Blog

• romain
• 11 juin 2023
• • Matinale cyber

Attaques et Piratages - 1

• Le groupe hacktiviste 'Anonymous Sudan' continue de demander 10 millions de dollars à la compagnie Scandinavian Airlines pour arrêter ses attaques DDoS, suite à une demande initiale de 3500 dollars.
• Plus d'un million de livres électroniques ont été volés sur la plateforme Alladin et partagés sur les canaux Telegram.
• Une attaque de ransomware menée par le groupe Play a amené plusieurs agences gouvernementales suisses à mettre en alerte leurs systèmes de sécurité et Xplain s'est engagé à payer la demande de rançon.
• Une nouvelle équipe de rançongiciels, Rhysida, a revendiqué l'attaque du réseau informatique gouvernemental de l'île des Caraïbes, Martinique.
• L'attaque ransomware Augusta a été révélée pour un montant de 2 millions de dollars.
• Des hackers russes ont fuité les premières versions de développement du jeu STALKER 2 après l'invasion russe de l'Ukraine.
• Un cluster de 109 extensions Chrome malveillantes a été identifié et téléchargé plus de 62 millions de fois.

Attaques et Piratages - 2

• Une campagne de BEC cible le secteur financier en utilisant des comptes compromis pour rediriger les victimes vers des sites de phishing à base d'AitM.
• Le créateur d'AdBlock Plus a publié un profil sur PCVARK, une entreprise responsable de plusieurs extensions malveillantes d'ad-blocker Chrome disponibles sur le Web Store.
• Le gang de ransomware AvosLocker exploite des vulnérabilités dans les serveurs de sauvegarde Veritas pour accéder aux réseaux des victimes.
• Carbon Black de VMWare a fourni un résumé des activités de TrueBot en mai 2023, exploitant une faille critique de Netwrix et le ver Raspberry Robin pour l'accès initial et les vecteurs de livraison.
• Trend Micro a découvert une nouvelle version du ransomware TargetCompany, actuellement connu sous le nom de Xollam.
• Les mises à jour de sécurité d'Android pour juin 2023 sont sorties et incluent une correction pour la faille zero-day CVE-2022-22706 utilisée par le fournisseur espagnol de logiciels espions Variston dans des attaques contre les utilisateurs du navigateur Samsung aux EAU l'année dernière.
• Plus de 100 organisations ont été piratées jusqu'à présent.

Attaques et Piratages

MoveIt - 1

• Des attaques ciblant des serveurs de transfert de fichiers MOVEit, exploitant la vulnérabilité CVE-2023-34362, sont en cours et déployent un webshell nommé LEMURLOOT.
• Un article en Français : https://www.lemagit.fr/actualites/366539610/Vulnerabilite-MOVEit-Extreme-Networks-enquete-sur-la-compromission-de-son-instance

Attaques et Piratages

MoveIt - 2

• D'après Microsoft, il s'agit du groupe Clop.
• Ils ont confirmé à BleepingComputer.
• On les connais notamment pour la campagnew Fortra GoAnywhere.
• Même méthode :
  • recherches en lab
  • Identification d'une vuln SQLI dans le serveur MOVEit ( CVE-2023-34362)
  • exploitation et backdoor avec le webshell LEMURLOOT.
• Globalement, la campagne a duré 1 week end et était très coordonnée
• "The group deployed the webshell and immediately started stealing massive amounts of customer data, grabbing everything they could before they could be detected."
• Vont mettre des rançons plus tard sur les données volées.
• 100+ orgs hacked so far
• According to IoT search engines Censys and Shodan, there are currently between 2,500 and 3,500 MOVEit servers exposed on the internet, so the gang's extortion division will probably have its hands full for the coming weeks or months.
• Tracker des infections par GossiTheDog

Attaques et Piratages

MoveIt - 3

• Ça prouve une vraie Professionalisation du cybercrime
• D'après GreyNoise, ils ont vu des scans de serveurs MoveIt depuis le 3 Mars.
• typiquement ils ont dû préparer une liste de serveurs vulnérables plutôt que de scanner tout internet.
• Plus de la moitié des serveurs MOVEit sont aux US, ils ont attendu un jour férié aux US.
• Ils ont fait attention à pas cibler des cibles de l'administration US pour éviter les représailles comme ça a été le cas pour Darkside ou Revil.

Liens supplémentaires :

• Deepwatch,
• HuntressLabs,
• Mandiant,
• Rapid7,
• TrustedSec,
• and Trustwave._

Annonces

• Windows 11 exigera prochainement que toutes les demandes SMB soient signées pour tous les types de connexions.
• Un acteur malveillant a piraté plusieurs sites web gouvernementaux et y a publié des annonces de services de piratage.
• Microsoft annonce la fin du support de Cortana, leur assistant intelligent, à la fin de 2023.
• Le projet Tor est en train de tester une fonctionnalité de protection contre les attaques DoS qui exige des clients qui se connectent de résoudre un 'puzzle' pour accéder aux ressources.
• Le rapport du GAO a révélé que le DHS continue d'utiliser des équipements obsolètes pour gérer certains de ses systèmes critiques, ce qui l'expose aux hacks et autres risques de sécurité.
• Les États-Unis et le Canada développent un cadre de certification en cybersécurité pour les fournisseurs de services de défense.
• Le FBI a publié une alerte sur la hausse des incidents de sextorsion par deepfake, où les escrocs créent des vidéos explicites à partir de photos innocentes et demandent de l'argent, des cartes-cadeaux ou des images/vidéos sexuellement explicites à leurs victimes.
• Gigabyte a publié des mises à jour de sécurité suite à des recherches d'Eclypsium qui ont révélé que ses cartes mères téléchargeaient et exécutaient des fichiers de manière non sécurisée.
• AWS a publié un guide sur la façon de se défendre contre les attaques ransomware contre son infrastructure.

Annonces

Arrestations

• Un caporal de l'armée chilienne a été détenu pour sa participation présumée à une attaque par ransomware contre le réseau interne de l'armée.
• Le procès d'un groupe de carding opérant de nombreux sites est dirigé vers un tribunal militaire en Russie.
• Un officiel russe a été arrêté pour avoir accepté un pot-de-vin de 1032 bitcoin ($27.7 million) du groupe de cybercriminalité Infraud.
• Le FBI a arrêté un membre de 'The Comm', une communauté souterraine qui a organisé une vague de swattings contre des écoles et des universités aux États-Unis, utilisant Discord et Telegram pour organiser et coordonner des menaces, ainsi que des vols de cryptomonnaies par SIM swapping.
• Les autorités russes ont arrêté un gang de cybercriminalité appelé Jewelry Team qui aurait escroqué des Russes pour des dizaines de millions de roubles depuis janvier 2021.
• Les forces de l'ordre indiennes ont arrêté un groupe de cybercriminels qui avaient escroqué plus de 28 000 victimes pour un montant de plus de 12 millions de dollars.

Annonces

Industrie

• NCC Group démantèle la géante néerlandaise de cybersécurité Fox-IT qu'elle avait acquise en 2015 pour 135 millions d'euros.
• L'entreprise allemande Deutsche Leasing a été victime d'une attaque informatique le week-end dernier et a dû fermer certains de ses systèmes.
• IOActive a ouvert un laboratoire de cybersécurité de 5 000 pieds carrés à Cheltenham, près du nouveau siège de GCHQ.
• Le marché de l'assurance cyber est en train de se stabiliser, car les assureurs s'efforcent de réduire leurs pertes et de renforcer leurs exigences envers leurs clients.
• Dragos licencie 50 employés, en couvrant leur santé pendant deux mois supplémentaires et en offrant des indemnités de départ.

Annonces

• Les autorités françaises ont adopté une loi qui leur donne accès aux données de géolocalisation et autorise l'activation des microphones et des caméras des appareils à distance sans en informer le propriétaire.

Threat Intel

• L'agence CISA et le FBI ont publié un avis conjoint sur le gang Clop et ses TTP et IOC suite à leur dernière vague d'attaques visant les serveurs de transfert de fichiers MOVEit.
• Le rapport Verizon DBIR 2023 examine 16 312 incidents dont 5 199 ont été confirmés comme des violations de données.
• Le groupe Clop a publié des instructions pour le paiement du rançon suite à des hacks réalisés avec une faille 0-day MOVEit, qui était déjà connue depuis 2021.
• Un avocat représentant deux personnes impliquées dans les émeutes du Capitole des États-Unis le 6 janvier affirme que le FBI a essayé de les infecter avec un cheval de Troie.
• Une nouvelle organisation de rançongiciels baptisée Darkrace a commencé à diffuser les données des victimes dans le dark web cette semaine.
• Une nouvelle opération d'acteurs financièrement motivés, nommée Operation CMDStealer, cible des pays hispanophones et lusophones et utilise des LOLBins et des scripts CMD pour infecter les victimes et accéder à leurs comptes bancaires en ligne.

Threat Intel

Menaces - 1

• Des traces de logiciel espion Pegasus ont été trouvées sur les téléphones des enquêteurs du gouvernement mexicain sur les abus de droits de l'homme par les forces armées mexicaines.
• Un an après la fermeture de Conti, ses membres ont rejoint plusieurs autres cartels de cybercriminalité.
• Radware a des informations à jour sur les derniers développements de la Killnet, tels que sa PMHC Black Skills Private Military Hacker Company, sa formation Dark School pour les hackers et son échange de cryptomonnaies.
• Flashpoint publie un profil sur le groupe hacktiviste pro-Kremlin Killnet.
• Brian Krebs a un profil sur Megatraffer, un individu russe fournissant des certificats de signature de code à des gangs de logiciels malveillants depuis 2015.
• Malwarebytes a publié une analyse du groupe de rançongiciels Vice Society.
• Un nouvel acteur malveillant appelé Cyclops a lancé un service de rançongiciel nommé Cyclops, qui est actuellement fortement promu sur les forums de piratage souterrains.
• Le groupe de cybercriminalité russe ImpulseTeam est à l'origine de milliers de sites Web hébergeant diverses escroqueries de crypto-monnaie.
• Les chercheurs de ThreatMon ont publié un rapport sur l'APT SharpPanda.

Threat Intel

Menaces - 2

• Check Point a identifié une opération de cyber-espionnage ciblée contre des cibles libyennes et égyptiennes menée par des acteurs politiquement motivés.
• Le groupe Core Werewolf, un ancien groupe de cybercriminalité apparu en 2021, s'est tourné vers l'espionnage cybernétique en attaquant des organisations russes associées au complexe militaro-industriel et à l'infrastructure d'information critique.
• Le groupe Asylum Ambuscade, actif depuis 2020, s'est tourné vers l'espionnage et vise des entités gouvernementales en Europe et en Asie centrale.
• KELA a publié un rapport sur les activités des groupes APT sur les forums de cybercriminalité.
• Kimsuky distribue le logiciel open-source Quasar RAT et le malware ReconShark, principalement ciblant la Corée du Sud et des experts en affaires nord-coréennes du secteur non gouvernemental.
• IBM X-Force a publié un rapport sur l'espionnage nord-coréen mené par le groupe ITG10, également connu sous le nom de ScarCruft, Reaper et APT37.
• Sekoia a publié une vue d'ensemble des menaces cyber en Iran.
• L'alerte Kimsuky déclare que le groupe d'espionnage nord-coréen Kimsuky mène des campagnes de manipulation sociale à grande échelle et vise des think tanks, des institutions académiques et des médias.

Threat Intel

Malware

• Un acteur malveillant a injecté un malware nommé Fractureiser dans des mods et plugins pour le jeu vidéo Minecraft depuis mi-avril et une équipe a publié un outil pour détecter et supprimer le malware des systèmes des utilisateurs affectés.
• Plus de 421 millions d'utilisateurs ont installé des applications Android contenant un SDK malveillant connu sous le nom de SpinOk.
• Antiy a fourni une analyse détaillée du malware RecordBreaker, v2 du vieux RacoonStealer.
• Kaspersky a rédigé un document sur Satacom, également connu sous le nom de LegionLoader, un téléchargeur de logiciels malveillants actif depuis 2019.
• Zscaler a publié un rapport sur Bandit Stealer, un nouveau vol d'informations basé sur Go.
• Joe Slowik de HuntressLabs a publié une analyse de la divulgation et des activités récentes de Volt Typhoon.
• Des chercheurs en sécurité chinois ont publié un article sur une campagne de SideCopy diffusant le nouveau FetaRAT.

Threat Intel

APTs

• Les chercheurs Adlumin ont détecté un nouveau malware Powershell nommé PowerDrop utilisé dans des attaques contre l'industrie aérospatiale des États-Unis.
• Recorded Future a identifié une infrastructure liée à un groupe de pirates informatiques nord-coréen connu sous le nom de TAG-71 qui a été utilisé dans des opérations ciblant des institutions financières et des sociétés de capital-risque dans le Japon, le Vietnam et les États-Unis.
• CERT-UA a publié une alerte de sécurité concernant une campagne d'espionnage menée par l'APT UAC-0099 contre des organisations et des représentants des médias ukrainiens.
• Un acteur de menace chinois suspecté utilise une version modifiée de Cobalt Strike pour cibler des entités gouvernementales taïwanaises.
• Les hack des portefeuilles Atomics sont liés au groupe Lazarus de Corée du Nord et les fonds volés sont blanchis par le biais de Sinbad.

Géopolitique

• YouTube autorise les vidéos à caractère de désinformation sur les résultats électoraux.
• Le gouvernement chinois établit une nouvelle loi pour réguler l'utilisation des réseaux Bluetooth et WiFi.
• Le département du Trésor américain a imposé des sanctions à la société iranienne Arvan Cloud pour avoir aidé le gouvernement iranien à censurer Internet.
• La Douma russe travaille sur une loi qui obligerait les citoyens russes à obtenir un code unique pour accéder à internet.
• Le Service de sécurité ukrainien a demandé aux citoyens de désactiver les caméras de sécurité filmant les espaces publics, car la Russie exploite leurs vulnérabilités pour accéder aux flux, lancer des attaques et ajuster le ciblage en temps réel.
• L'Inde dispose d'une industrie de mercenaires en cybersécurité qui fournit des services à travers le monde avec l'approbation tacite du gouvernement.
• Le Gabon a repris la gestion de son domaine de premier niveau (TLD) .ga et supprimera les domaines ne comportant pas d'informations sur leurs propriétaires.

Data Sécu

• Apple a présenté de nouvelles fonctionnalités de confidentialité et de sécurité lors de sa conférence WWDC.
• Avec la sortie d'iOS 17, Safari inclura une nouvelle fonctionnalité permettant aux utilisateurs de verrouiller leurs sessions de navigation privée en faisant une vérification FaceID.
• Zoom offre des nouvelles fonctionnalités de confidentialité pour ses clients européens, avec des serveurs basés dans l'UE et des équipes de support basées également dans l'UE.
• Selon une étude, la plupart des districts scolaires ne disposent pas d'un employé à temps plein dédié à la cybersécurité et 12% ne consacrent aucun fonds à la défense de la cybersécurité.
• Microsoft a accepté de payer une amende de 20 millions de dollars à la FTC pour avoir enfreint les lois sur la protection des données personnelles des enfants aux États-Unis.
• Le gouverneur de Floride Ron DeSantis a signé une loi obligeant Google et d'autres moteurs de recherche à divulguer s'ils priorisent les résultats de recherche en fonction de l'idéologie politique.

Data Leaks

• MoveIt (du coup)

Campagne et Exploitations

• Une campagne d'adware Android a été identifiée, impliquant plus de 60 000 applications malveillantes.
• Une campagne ModiLoader récente a été lancée pour pousser le logiciel malveillant Remcos RAT.
• Selon Palo Alto Networks : les attaques exploitant des vulnérabilités ont augmenté de 55% en 2021 et 27.5% pour les malwares ciblant le secteur OT.
• Une campagne Magecart a été analysée par Akamai, où les pirates hébergent leur code malveillant sur des sites légitimes compromis pour éviter les détections.
• La nouvelle campagne RomCom cible des politiciens ukrainiens travaillant avec l'Occident, ainsi qu'une entreprise américaine fournissant de l'aide humanitaire aux réfugiés fuyant l'Ukraine.

Vulnérabilités - 1

• Une étude néerlandaise a révélé que la plupart des produits de panneaux solaires disponibles sur le marché sont vulnérables aux attaques et ne répondent pas aux exigences minimales de cybersécurité.
• Barracuda demande à ses clients de remplacer leurs appareils piratés suite à la découverte d'une faille zéro-jour récemment patchée (CVE-2023-2868).
• Avast a découvert un cluster de 82 extensions Chrome malveillantes qui affichent de la publicité et détournent les résultats de recherche.
• Google a ignoré un rapport de bug sur une vulnérabilité de contournement de la vérification BIMI de Gmail, mais a changé d'avis après avoir été critiqué sur les réseaux sociaux.
• La plateforme open-source MLflow pour l'apprentissage automatique a corrigé des vulnérabilités LFI/RFI.
• Une vulnérabilité XSS stockée affecte Cloudogu SCM Manager, une plateforme centralisée pour gérer les dépôts Git, Mercurial et Subversion.
• Varonis a publié un rapport sur une vulnérabilité dans Microsoft Visual Studio pouvant permettre à un attaquant de contrefaire une signature d’extension et d’imiter n’importe quel éditeur.

Vulnérabilités - 2

• VMware a publié une mise à jour de sécurité pour corriger trois vulnérabilités, dont une commande d'injection pouvant conduire à des scénarios RCE.
• Cisco a publié 7 mises à jour de sécurité pour différents produits, dont 2 critiques.
• Un chercheur en sécurité a exploité une vulnérabilité dans l'API de réinitialisation des mots de passe de la plateforme e-commerce de Honda.
• Rezilion a une liste des vulnérabilités de sécurité les plus importantes de cette année.
• Google a publié une mise à jour de sécurité pour Chrome pour corriger une vulnérabilité 0-day exploitée en milieu naturel.
• Une vulnérabilité RCE a été découverte dans le SCM Mercurial de Mozilla et a été corrigée.
• Des chercheurs ont identifié une vulnérabilité RCE dans le plugin MarkAsJunk de Roundcube.
• Des chercheurs de Synacktiv ont identifié trois vulnérabilités dans Dassault Delmia Apriso qui ont été corrigées.
• Des chercheurs de Qualys ont identifié trois vulnérabilités dans le débogueur graphique RenderDoc.

Vulnérabilités - 3

• Une mise à jour de sécurité de KeePass a été publiée pour corriger une vulnérabilité qui permet de récupérer le mot de passe principal en clair.
• Une preuve de concept d'exploit a été publiée pour une vulnérabilité permettant l'exécution de code à distance dans le Kit d'outils ReportLab, une bibliothèque Python utilisée pour convertir des fichiers HTML en documents PDF.
• Des chercheurs en sécurité chinois ont publié une analyse et un PoC pour la vulnérabilité d'envoi de fichiers arbitraires CVE-2023-20073, affectant les routeurs VPN Cisco RV.
• La Fondation OWASP travaille sur une liste des 10 risques de sécurité les plus dangereux liés aux applications à modèles linguistiques volumineux (LLM).
• Une exécution de code non autorisée est détectée.
• Les vulnérabilités SSRF sont une menace pour la sécurité des applications web.
• Les données d'entraînement sont volontairement modifiées pour manipuler les résultats de l'IA.

Vulnérabilités

KEV (Exploitations)

Outils - 1

• Google a publié le Secure AI Framework (SAIF), un cadre conceptuel pour créer des systèmes d'IA sécurisés.
• GitHub a ajouté le support du langage de programmation Swift à ses fonctionnalités de sécurité.
• Mozilla a publié la version 114 de son navigateur Firefox avec des modifications importantes pour la sécurité.
• Google annonce la disponibilité générale du support des mots de passe pour Google Workspace et Cloud Platform, permettant aux utilisateurs de s'authentifier avec un code PIN ou une authentification biométrique.
• CISA, le FBI et la NSA ont publié une nouvelle guide de sécurité conjointe sur la sécurisation des logiciels de connexion à distance contre leur détournement par des attaquants.
• Vingt-six nouveaux packages npm malveillants ont été détectés la semaine dernière.
• Les vidéos de la conférence SSTIC 2023 sur la sécurité et la vie privée sont maintenant disponibles sur le site web de la conférence.

Outils - 2

• Un nouvel outil, IRCP, est disponible pour la reconnaissance à grande échelle sur les serveurs de chat IRC.
• Une entreprise de sécurité a open-sourced eBPFGuard, une bibliothèque Rust pour écrire des politiques de sécurité Linux à l'aide d'eBPF.
• Valtteri Lehtinen a open-sourcé un outil appelé Onion Fermenter pour effectuer des attaques Man-in-the-Middle contre les services cachés TOR sur une grande échelle.
• Kaspersky a rendu disponible un outil nommé triangle_check pour scanner les sauvegardes iTunes afin de retrouver des traces d'utilisation par l'opération Triangulation.
• Foundry Zero a publié un outil nommé Binder Trace qui peut intercepter et analyser les messages Binder d'Android.
• Ce dépôt GitHub de Xavier Santolaria recense tous les congrès de sécurité informatique passés et à venir.

Articles

• Google a une explication détaillée du rôle de ses ingénieurs en sécurité chargés de trier les bogues de sécurité de Chrome chaque semaine.
• Un peu de reverse/maldev : Analyse de AddressOfEntryPoint
• Map des familles de ransomwares par OCD

Articles

LPM v3 envoyée au Sénat

« Art. L. 2321‑4‑1. – En cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information susceptible d’affecter un de leurs produits, les éditeurs de logiciel notifient à l’autorité nationale de sécurité des systèmes d’information cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et conséquences. Cette obligation s’applique aux éditeurs qui fournissent ce produit :

• « 1° Sur le territoire français ;
• « 2° À des sociétés ayant leur siège social sur le territoire français ;
• « 3° Ou à des sociétés contrôlées, au sens de l’article L. 233‑3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français.

« Les éditeurs de logiciel informent dans les meilleurs délais les utilisateurs recourant à ce produit. À défaut, l’autorité nationale de sécurité des systèmes d’information peut enjoindre aux éditeurs de logiciel de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle‑ci n’a pas été mise en œuvre.

Des échanges de cryptoactifs piratés ?

• Les utilisateurs du service de portefeuille crypto-monnaie Atomic Wallet ont perdu plus de 35 millions de dollars de crypto-actifs après qu'un acteur malveillant mystérieux ait commencé à siphonner des fonds de leur compte.
• Atomic Wallet enquête sur des incidents impliquant des portefeuilles vidés de leurs fonds, bien qu'il soit encore incertain si les attaquants ont utilisé de la phishing ou exploité une vulnérabilité.