Blog

• romain
• 26 juin 2023
• • Matinale cyber

Attaques et Piratages

Attaques et Piratages - 1

• Une attaque par rançongiciel a été menée par THT (TimisoaraHackerTeam) sur un centre de traitement du cancer aux États-Unis et a réduit significativement la capacité de traitement des patients.
• L'incident AZ Tower Cloud a eu un impact majeur sur le Japon et a forcé plusieurs fournisseurs de gaz à fermer leurs portails et à retarder leurs lectures de compteurs.
• 85 victimes sont maintenant affectées par le hack MOVEit, dont PwC, Ernst & Young, Medibank, Metro Vancouver Transit Police et Norton LifeLock.
• Un groupe russe de pirates informatiques nommé Solntsepyok a piraté les systèmes de la chaîne ukrainienne Suspilne Media et a planté des fausses histoires selon lesquelles l'équipe CERT de l'Ukraine échouait à répondre aux cyberattaques.
• Un acteur malveillant utilise l'infrastructure de GitHub pour inonder le serveur de l'infrastructure du projet GNU Multiple Precision Arithmetic Library.
• Un clone de BreachForums a été piraté.
• Infoblox a publié une analyse approfondie des différentes formes d'attaques de type lookalike (homographes, soundsquatting, typosquatting, combosquatting, etc.).

Attaques et Piratages

Attaques et Piratages - 2

• Les chercheurs Zscaler affirment que le voleur d'informations RedEnergy propose maintenant une option Stealer-as-Ransomware, offrant des modules de chiffrement de fichiers pour permettre à ses 'clients' de verrouiller les systèmes infectés.
• Des attaques par le bot Lemmy sont signalées sur des instances en remplacement de Reddit.
• Bitdefender a publié un rapport sur RDStealer, un malware en Go utilisé dans une attaque contre une entreprise IT d'Asie de l'Est.
• Des chercheurs d'eSentire affirment qu'un acteur malveillant a utilisé des téléchargements et des campagnes de phishing pour infecter des victimes avec un nouveau backdor nommé Resident depuis novembre 2022.
• Une entreprise a récemment publié un rapport sur la version la plus récente du bot Tsunami DDoS qui est installée sur des systèmes Linux suite à des attaques par force brute et dictionnaire SSH.
• Les applications Android et iOS Swing VPN sont suspectées de conduire des attaques DDoS en utilisant les appareils des utilisateurs.
• Reddit a confirmé une attaque par ransomware après que le gang BlackCat a menacé de publier 80 Go de fichiers de l'entreprise et a demandé une rançon de 4,5 millions de dollars.

Annonces

• Western Digital a banni les produits NAS qui utilisent des versions obsolètes du micrologiciel de se connecter à son service MyCloud.
• BishopFox a publié le rapport sur l'état de la sécurité offensive, un sondage auprès de 700 professionnels de l'informatique et de la sécurité sur les sujets liés à la sécurité offensive.
• Le Royaume-Uni a approuvé une aide de 25 millions de livres sterling pour améliorer la défense cybernétique de l'Ukraine.
• Le CID de l'armée US a signalé que des membres du service ont reçu des montres connectées D18 non sollicitées qui pourraient contenir un malware pour collecter des données, enregistrer des conversations ou accéder aux données des smartphones connectés.
• Google a attribué 313 337 $ à des chercheurs en sécurité via son programme Google Cloud VRP l'année dernière.
• Zyxel a publié une mise à jour de sécurité pour corriger une injection de commande pré-authentification dans ses produits NAS.
• Costin Raiu, le célèbre chef de la division GReAT de Kaspersky, quitte l'entreprise.
• LastPass a réinitialisé les jetons 2FA de tous ses utilisateurs, sans explication claire.
• Enphase Energy ignore les demandes de CISA pour corriger des bugs dans ses produits.

Annonces

Arrestations

• Le groupe de rançongiciels Akira a nié avoir ciblé et chiffré la banque de développement d'Afrique du Sud et a offert son aide à la banque pour récupérer ses systèmes.
• Un ancien employé présumé de l'Agence Fédérale des Transports Aériens (Rosaviatsiya) est à l'origine d'une cyberattaque qui a mis hors service les systèmes informatiques de l'agence pendant plusieurs jours.
• Plusieurs organisations ont été victimes des hacks MOVEit, notamment le département de l'Agriculture des États-Unis, le département de l'Énergie des États-Unis, le fournisseur de cloud computing Extreme Networks, le fabricant de logiciel Datasite, l'entreprise suisse ÖKK et le système universitaire de Géorgie.
• Un dirigeant a été condamné à 18 mois de prison pour avoir 'hackback' un ancien employé.
• Un hacker néerlandais a été condamné à 36 mois de prison pour avoir vendu des données volées sur RaidForum, ainsi que pour des opérations de phishing et de blanchiment d'argent en crypto-monnaie.
• Ilya Sachkov, ancien PDG de Group-IB, accuse deux agents du FSB d'avoir orchestré son arrestation pour trahison en 2021.
• Les autorités polonaises ont arrêté deux suspects qui opéraient un service DDoS-for-hire avec plus de 35 000 comptes et 320 000 attaques, générant plus de 400 000 $ pour leurs créateurs.

Annonces

Industrie

• Google poursuit une entreprise pour avoir posté plus de 14 000 faux avis sur ses services de recherche, cartes et YouTube.
• Apple.com prend désormais en charge les mots de passe, mais uniquement pour les versions bêta d'iOS 17, iPadOS 17 et macOS Sonoma.

Threat Intel

Menaces

• Des traces de logiciels espions ont été trouvées sur les téléphones de plusieurs magistrats et policiers belges.
• Brian Krebs a un profil sur Cryptor.biz, une opération de cryptage de logiciels malveillants qui a servi les plus grandes gangs de cybercriminalité.
• Le groupe Muddled Libra mène des campagnes de phishing contre des sociétés de sous-traitance grandes et hautement spécialisées dans les crypto-monnaies, avec un outil nommé 0ktapus.
• Check Point a découvert un nouveau malware associé au groupe APT chinois Camaro Dragon, appelé WispRider et HopperTick, qui peut se propager via des périphériques USB.
• Palo Alto Networks a documenté un cluster d'activité de cyber-espionnage ciblant des gouvernements en Afrique et au Moyen-Orient.
• Seqrite a publié un rapport sur le nouveau RAT Action utilisé par l'APT SideCopy.
• AhnLab a publié un rapport sur la campagne Kimsuky du 20 mai 2023.
• Une équipe d'universitaires a découvert une nouvelle technique qui permet aux attaquants de localiser avec précision les utilisateurs mobiles.

Threat Intel

Malware

• Un rapport de la firme SecDevOps Sonatype examine le malware récemment téléchargé sur le portail PyPI.
• Onze nouveaux packages npm malveillants ont été découverts la semaine dernière.
• ANY.RUN a publié une analyse d'une version inédite du RAT Gh0stBin de la scène chinoise.
• Vlad Pasca de SecurityScorecard décompose le RAT Android AhMyth, initialement repéré par ESET au printemps.
• FluHorse est un troyen bancaire Android actuellement déployé en Asie du Sud-Est, dont Fortinet et CheckPoint ont publié des rapports.
• AhnLab a publié un rapport sur RecordBreaker, la dernière version du malware RacoonStealer.
• Trend Micro a publié une nouvelle analyse sur le malware SeroXen.
• Les chercheurs de Fortinet font un aperçu approfondi du nouveau ransomware Big Head, qui a été aperçu pour la première fois en ligne le mois dernier.
• OALABS a publié des IOC pour RisePro, un nouveau voleur d'informations en C++.
• Les chercheurs de Bitdefender ont publié un rapport sur une porte dérobée Python multiplateforme qui semble avoir été utilisée dans des attaques contre les utilisateurs macOS.

Threat Intel

APTs

• L'Agence nationale de sécurité américaine a publié une ligne directrice sur la manière dont les organisations peuvent atténuer et protéger leurs systèmes contre BlackLotus, un bootkit lié aux opérations de APT.
• Le groupe APT15 Chinois, Flea, a déployé un nouveau logiciel malveillant, Graphican, dans une cyber-espionnage qui a ciblé des ministères des affaires étrangères en Amérique.
• Le groupe RedEyes (APT37, Scarcruft) cible des défecteurs nord-coréens, des militants des droits humains et des professeurs universitaires avec des nouveaux malwares tels qu'AblyGo et FadeStealer.
• Des chercheurs chinois de Th0r Security ont publié une analyse des malwares récemment utilisés par l'APT Bitter.
• Midnight Blizzard (Nobelium, APT29) s'est activé avec des attaques de bruteforce et des attaques de pulvérisation de mots de passe via des services de proxy résidentiels et des clés de session volées.
• Une campagne de hameçonnage ciblant les utilisateurs de macOS a été menée par le groupe d'espionnage cybernétique nord-coréen APT37.
• Le groupe d'espionnage APT28 (BlueDelta) a mené une campagne visant les serveurs de messagerie RoundCube des organisations ukrainiennes, exploitant plusieurs vulnérabilités.
• Une campagne de phishing liée à l'APT Ghostwriter et distribuant PicassoLoader a été détectée par l'équipe du CERT ukrainien.

Géopolitique

Putsh en Russie

Géopolitique

Russie - Ukraine

• Le général William Hartman, chef de la Cyber National Mission Force de la US Cyber Command, a donné une interview à The Record sur les missions de chasse avancée de CyberCom en Ukraine.
• Yandex a été condamné à une amende de 2 millions de roubles en Russie pour ne pas avoir fourni d'informations au FSB sur les utilisateurs du portail Yandex.Services.
• Le gouvernement russe envisage de lever les interdictions sur les services de streaming en ligne étrangers.
• Les officiels russes utilisent des comptes Twitter bots pour propager une fausse narrative qui accuse l'Ukraine et les gouvernements occidentaux de l'explosion du barrage de Kakhovka.
• Le gouvernement russe prévoit de construire Rsnet, un nouveau réseau intranet-like pour l'utilisation exclusive de ses agences gouvernementales.
• Les entreprises d'État russes doivent passer à des logiciels russes avant le 1er janvier 2025.

Géopolitique

Reste du monde

• Google accuse Microsoft d'utiliser des pratiques anti-concurrentielles et monopolistiques dans son activité Cloud.
• Les administrateurs de plusieurs instances Mastodon ont conclu un pacte pour bloquer les services ActivityPub de Meta et empêcher les utilisateurs Meta de se connecter à la plupart de la Fediverse.
• Deux lanceurs d'alerte de Meta ont révélé à Washington Post que l'entreprise censure des messages critiques à l'encontre du parti communiste vietnamien.
• L'ATF organise un atelier public sur la sécurité du protocole Border Gateway le 31 juillet 2023.
• La Commission européenne a interdit l'utilisation d'équipements chinois dans ses réseaux internes et a encouragé les États membres à restreindre l'accès des fournisseurs de 5G Huawei et ZTE aux réseaux télécoms européens.
• La pénurie de professionnels de la cybersécurité en Inde devrait atteindre 3 millions à la fin de 2023.
• Le gouvernement Albanais raide un camp de réfugiés Iranien pour des soupçons de liens avec un parti ayant perpétré divers attaques cyber

Data Sécu

• Plusieurs gouvernements européens demandent à l'UE d'ajouter une exemption à la loi européenne sur la liberté de la presse pour leur permettre d'espionner les communications électroniques des journalistes au nom de la sécurité nationale.
• La FTC a déposé une plainte contre Amazon pour leur inscription forcée des clients à leur programme Prime et leurs pratiques peu sécurisées.

Data Leaks

• UPS a subi une violation de données, qui a permis à un acteur malveillant d'obtenir des numéros de téléphone et de les utiliser dans des campagnes de smishing et de phishing ciblant ses clients.
• L'attaque par ransomware Smartpay a affecté des systèmes de New Zealand et a conduit à la fuite des données personnelles des détaillants utilisant ses solutions EFTPOS.
• 436 victimes ont été postées sur des sites de fuite de rançongiciels en mai 2023, selon des nouvelles recherches de NCC Group.
• Plus de 100 000 comptes sur le service ChatGPT d'OpenAI ont été vendus sur des marchés illégaux au cours de l'année passée.
• Le procureur général de Washington poursuit T-Mobile pour non-coopération dans une enquête sur ses pratiques de sécurité après une faille de sécurité qui a exposé les informations personnelles de plus de 80 millions de clients actuels et anciens.

Vulnérabilités

Début - 1

• Le gestionnaire de mots de passe KeePassXC conteste une CVE qui permet à un acteur malveillant de modifier le mot de passe principal et les paramètres d'authentification à deux facteurs.
• Apple a publié des mises à jour de sécurité qui corrigent trois zero-days sur iOS et macOS, impliqués dans une attaque connue sous le nom d'Opération Triangulation.
• ASUS a publié une suite de mises à jour de micrologiciel pour corriger 18 problèmes de sécurité dans ses routeurs gaming et SOHO.
• Progress Software a été poursuivi en justice dans une action collective suite à l'exploitation d'une vulnérabilité zéro-jour dans son appareil de transfert de fichiers MOVEit.
• Le service Outlook 365 de Microsoft corrompt les fichiers Office et PDF depuis avril de cette année.
• Unit42 PAN fait un résumé des vulnérabilités IoT exploitées par des botnets DDoS.
• Des acteurs malveillants exploitent une vulnérabilité des serveurs Apache RocketMQ (CVE-2023-33246) permettant d'exécuter des commandes malveillantes à distance.
• La vulnérabilité CVE-2023-20887 de VMWare est exploitée après la publication d'un PoC sur GitHub.
• Des chercheurs de Fortinet ont découvert un nouveau service de DDoS à la demande nommé Condi. Il exploite une vulnérabilité récente (CVE-2023-1389) dans les routeurs TP-Link Archer et une autre vulnérabilité (CVE-2023-26801) dans les routeurs LB-Link.

Vulnérabilités

Suite - 2

• Des chercheurs ont découvert une vulnérabilité dans les applications Microsoft Azure AD OAuth pouvant mener à un prise de contrôle complète de compte, corrigée par Microsoft cette semaine.
• Rapid7 a publié des informations sur trois vulnérabilités dans les serveurs d'administration Fortra Globalscape EFT, y compris un contournement d'authentification (CVE-2023-2989).
• Juniper a publié une analyse de la vulnérabilité récente d'Apache RocketMQ (CVE-2023-33246) exploitée dans la nature.
• Une vulnérabilité d'écriture de fichiers arbitraires a été découverte dans la suite LibreOffice et a été corrigée le mois dernier.
• Cisco a publié deux correctifs cette semaine, un pour une XSS et un autre pour un contournement de l'authentification à deux facteurs dans l'application Duo de la société pour macOS.
• Un nouveau test a révélé que la reconnaissance faciale des smartphones de moyenne à haut de gamme peut être contournée en utilisant une photo.
• Un chercheur en sécurité a publié un exploit de preuve de concept pour CVE-2023-20178, une LPE dans le client AnyConnect Windows de Cisco.
• Frycos a découvert deux vulnérabilités de Fortinet qui mènent à un contrôle à distance et qui ont été corrigées à la fin du mois de mai.

Vulnérabilités

Suite - 3

• Les chercheurs de StarLabs ont publié une analyse détaillée de la vulnérabilité CVE-2023-1829, une vulnérabilité use-after-free dans le noyau Linux.
• Google a publié des détails sur une vulnérabilité dans macOS et iOS liée à un décodeur de message SIP qui a été patchée en mai.
• Un chercheur en sécurité a découvert une vulnérabilité majeure dans le service cloud Eaton SecureConnect, qui contrôle les systèmes d'alarme domotique Eaton.
• Des chercheurs de Kaspersky ont identifié des vulnérabilités dans les distributeurs automatiques de nourriture pour animaux domestiques Dogness.
• Une vulnérabilité majeure a été identifiée dans le plugin Abandoned Cart Lite pour WooCommerce, qui permet aux acteurs malveillants de se connecter en tant qu'utilisateurs inscrits ayant abandonné un panier.
• 75% des scores CVSSv3 ne font appel qu'à 17 des 101 scores possibles, en raison des métriques de notation limitées utilisées pour calculer le score.
• Google a payé 1,8 million de dollars en récompenses pour les vulnérabilités du noyau Linux soumises à sa plate-forme de chasse aux bugs depuis le lancement du programme en 2020.
• Une vulnérabilité d'authentification par contournement a été découverte dans le serveur de messagerie Openfire RTC.

Vulnérabilités

Exploitations

• Securonix a publié un rapport sur une campagne de phishing qu'ils appellent MULTI#STORM visant à infecter les utilisateurs avec le WarzoneRAT.
• Une campagne malspam utilise des appâts OnlyFans pour distribuer des versions du malware DcRAT.
• La CISA a mis à jour sa base de données KEV avec six nouvelles vulnérabilités qui sont actuellement exploitées.

Outils

• Le nouveau navigateur de bureau d'Opera Software, connu sous le nom d'Opera One, est maintenant disponible au public.
• BishopFox a publié un nouvel outil capable de scanner les instances VPN SSL FortiGate pour déterminer si elles sont vulnérables à la faille 0-day XORtigate (CVE-2023-27997).
• Sub Rehab est un nouveau site Web qui montre où la plupart des subreddits Reddit ont été déplacés sur la plateforme Lemmy.
• Une nouvelle fonctionnalité de sécurité Windows nommée Win32 App Isolation est maintenant en prévisualisation publique.
• Google finance des cliniques de cybersécurité dans 20 établissements d'enseignement aux États-Unis et offre des bourses pour un programme de certificat en cybersécurité.
• Un nouvel outil appelé Vehicle Privacy Report montre quelles données les constructeurs automobiles et leurs voitures collectent des propriétaires.
• Alex Delamotte de SentinelOne a créé une carte des différentes familles de rançongiciel qui ont été créées à partir des constructeurs de rançongiciel piratés.
• Le framework Metasploit de Rapid7 a reçu une mise à jour hebdomadaire importante, avec 12 nouveaux modules, dont sept RCE.
• Locksmith, un couteau suisse pour la PKI

Les Articles

• Prodaft sur FIN7 : un Dwell time de plus d'un an !
• TriangleDB : un implant iOS très complexe
• (vieil article) un nouveau bypass de Credential Guard qui récupère les offsets à la volée
• Write Up de la vuln NoAuth sur le cloud Microsoft
• KeePassXC CVE-2023-35866 : changer le master password et les facteurs secondaires d'authentification

Des échanges de cryptoactifs piratés ?

• Des hackers ont volé 630 000 $ de ApeCoin de la plateforme NFT Pawnfi.