Blog

• romain
• 25 mai 2023
• • Matinale cyber

Annonces

• Netflix restreint le partage des mots de passe à ceux vivant dans le même foyer.
• L'Agence américaine de cybersécurité et d'infrastructure de sécurité tiendra un événement spécial intitulé SBOM-a-Rama pour promouvoir l'utilisation des technologies SBOM.
• Le général de l'US Air Force Timothy Haugh a été nommé chef de la NSA et de la CyberCom par la Maison Blanche.
• Le Département de la Défense américain est sur la bonne voie pour mettre en œuvre son cadre de cybersécurité zero trust d'ici 2027.
• Les organisations criminelles utilisent des annonces d'emploi factices pour attirer des personnes vers des emplois lucratifs en Asie du Sud-Est, mais les candidats sont souvent piégés et forcés à exécuter des escroqueries à la cryptomonnaie.
• CISA, le FBI et la NSA ont mis à jour leur guide conjoint StopRansomware.
• La Fondation Python a suspendu les nouvelles inscriptions d'utilisateurs et les nouveaux téléchargements de packages sur le Python Package Index, également connu sous le nom de PyPI.
• Apple interdit ses employés d'utiliser ChatGPT, Bard ou d'autres modèles de langage à grande échelle (LLMs), craignant que des données confidentielles soient accidentellement téléchargées et divulguées à des concurrents.
• La nouvelle législation européenne MiCA réglemente le marché des cryptomonnaies en obligeant les entreprises à appliquer des mesures pour lutter contre le blanchiment d'argent.

Annonces

Arrestations

• L'hôpital St. Margaret's Health à Spring Valley, en Illinois, a annoncé sa fermeture en juin, en raison notamment d'une attaque cyber.
• Des traces du logiciel espion Pegasus ont été trouvées sur un appareil appartenant à Florence Parly, ancienne ministre des Armées françaises.
• Quatre dirigeants de l'ancienne entreprise de logiciels espions FinFisher sont poursuivis en Allemagne pour avoir vendu leur logiciel espion au gouvernement turc sans obtenir d'autorisation d'exportation.
• L'administrateur du service en ligne iSpoof, qui permettait aux cybercriminels d'effectuer des appels et des SMS en utilisant des identités usurpées, a été condamné à 13 ans de prison.
• Chirag Patel a été condamné à 51 mois de prison pour avoir piraté le réseau d'une entreprise hôtelière de l'Arizona et volé les numéros de carte de crédit et informations personnelles de ses clients.
• Un employé malveillant a été condamné pour chantage et accès non autorisé à un réseau informatique après avoir tenté de pirater un paiement de rançon de son employeur.
• Le ministère de la Justice des États-Unis a pris plus de 4 000 mesures légales contre des escrocs en ligne au cours des trois derniers mois dans le cadre de ses efforts pour décourager la fraude et les opérations de mules financières à travers le monde.
• Quatre anciens fonctionnaires gouvernementaux du Mexique ont été inculpés dans le cadre de l'enquête sur l'achat du logiciel espion Pegasus en 2014.
• Erkan S., alias DataBox, a été accusé par les autorités néerlandaises de vendre des données volées et de blanchir plus de 700 000 € en crypto-monnaie.
• Le groupe cybercriminel FIN7 revient et attaque des organisations pour déployer une version du ransomware Clop.
• Microsoft a constaté une augmentation de 38% des fournisseurs de services de cybercriminalité (CaaS) ciblant les opérations d'e-mail d'entreprise entre 2019 et 2022.
• Un jeune homme de 18 ans du Wisconsin a été accusé pour avoir piraté et vendu des accès à des sites de paris sportifs et de fantasy sport, utilisant une technique appelée credential stuffing.
• Un homme de l'Illinois a reconnu sa culpabilité de vendre des informations de cartes de paiement sur le dark web.
• Un court russe a condamné un spécialiste IT à trois ans de prison pour avoir participé à une attaque DDoS contre des sites web russes organisée par des hacktivistes pro-Ukraine.

Annonces

Industrie

• KSG licencie six personnes.
• Lea Kissner est nommée CISO chez Lacework après avoir travaillé en tant que CISO chez Twitter.
• IBM a acquis Polar Security, une entreprise spécialisée dans les solutions de sécurité Cloud et SaaS, pour 60 millions de dollars.
• Google va déployer sa technologie Privacy Sandbox dans le troisième trimestre de cette année, et va supprimer le support des cookies tiers dans Chrome à partir de 2024.

Attaques et Piratages

• ASUS, HP et Fujitsu sont tous impliqués dans des incidents liés à des mises à jour de firmware qui ont désactivé leurs produits.
• Rheinmetall confirme une attaque de ransomware par la bande BlackBasta.
• Une attaque informatique a paralysé la production des motos et scooters de Suzuki en Inde pendant plus d'une semaine, entraînant une perte de plus de 20 000 unités.
• L'attaque par rançongiciel ScanSource a affecté la disponibilité de certains de ses systèmes.
• L'attaque par rançongiciel de Lacroix Group a forcé la fermeture temporaire de trois usines et pourrait avoir un impact minimal.
• Une attaque ransomware a touché le réseau informatique de Bank Syariah Indonesia, causant des pannes majeures dans ses succursales, son réseau d'ATM et ses services bancaires en ligne et mobiles. La bande LockBit ransomware a revendiqué la responsabilité de l'intrusion et a affirmé avoir passé plus de deux mois dans le réseau de la banque.
• L'abus du logiciel d'envoi de newsletters SuperMailer a explosé au cours des trois derniers mois.
• Le groupe de hacktivistes pakistanais Team Insane PK revendique les attaques DDoS qui ont ciblé 44 services bancaires et financiers indiens la semaine dernière.
• Une campagne de malvertising thématisée hôtelière a été découverte par la société de sécurité Confiant. Elle utilise des annonces coûteuses sur les moteurs de recherche pour attirer des victimes, qui sont dirigées vers des sites malveillants.
• Des gangs de phishing abusent des domaines ZIP à peine qu'ils sont disponibles pour l'enregistrement.
• MalasLocker cible les serveurs Zimbra et exige des victimes qu'elles fassent un don à une organisation caritative pour obtenir une clé de déchiffrement.
• Le groupe ransomware BlackCat déploie un pilote signé du noyau pour contourner et désactiver les solutions de sécurité sur les hôtes infectés.
• Le groupe Medusa ransomware a été lancé en juin 2021 et est toujours actif aujourd'hui.
• Les chercheurs de Fortinet ont découvert une nouvelle souche de malware utilisée dans des attaques ciblant le Moyen-Orient.
• Un infostealer Rust basé abuse de la fonctionnalité Codespaces de GitHub pour communiquer avec son C2 et exfiltrer des données.
• Les chercheurs de Rezonate ont découvert que les actions OpenID (OIDC) mal configurées de GitHub peuvent être utilisées pour pirater des comptes AWS et GCP.

Data Leaks

• Le groupe Black Basta ransomware répertorie l'entreprise allemande Rheinmetall AG sur leur site de fuite de données et a partagé des captures d'écran de documents prétendument volés à partir du réseau de l'entreprise.
• Des smartphones saisis par la police américaine et non réclamés sont vendus en ligne sans être effacés, exposant leurs anciens propriétaires à des crimes potentiels.
• Une fuite de données de QuaDream a révélé les capacités du logiciel espion REIGN sur iOS, notamment sur les applications de messagerie chiffrées.
• Une application iOS malveillante a été détectée envoyant le contenu du presse-papier des appareils sur lesquels elle était installée.
• Les chercheurs de CyberInt ont un profil sur ExposedVC, un nouveau forum sur le dark web qui veut devenir la prochaine destination pour les fuites de données et le commerce de données PII.

Threat Intel

• Un nouveau service de rançonnage (RaaS) nommé Abyss a été repéré par des chercheurs en sécurité.
• Un nouvel acteur malveillant, GUI-Vil, vise des infrastructures cloud pour déployer des outils de crypto-minage.

Threat Intel

Menaces

• Le groupe 'Sneaking Leprechaun' pirate des serveurs d'entreprise, vole des données sensibles et extorque les entreprises avec des menaces de publication des données volées.
• eSentire a identifié le deuxième individu derrière le service Malware-as-a-Service (MaaS) Golden Chickens, un hacker nommé 'Jack' vivant à Bucarest, Roumanie.
• Recorded Future a publié un aperçu des principales offres de Voice-Cloning-as-a-Service disponibles sur l'écosystème de la cybercriminalité souterraine.
• PowerSploit est le cadre de post-exploitation le plus populaire auprès des acteurs malveillants ces six derniers mois selon Sophos, suivi de Meterpreter et Empire.
• Le groupe Leak Wolf, une nouvelle entité de cybersécurité russe, a commencé à opérer en avril 2022 et a déjà publié des données volées pour plus de 40 entreprises russes cette année.
• FACCT a effectué une analyse technique des logiciels malveillants LokiLocker et DarkBit qui s'en prennent aux entreprises russes et qui seraient liés à des groupes iraniens soutenus par l'État.
• Des chercheurs Embee ont identifié 27 serveurs de contrôle et de commande pour Laplas Clipper via Censys et Shodan.
• Team Cymru a publié une étude sur les serveurs de contrôle et de commande QakBot. La majorité des serveurs est probablement constituée d'hôtes compromis achetés auprès d'un tiers, principalement situés en Inde et trois autres en Russie.
• Des chercheurs de ClearSky ont documenté une série d'attaques par piégeage sur au moins huit sites web israéliens attribuées à un acteur étatique iranien.
• Les chercheurs de Kaspersky ont trouvé des preuves reliant un groupe APT récemment découvert, nommé CloudWizard, à une campagne de cyber-espionnage plus ancienne connue sous le nom d'Opération Groundbait.
• QiAnXin a publié un rapport mettant en évidence des liens possibles entre les acteurs malveillants Blind Eagle et Hagga Group.
• Une infrastructure opérée par le groupe APT SideWinder a été exposée par Group-IB et Bridewell.
• S2W a découvert AlphaSeed, une version Go d'AppleSeed qui est typiquement utilisée par le groupe APT Kimsuky, qui fonctionne comme un infostealer et peut prendre des captures d'écran, effectuer du keylogging et voler des fichiers.
• Le groupe Intrusion Truth a publié sa dernière partie de l'exposé APT31, reliant plusieurs employés de l'entreprise Wuhan Xiaoruizhi au ministère chinois de la Sécurité d'État.
• Les chercheurs Embee ont identifié 12 serveurs de contrôle et de commande pour le malware Amadey Bot via Censys et Shodan.

Threat Intel

Malware

• Neuf paquets npm malveillants ont été repérés la semaine dernière.
• L'équipe de rapport DFIR a publié une analyse approfondie des chaînes d'infection qui utilisent le logiciel malveillant IcedID pour déployer le rançongiciel Nokoyawa.
• Les chercheurs de Lab52 ont publié un rapport sur le malware GuLoader et sur la manière dont il a été utilisé dans des attaques récentes pour déposer le vol de données AgentTesla.
• Kaspersky a découvert un nouveau strain de malware nommé Minas qui était utilisé dans une attaque en juin 2022 et qui avait pour principal but le minage de cryptomonnaies.
• K7 Computing a publié un rapport sur AMOS, un voler d'informations pour macOS, également connu sous le nom de voler macOS Amotic.

Threat Intel

APTs

• Les emails malveillants ciblant Taïwan ont augmenté, contenant des malwares PlugX, Kryptik, Zmutzy et Formbook.
• Les chercheurs d'ESET ont découvert une nouvelle souche de malware Android, AhRat, qui peut enregistrer des utilisateurs à leur insu et rechercher et voler des fichiers locaux.
• Lazarus, un groupe d'attaquants informatiques nord-coréens, scanne le web à la recherche de serveurs IIS vulnérables à exploiter.
• Le groupe APT BlueNoroff de Corée du Nord utilise le chargeur de logiciels malveillants RustBucket pour cibler des entités financières en Europe, en Asie et en Amérique du Nord.
• Le groupe APT Kimsuky cible des services d'information, des activistes des droits de l'homme et des organisations de soutien à des défecteurs nord-coréens.
• Kaspersky a découvert un nouveau groupe APT qui cible des entités gouvernementales et diplomatiques au Moyen-Orient et en Asie du Sud. Appelé GoldenJackal, le groupe est actif depuis juin 2019 et utilise un ensemble d'outils .NET malveillants.
• Qihoo 360 a publié un rapport sur les activités récentes de l'APT-C-28 (ScarCruft) qui utilise le logiciel malveillant RokRat.
• Sekoia a observé le groupe APT28 pirater et abuser des routeurs Ubiquiti pour héberger des infrastructures de phishing.

Campagne et Exploitations

• Une campagne a utilisé une application de bureau piégée pour infecter les utilisateurs avec le RAT DarkCrystal.
• CERT-UA a détecté une campagne de spear-phishing visant des organisations gouvernementales en Ukraine, ainsi que d'autres organisations gouvernementales de Mongolie, Kazakhstan, Kirghizstan, Israël et Inde.

Exploitations : KEV

• vieux bug Cisco de 2004
• vieux bug Cisco de 2016
• Samsung vuln du noyau Samsung (CVE-2023-21492)
• 3 vulns iOS : (CVE-2023-28204, CVE-2023-32373, and CVE-2023-32409)

Vulnérabilités

• Plus de 1 600 sites WordPress ont été piratés en exploitant une vulnérabilité récemment divulguée dans le plugin Essential Addons for Elementor.
• Deux bibliothèques npm contenant le logiciel malveillant TurkoRat ont été détectées sur npm.
• Cisco a publié dix mises à jour de sécurité pour différents produits, dont une a une cote critique.
• Sophos a découvert cinq applications ChatGPT associées à des arnaques sur les magasins d'applications Apple et Google, qui relèvent de la catégorie des applications 'fleeceware' qui arnaquent les utilisateurs en facturant des paiements et des frais d'essai excessifs.
• Google lance un nouveau programme de récompense pour les chercheurs en sécurité qui trouvent des vulnérabilités dans les applications Android officielles.
• Cyolo a publié une analyse de la CVE-2023-24905, une vulnérabilité permettant le RCE dans le service Windows RDP.
• Les chercheurs de BugProve ont publié des informations sur CVE-2023-31070, une vulnérabilité d'écriture hors limite dans les puces IoT de Broadcom. Preuve de concept incluse.
• ColdInvite (CVE-2023-27930) est une vulnérabilité découverte par Jamf lors de l'analyse d'une faille Apple zero-day de l'année dernière connue sous le nom de ColdIntro (CVE-2022-32894).
• Les chercheurs de Secureworks ont découvert une faille dans Azure AD qui permet aux acteurs malveillants de modifier les politiques d'accès conditionnel (CAP).
• MikroTik a publié des mises à jour de microprogramme pour ses routeurs afin de corriger une vulnérabilité utilisée lors du concours de piratage Pwn2Own en décembre dernier.
• Des attaques par canal latéral sur des processeurs Arm sont détectées et peuvent être exploitées pour accéder à des données sensibles.
• Une vulnérabilité de KeePass a été confirmée, et une mise à jour pour corriger ce problème sera bientôt disponible. Les utilisateurs doivent également changer leur mot de passe principal et supprimer les fichiers associés.
• Rapid7 a publié un article détaillé et un PoC pour CVE-2023-28771, une vulnérabilité d'injection de commande non authentifiée dans l'interface WAN des équipements réseau Zyxel.
• Des chercheurs de SonarSource ont découvert une vulnérabilité (CVE-2023-28438) dans le CMS Pimcore.
• Une équipe d'universitaires a publié des détails sur BrutePrint, une technique expérimentale pouvant être utilisée pour contourner l'authentification biométrique sur certains smartphones modernes.

Vulnérabilités

• Un chercheur en sécurité a découvert un moyen d'utiliser le mode de conduite Google Maps pour contourner le verrouillage d'écran Android sur les appareils Samsung et Xiaomi.
• Google a mis à jour son programme de récompense pour les chercheurs en sécurité avec des payements plus élevés pour les rapports de bugs contenant des informations plus détaillées.
• Snyk a publié le Top 10 des vulnérabilités de code les plus courantes qu'il a trouvées dans les écosystèmes JavaScript, Java, Python, Go, PHP, Ruby et C# l'année dernière, avec le numéro 1 pour le parcours des répertoires.
• MikroTik n'a pas patché une vulnérabilité zéro-jour exploitée lors du concours Pwn2Own il y a six mois.
• Le chercheur Nguyễn Hoang Thạch a publié des détails sur deux vulnérabilités VMWare (CVE-2023-20869/20870) lors du concours de piratage Pwn2Own de décembre dernier, qui ont été corrigées en avril 2023.
• Des chercheurs de NCC Group ont découvert sept vulnérabilités dans les routeurs Netgear.
• Une vulnérabilité permettant à un attaquant non authentifié d'exécuter du code à distance a été trouvée dans plusieurs produits WAGO.
• Les chercheurs Exodus ont publié une description technique sur une vulnérabilité RCE affectant les anciennes versions de Chrome et Edge (~avril 2021).
• Des chercheurs BishopFox ont publié une preuve de concept pour CVE-2022-42475, une faille zero-day découverte dans les pare-feu Fortinet l'automne dernier.
• Apple a publié des mises à jour de sécurité pour la plupart de ses produits, corrigeant notamment trois zero-days qui ont été exploités en milieu naturel.
• Le projet Jenkins a publié un avertissement de sécurité concernant des vulnérabilités dans 22 plugins.
• Une mise à jour de sécurité pour Chrome 113 est disponible.
• Une mise à jour de sécurité est disponible pour WordPress.

Articles

• Les vidéos de la conférence de sécurité BSides San Francisco 2023 sont disponibles sur YouTube.
• Les vidéos du CloudNativeSecurityCon 2023, qui a eu lieu en février, sont maintenant disponibles sur YouTube.

Géopolitique

• Zoom était au courant de la censure chinoise.
• La Russie envisage de facturer des entreprises étrangères pour le trafic Internet qui passe par ses opérateurs de télécommunications et envisage des semaines de travail de 6 jours.
• L'Agence de Presse Associated a écrit un article sur le système de surveillance et de censure utilisé par la Russie depuis son invasion de l'Ukraine pour réprimer les dissidents.
• Le gouvernement chinois a interdit aux organisations d'infrastructure critique d'acheter des puces Micron après un examen de sécurité.
• La CIA américaine a lancé un canal officiel sur Telegram pour compléter le site Tor de l'agence.
• La NATO CCDCOE s'agrandit avec quatre nouveaux membres : l'Islande, l'Irlande, le Japon et l'Ukraine.
• La Chine a bloqué plus de 835 000 messages en ligne et fermé plus de 107 000 comptes et sites web diffusant des fausses nouvelles.
• L'état de santé mentale dans l'industrie de la cybersécurité est discuté dans le cadre de la Semaine de la santé mentale.

Data Sécu

• Le Montana interdit TikTok à l'échelle de l'État et impose des pénalités aux magasins d'applications s'ils ne suppriment pas l'application.
• Google fait l'objet d'une enquête pour avoir enfreint les règles de protection des données, y compris le RGPD, en conservant des données personnelles des candidatures à partir de 2011.
• La FTC a intenté une action judiciaire contre Easy Healthcare pour avoir partagé des données personnelles sensibles et des informations sur la grossesse avec des sociétés tierces.
• Selon un rapport du GAO, les départements d'Agriculture, de Sécurité intérieure, du Travail et du Trésor n'ont pas correctement mis en place les pratiques de sécurité cloud.
• La FTC propose des changements à la règle de notification des violations de données de santé pour clarifier le langage de la loi et protéger les données des utilisateurs.
• Certo prévient les utilisateurs d'iOS d'être prudents quant à l'installation de l'application Phone Link de Microsoft, car celle-ci pourrait être utilisée à des fins d'espionnage.
• La sœur d'un dissident saoudien emprisonné a intenté une action en justice contre Twitter et le gouvernement saoudien, alléguant que Twitter a enfreint la loi en permettant à un de ses employés d'accéder aux informations personnelles du dissident et de les partager avec des agents des services de renseignement saoudiens.
• La Commission Irlandaise de protection des données a infligé à Meta une amende de 1.2 milliards d'euros pour non-respect des lois européennes GDPR.

Outils

• Meta permet d'éditer des messages WhatsApp jusqu'à 15 minutes après leur envoi.
• Google a open-sourcé les audits de sécurité des paquets Rust qu'il utilise pour ses logiciels.
• Google publie plus de détails sur son programme de magasin racine intégré à Chrome.
• Microsoft a lancé la première version bêta de Windows 365 Boot, son service de Windows-in-the-Cloud.
• Apple publie le premier rapport de transparence de l'App Store.
• TailsOS ajoute LUKS2 à sa version 5.13.
• Les chercheurs ANY.RUN ont écrit un article sur la façon de décrypter GuLoader avec Ghidra.
• Qualys a publié un rapport sur une nouvelle version de Sotdas, un malware IoT généralement utilisé pour créer des botnets DDoS dotés de capacités de cryptomining.
• Le chercheur en sécurité de Nextron Systems, Dr4k0nia, a open-sourcé un nouvel outil nommé NixImports, un chargeur de logiciel malveillant .NET qui utilise l'API-Hashing et l'invocation dynamique pour échapper à l'analyse statique.
• Les vidéos des conférences de PHDays 12, le plus grand congrès de cybersécurité en Russie, sont disponibles sur YouTube.
• Le NIST National Vulnerabilities Database des États-Unis prévoit de mettre fin à tous ses flux de données en septembre 2023 et invite ses utilisateurs à utiliser ses API CVE et CPE pour obtenir des informations sur les nouvelles vulnérabilités.

Des échanges de cryptoactifs piratés ?

• Un acteur malveillant s'est emparé du modèle de gouvernance de Tornado Cash, un service de mélange de cryptomonnaies utilisé à des fins de blanchiment.
• Les opérateurs de la plateforme Swaprum DeFi sont accusés d'avoir volé plus de 3 millions de crypto-actifs déposés par les clients en utilisant une fonction de porte dérobée, également connue sous le nom de 'rug pull'.
• Inferno Drainer est une plateforme de Phishing-as-a-Service liée à des vols de 5,9 millions de dollars d'actifs en cryptomonnaies.

WTF

• Une société de radiologie du Nord de la Caroline intente un procès à son assureur cyber après que sa couverture ait été annulée deux jours avant une attaque par rançongiciel.