !
• TikTok avoue espionner, il est censuré en Autriche
• Elon Musk censure l'oppposant à Erdogan en Turquie
• https://twitter.com/Neodyme/status/1657435811409788928?s=20
• Le point sur les secrets dans Windows

Annonces

• Le Ransomware Task Force annonce que 92% de ses 48 recommandations faites en 2021 ont reçu une action, et plus de la moitié ont fait des progrès significatifs.
• Microsoft est en train d'expérimenter l'ajout d'annonces publicitaires à la page Paramètres de Windows 11.
• YouTube teste un bloqueur d'ad-blocks, qui affectent ses bénéfices de milliards de dollars.
• Le DEF CON AI Village de cette année aura pour objectif de faire analyser par les meilleurs chercheurs en sécurité des systèmes d'IA des plus grandes entreprises mondiales pour vérifier si leurs systèmes respectent les directives du 'Bill of Rights' et du 'Framework de gestion des risques d'IA' publiés la semaine dernière par la Maison Blanche pour promouvoir l'innovation responsable en IA.
• Truecaller prépare l'expansion de son service d'identification des appelants sur WhatsApp et d'autres applications de messagerie pour aider les utilisateurs à repérer les messages et appels indésirables.
• Le projet Thunderbird a collecté plus de 6,4 millions de dollars de plus de 300 000 donateurs l'année dernière.
• Google a ajouté un cours de formation en cybersécurité à ses certificats professionnels Google
• Le NCSC du Royaume-Uni et l'ICO : article pour dissiper certaines des croyances sur la réponse aux attaques informatiques et le rapport de l'incident aux autorités plutôt que de payer les attaquants et de cacher l'incident
• Apple a publié une mise à jour de son Guide de sécurité personnelle, ajoutant des instructions et des conseils pour configurer la fonctionnalité de contrôle de sécurité sur iPhone, activer le mode Verrouillage, les nouveaux paramètres de sécurité d'iMessage, comment partager l'estimation de l'heure d'arrivée via Apple Maps et comment effacer le contenu d'Apple Maps.
• GitHub a annoncé la disponibilité générale de la nouvelle fonctionnalité de sécurité 'Push Protection' qui empêche activement les développeurs d'inclure des secrets dans des référentiels privés ou publics.
• Mozilla a lancé son serveur Mastodon officiel, disponible en version bêta à l'adresse mozilla.social et des nouveaux utilisateurs devant s'inscrire via une liste d'attente.

Annonces

Le filtre anti-arnaques de JN Barrot

• Annonce retentissante du filtre
• Erreur retentissante : tous les liens Telegram sont bloqués
• On fait le point

Annonces

Logiciels

• Mozilla a publié la version 113 de son navigateur Firefox avec une amélioration importante : le générateur de mots de passe intégré peut maintenant ajouter des caractères spéciaux aux mots de passe aléatoires pour répondre aux tests de complexité des mots de passe.
• Microsoft Authenticator a mis en place une fonctionnalité de sécurité par correspondance de numéro pour ses notifications push, protégeant ainsi les comptes contre les attaques MFA fatigue.
• KeePassXC, gestionnaire de mots de passe, travaille à l'ajout du support WebAuthn.
• Les ingénieurs Meta travaillent sur une nouvelle fonctionnalité qui permettra aux utilisateurs de muetter les appels entrants provenant de numéros inconnus.
• Azure AD CBA prend désormais en charge l'authentification des appareils mobiles (Android et iOS) via des périphériques YubiKey.
• AWS a ajouté une fonctionnalité « Historique des recherches » pour permettre aux équipes de sécurité de suivre les changements historiques apportés à un problème de sécurité trouvé sur leur infrastructure.

Annonces

Arrestations

• Singapour : une femme de 60 ans a téléchargé une application malveillante en scannant un code QR affiché sur un magasin de thé à bulles, elle perd 20 000 SGD.
• Le GRFC a été condamné à une amende de 30 000 rubles pour une violation de données survenue en novembre 2022.
• NextGen a signalé une attaque de credential-stuffing qui a touché ses services à la fin du mois de mars, et qui a été suivie d'une attaque par le groupe ransomware AlphV. Selon une notification de violation déposée auprès des autorités américaines, l'attaque de credential-stuffing a touché plus d'un million de comptes clients.
• Le service du shérif du comté de San Bernardino a payé une rançon de 1,1 million de dollars à un gang de rançongiciels qui a crypté son réseau le mois dernier.
• Joseph James O'Connor, un citoyen britannique de 23 ans, a plaidé coupable cette semaine à l'attaque de Twitter de juillet 2020. Il a également plaidé coupable à l'usurpation d'identité de comptes Snapchat, TikTok et d'échange de cryptomonnaies, volant plus de 794 000 $ en crypto-actifs.
• Un ancien employé d'Ubiquiti a été condamné à six ans de prison pour avoir volé des fichiers sensibles et pour avoir essayé d'extorquer 2 millions de dollars à la société.
• La police espagnole a arrêté 40 suspects appartenant au gang Trinitarios, qui se livrait à du phishing, du smishing et à d'autres escroqueries bancaires, et qui aurait accédé à plus de 300 000 comptes bancaires et volé plus de 700 000 euros.
• Les autorités américaines ont saisi 13 domaines qui étaient utilisés pour héberger des portails de DDoS à la demande. Les opérations font partie de l'opération PowerOFF, une action de longue date de l'application de la loi visant à fermer les services DDoS booter.
• Un hacker néerlandais de 25 ans a été arrêté pour avoir piraté une entreprise néerlandaise et avoir essayé de la soutirer 50 000 € en menaçant de divulguer les données de centaines de milliers de ses clients.
• Un homme du Texas a été condamné à cinq ans de prison pour une campagne cyber harcèlement et chantage d'un an contre une victime féminine et sa famille.

Annonces

Industrie

• L'entreprise de cybersécurité Dragos a échappé de peu à une attaque par rançongiciel et a déclaré l'incident après avoir sécurisé son réseau.

Attaques et Piratages

• L'incident TechnologyOne : le fournisseur australien de SaaS TechnologyOne a annoncé une violation de sécurité après qu'un acteur malveillant ait accédé à son système back-office Microsoft 365 interne.
• Un acteur malveillant a diffusé des faux PV à San Francisco qui contenaient des codes QR malveillants redirigeant les conducteurs vers une plateforme gérée par des escrocs pour le paiement d'une amende de 60 $.
• Un pirate a modifié le portail du Ministère roumain de l'Education pour dire aux étudiants qu'ils pouvaient apprendre sur YouTube ce qu'ils apprendraient en 10 années à l'école en seulement 10 mois.
• Binance a averti ses clients que leur compte pourrait être vulnérable à des attaques si l'application Google Authenticator est utilisée comme solution MFA.
• Un nouveau verrouillage de rançon nommé Katyushabit a été repéré en milieu naturel depuis mi-avril.

Data Leaks

• Twitter a révélé une fuite de données concernant sa fonctionnalité Twitter Circle, qui a rendu visible pour un temps des tweets partagés dans des cercles privés.
• Une entreprise qui trompe des citoyens américains avec des faux emplois USPS a fait fuiter les informations personnelles de plus de 900 000 de ses anciennes victimes.
• La principale fournisseur d'énergie de l'île de Man a fait une fuite de données embarrassante après avoir envoyé toutes les factures de ses clients à une seule personne.
• Le chercheur en sécurité MalwareHunterTeam a découvert un nouveau groupe de rançongiciels nommé RA Group, basé sur le code source divulgué du rançongiciel Babuk et qui exploite également un site de fuite de données sur le dark web.

Threat Intel

• Selon le rapport sur l'état du ransomware de l'entreprise de cybersécurité Sophos, les gangs de ransomware ont crypté les données dans 76% des incidents où ils ont accédé au réseau d'une victime ce qui est le taux le plus élevé depuis le début du suivi.
• Selon le rapport des menaces Netskope, 5 utilisateurs d'entreprise sur 1000 ont essayé de télécharger des logiciels malveillants au premier trimestre de l'année, dont 55% étaient hébergés sur des services d'hébergement cloud populaires.
• Les chercheurs en sécurité de Kroll ont repéré un nouveau groupe de rançongiciel nommé Cactus qui exploite des vulnérabilités dans les appliances VPN Fortinet pour accéder aux réseaux et chiffrer les données des entreprises.
• Selon un rapport du CyberPeace Institute, il y a eu 360 incidents en lien avec la guerre russo-ukrainienne contre des entités ukrainiennes, 241 contre des organisations russes et 936 contre d'autres pays, dont 173 incidents contre la Pologne. La majorité de ces incidents étaient des attaques DDoS.
• Les chercheurs de Sekoia ont une vue d'ensemble de la façon dont les modernes infostealers collectent et gèrent les journaux et de la façon dont ces données sont mises en vente dans l'underground cybercriminel.

Threat Intel

Menaces

• SentinelOne suit désormais dix gangs de rançongiciels qui ont adopté le code source Babuk pour construire des verrous qui peuvent crypter les systèmes VMWare ESXi.
• Le profile de S2W Talon est disponible sur Mont4na, un courtier d'accès initial qui propose l'accès aux réseaux d'entreprise sur différentes plates-formes cybercriminelles.
• Abnormal Security a découvert un nouvel acteur malveillant basé en Israël qui a mené plus de 350 campagnes de BEC depuis février 2021.
• Big Pipes est un groupe de 30 professionnels de la cybersécurité et experts en informatique qui traquent les services de DDoS à la demande.
• Le chercheur en sécurité Equinix William Thomas a découvert un nouvel acteur malveillant, GreenMwizi, qui conduit des escroqueries d'ingénierie sociale via Twitter.
• AhnLab, une société de sécurité sud-coréenne, a publié une analyse de CLR SqlShel, une web shell trouvée récemment sur des serveurs MSSQL piratés.
• Sucuri a mis à jour ses informations sur les récentes modifications à l'infrastructure de SocGolish.
• OALABS a publié des informations sur StrelaStealer, un vol de courrier électronique en fonction depuis novembre 2022.
• Le chercheur Synack Mayank Malik a publié une analyse de l'infostealer DeathNote. Ne pas confondre avec la campagne DeathNote du groupe Lazarus.
• Les chercheurs de Bitdefender ont découvert une série d'attaques contre des organisations kazakhes et afghanes utilisant la souche de malware DownEx. L'objectif des attaques semblait être l'espionnage et l'exfiltration de données. Bitdefender pense que la campagne d'intrusion a été menée par un acteur de menace russe.
• Le rapport Intrusion Truth affirme que l'Académie de cracking Kerui de la ville chinoise de Wuhan est responsable de la formation des membres des groupes APT sponsorisés par le MSS chinois.
• Lab52 a effectué une analyse approfondie du logiciel malveillant utilisé par le groupe Mustang Panda pour attaquer des cibles australiennes.
• ESET a publié un rapport sur les opérations APT qui ont eu lieu au cours du 4e trimestre 2022, impliquant principalement des activités de phishing et d'espionnage informatique.
• Le géant de la consultation PwC a publié son rapport annuel sur les activités d'espionnage et d'APT. Il contient tout, du désastre Log4Shell à LAPSUS$, les gangs de rançongiciels et la guerre en Ukraine.

Threat Intel

Malware

• Sophos a publié une analyse du nouveau ransomware Akira et le site de divulgation des données a répertorié 17 victimes depuis la fin d'avril.
• AhnLab affirme que le nouveau ransomware LokiLocker présente de nombreuses similitudes avec la souche BlackBit.
• Un botnet nommé AndoryuBot a été repéré en exploitation d'une vulnérabilité (CVE-2023-25717) dans les routeurs Ruckus et est capable de lancer des attaques DDoS.
• Unit42 de PAN a publié une analyse de Royal, un opération de rançongiciel qui a été lancée en septembre 2022 et qui est gérée par un groupe de membres de Conti ransomware connu sous le nom de Team One.
• Huit nouveaux paquets malveillants npm ont été détectés la semaine dernière. Consultez le portail d'alerte de sécurité de GitHub pour plus de détails.
• Renato Marinho, chercheur SANS ISC, a découvert une nouvelle technique utilisée par le cheval de Troie bancaire Guildma pour contourner les solutions de sécurité et abuser de l'utilitaire BITSAdmin.
• Les chercheurs de Fortinet ont découvert une version mise à jour du malware RapperBot qui comprend un module de cryptomining.
• Stairwell et Solis Security ont publié un rapport technique sur un nouveau chargeur appelé JasPer qui a été distribué dans la nature, y compris dans le cadre d'une chaîne de tuées IcedID précoce.
• ANY.RUN a une analyse technique de CryptBot, l'infostealeur perturbé le mois dernier par Google.
• Embee Research a publié une analyse du chargeur multi-étape d'AgentTesla.
• Huntress publie un rapport sur le chargeur AsyncRAT.
• McAfee a publié une analyse technique de GULoader.
• L'équipe de sécurité d'Elastic a publié un rapport sur le décompactage et l'analyse des échantillons de logiciels malveillants IcedID (PAN en a également publié un). L'équipe a également publié des outils pour décrypter et analyser les échantillons IcedID.
• Dragos a publié une analyse technique de MOUSEHOLE, l'un des cinq modules de PIPEDREAM, un framework malveillant ICS développé par le groupe Chernovite. Il est utilisé pour accéder et interagir avec les serveurs OPC UA, généralement présents sur les équipements ICS/SCADA.

Threat Intel

APTs

• DeepInstinct a détecté une nouvelle version de BPFDoor, un backdoor Linux utilisé par un APT chinois connu sous le nom de Red Menshen.
• Les chercheurs de Malwarebytes ont publié un rapport cette semaine révélant les opérations d'un nouveau groupe APT qu'ils appellent Red Stinger.
• Qihoo 360 a publié un rapport sur l'APT SideCopy et ses attaques récentes contre des organisations indiennes.
• Les autorités sud-coréennes ont rapporté qu'entre mai et juin 2021, des pirates nord-coréens ont piraté le réseau interne de l'hôpital universitaire de Séoul et volé des informations personnelles de 810 000 patients et 17 000 employés.
• Le groupe APT SideWinder (Rattlesnake, Razor Tiger, APT-C-17) cible des organisations du Pakistan et de Turquie.
• La sécurité Microsoft a repéré des groupes APT iraniens qui exploitent une vulnérabilité de PaperCut pour accéder aux réseaux d'entreprises et de gouvernements.

Campagne et Exploitations

• Malwarebytes a découvert une campagne de malvertising active sur des sites pour adultes qui redirige les utilisateurs vers une page web qui imite l'écran de mise à jour de Windows.
• Stormshield a publié un rapport sur une campagne de distribution de malware qui utilise des extensions Chrome malveillantes pour installer le vol d'informations RedLine sur les systèmes des utilisateurs.
• Les chercheurs de Cisco Talos ont découvert une nouvelle plateforme de Phishing-as-a-Service nommée Greatness qui a été utilisée dans plusieurs campagnes de phishing depuis au moins milieu 2022.
• McAfee suit un acteur malveillant qui utilise des fichiers HTML analysés par serveur (SHTML) dans des campagnes de phishing.
• UAC-0006, un acteur motivé financièrement, cible des organisations ukrainiennes avec des e-mails malveillants qui infectent les victimes avec le malware SmokeLoader.
• Le CERT polonais a découvert une campagne de malspam à la fin avril qui distribuait un nouveau malware basé sur PowerShell nommé PowerDash.

Vulnérabilités

• Checkmarx a découvert un nouveau type de typosquatting sur le référentiel de packages npm.
• Les chercheurs de Cisco Talos ont découvert une faille d'authentification dans µC/OS, un système d'exploitation open source embarqué développé par Micrium, et des correctifs ont été publiés.
• Red Canary a publié un rapport sur CVE-2023-27951, une vulnérabilité qui peut permettre aux acteurs malveillants de contourner le GateKeeper d'Apple en utilisant un fichier d'archive malformé.
• L'équipe Assetnote a identifié trois RCE et deux contournements d'authentification dans le CMS Sitecore et a déployé des correctifs à la fin du mois dernier.
• Des chercheurs de Patchstack ont identifié une vulnérabilité (CVE-2023-32243) dans le plugin WordPress Essential Addons for Elementor qui peut être utilisée pour réinitialiser le mot de passe de n'importe quel utilisateur, y compris les administrateurs, et prendre le contrôle d'un site WP.
• Un preuve de concept d'exploit a été publiée pour CVE-2023-0386, une vulnérabilité LPE dans le sous-système OverlayFS du noyau Linux.
• L'équipe du noyau Linux a corrigé une vulnérabilité (CVE-2023-32233) dans l'utilitaire Netfilter qui peut donner aux attaquants un accès root.
• Hier était la Mise à jour de sécurité du mardi de mai 2023 et des mises à jour de sécurité ont été publiées par Adobe, AMD, Intel, Microsoft, Mozilla Firefox, Citrix et SAP. Microsoft a corrigé 49 vulnérabilités, dont deux zero-days.
• Les chercheurs en sécurité d'Imperva ont découvert une vulnérabilité qui pourrait être utilisée pour surveiller l'activité d'un utilisateur sur des appareils mobiles et de bureau. TikTok a corrigé le problème.
• La firme de cybersécurité Checkmarx a identifié une vulnérabilité dans la plateforme OpenAI qui aurait pu être exploitée pour obtenir un accès illimité et permettre aux acteurs malveillants d'effectuer un nombre quelconque de requêtes ChatGPT.
• Les chercheurs de Trustwave ont publié un rapport sur CVE-2023-29383, une vulnérabilité dans l'utilitaire Linux chfn (change finger).
• Les chercheurs de Trellix ont publié des détails sur CVE-2022-37985, une vulnérabilité qu'ils ont découverte dans le composant Windows Graphics l'année dernière et qui a été corrigée par Microsoft en octobre.
• Dan Revah, ingénieur chez Google, a découvert une vulnérabilité LPE (CVE-2023-25394) dans Videostream, une application sans fil conviviale conçue pour diffuser des vidéos, de la musique et des images sur les appareils Google Chromecast.
• Giraffe Security a découvert une vulnérabilité de confusion des dépendances dans le service Dependabot de GitHub.

Vulnérabilités

POCs

• Un chercheur en sécurité a découvert que quatre frameworks web manipulaient incorrectement les fichiers cookies, ouvrant la porte à diverses attaques et fuites.

Articles

• Lighthouse Reports, Mediapart : Andreas Fink, un ancien allié de Julian Assange, est devenu fournisseur de produits de surveillance avec la plate-forme Venotex
• Les vidéos de Hack In The Box 2023, qui a eu lieu le mois dernier à Amsterdam, sont désormais disponibles sur YouTube.
• Les vidéos de la conférence de sécurité BSides London sont disponibles sur YouTube et sont marquées 2023 mais sont probablement de l'édition 2022.
• Le documentaire Panama Papers de Alex Winter de 100 minutes est maintenant disponible en streaming gratuitement via la plateforme Documentary+.
• Ben Barnea d'Akamai a publié une analyse technique de CVE-2023-29324, une vulnérabilité dans le moteur MSHTML, un composant d'Internet Explorer.
• Les chercheurs d'Elttam ont publié une analyse sur PwnAssistant (CVE-2023-27482), une RCE pré-authentification dans HomeAssistant, un logiciel populaire d'automatisation du foyer open-source.
• Le secret des compromissions de machines EC2
• Le point sur les secrets dans Windows

Géopolitique

• Un groupe de hacktivistes nommé 'Uprising till Overthrow' a piraté le serveur technique du ministère des Affaires étrangères iranien, a vandalisé 210 sites et a fermé les services en ligne associés. Des données volées ont été divulguées sur Telegram, telles que des documents d'identification, des minutes de réunions, la correspondance du ministère, des numéros de téléphone des responsables du ministère et les noms de 11000 employés.
• La Commission PEGA de l'UE accuse le gouvernement marocain d'avoir probablement utilisé le logiciel espion Pegasus contre des fonctionnaires du gouvernement espagnol.
• Le Comité d'enquête de l'Union européenne chargé d'enquêter sur l'utilisation de Pegasus et de logiciels espions équivalents (PEGA) a appelé les responsables de l'UE à créer un EU Tech Lab.
• La mission Hunt-forward de la CyberCommand américaine a récemment été menée en Lettonie et a révélé que du malware était déployé par un adversaire étranger.
• Près de la moitié du programme de missiles nucléaires de la Corée du Nord a été financée par des opérations de cybersécurité et des vols de cryptomonnaies.
• TikTok a confirmé qu'il a pisté les mouvements du journaliste du Financial Times, Cristina Criddle, afin de découvrir si elle rencontrait des employés de TikTok et d'identifier ses sources.
• L'IRS a donné des outils à l'Ukraine pour former le personnel de sécurité et pour analyser la blockchain, afin de suivre et de cibler les réseaux financiers utilisés par des oligarques russes sanctionnés.

Data Sécu

• Clearview AI a été une nouvelle fois sanctionné en France par la CNIL pour avoir manqué de payer une amende de 20 millions d'euros et pour avoir ignoré une ordonnance interdisant de collecter les photos des personnes sur internet sans leur consentement.
• Twitter a lancé des messages privés chiffrés E2EE, mais le système est mal conçu et les liens partagés et métadonnées ne sont pas chiffrés.
• TikTok suivait le contenu LGBTQ et a maintenu un tableau de bord qui contenait des listes d'utilisateurs qui regardaient ces types de vidéos
• Google n'a pas tenu sa promesse de l'année dernière de protéger les utilisateurs qui recherchent des informations sur l'avortement et visitent des cliniques d'avortement, selon le Washington Post.
• L'Autriche a interdit TikTok sur les appareils gouvernementaux.

Outils

• Un développeur logiciel a cracké les procédures d'authentification matérielle pour le casque PlayStation VR2.
• L'équipe de sécurité Google a publié un nouvel outil open source nommé Buzzer qui peut être utilisé pour rechercher de nouvelles vulnérabilités dans le filtre Berkeley Packet (eBPF).
• AWS a open-sourced Snapchange, un framework permettant de fuzzer et de rejouer un snapshot/dump mémoire avec KVM.
• Cody Thomas de SpecterOps a annoncé la version 3 de Mythic, un framework de contrôle et de commande (C2) prêt à l'emploi qui utilise fortement Docker.
• Les chercheurs de CyberArk ont publié un outil open source nommé White Phoenix qui peut être utilisé dans certains cas limités pour récupérer des fichiers qui ont été chiffrés à l'aide d'un chiffrement intermittent.
• Un nouvel outil, MCDA : Malcore Desktop Agent, est désormais disponible et gratuit.
• Quarkslab a open-sourcé TritonDSE, une bibliothèque Python basée sur le kit d'analyse dynamique binaire Triton, qui fournit des capacités de Dynamic Symbolic Execution facilement personnalisables pour les programmes binaires.
• Les Joes de la sécurité ont rendu disponible un outil nommé AskJOE qui utilise OpenAI pour aider les chercheurs à utiliser Ghidra pour l'analyse des malwares.
• Google a publié un nouvel outil nommé rules_oci qui peut aider les développeurs à créer rapidement des conteneurs de test compatibles avec OCI.

Des échanges de cryptoactifs piratés ?

• Le projet Art Coin a mal configuré une partie de ses pools de liquidité et a permis à un utilisateur d'acheter des jetons crypto pour 0,1 ETH (184 $), qu'il a par la suite revendus pour 181 ETH (330 000 $).
• La plateforme DeFi DEUS Finance a perdu 6 millions de dollars de crypto-actifs après qu'un acteur malveillant ait exploité une vulnérabilité dans l'un de ses contrats intelligents.

WTF

• Le chanteur principal des Smashing Pumpkins, Billy Corgan, a payé un rançon à des pirates pour empêcher la fuite de neuf chansons de leur dernier album ATUM.
• Le retour des pires UI ever :
  • Un classement subjectif
  • Dans leur milieu naturel
• La weaponisation d'une RCE dans CS:GO