Blog

• romain
• 2 juillet 2023
• • Matinale cyber

La UNE

• LeHACK 2023
• Rivalité PMC Wagner - RU MOD
• Emeutes en FR
• MoveIt encore et toujours
• Nouvelle attaque : confusion de manifeste
• Nouvelle technique : Mockingjay
• Nouvelle technique : RowPress

Perso : LeHACK2023

• Revoir les copains
• les TALKS
• le Workshop AD (!)
• le CTF

Annonces

• Google a retiré l'autorité de certification e-Tugra basée en Turquie du magasin de racine Chrome, en raison d'une série de mauvaises configurations de leur infrastructure serveur.
• Un événement de rotation de clé DNSSEC supposé 'routine' a provoqué une panne généralisée pour les domaines NZ (.nz) à la fin du mois de mai.
• QNAP retirera l'application PhotoStation le 1er octobre 2023 et conseille aux utilisateurs de la désinstaller, car elle a été ciblée par des gangs de rançongiciels et risque d'être encore plus vulnérable après l'arrêt des mises à jour de sécurité cet automne.
• CISA et la NSA ont publié une nouvelle mise en garde de sécurité sur la manière dont les entreprises peuvent sécuriser leurs environnements DevOps CI/CD.
• L'Australie a nommé un coordinateur national en cybersécurité pour diriger sa politique et gérer les incidents cyber majeurs.
• Le rapport de spam VirusBulletin pour le Q2 2023 est disponible.
• SolarWinds a reçu une notification Wells de la SEC concernant l'incident de sécurité de 2020 et pourrait être condamnée ou interdire certains dirigeants d'occuper des postes dans des sociétés publiques.
• Des modifications sont proposées à la réglementation européenne sur la cybersécurité, qui incluent le renommage du CERT-EU en Centre européen de cybersécurité.

Annonces - 2

• Plus de 1300 systèmes fédéraux dotés d'interfaces de gestion sont exposés sur Internet, ce qui constitue une violation de la directive BOD 23-02 de la CISA.
• ANSSI, l'agence française de renseignement, a averti les cabinets d'avocats de renforcer leurs défenses de cybersécurité contre les attaques de ransomware et les campagnes d'espionnage.
• Plus de 800 campagnes de malvertising ont eu lieu en 2023 jusqu'à présent, principalement hébergées par des annonces Google Search et livrant des malwares tels qu'Aurora, BatLoader et IcedID.
• Les vidéos de la conférence de sécurité SANS New2CyberSummit 2023 sont maintenant disponibles sur YouTube.
• Le CCDCOE de l'OTAN a publié 24 articles sélectionnés parmi 200 soumissions et présentés lors de la conférence de sécurité CyCon 2023.
• L'UE examine la Directive sur la responsabilité du fait des produits, adoptée il y a 30 ans, pour prendre en compte les chaînes d'approvisionnement complexes du paysage industriel d'aujourd'hui.
• Le US Cyber Command va doubler la taille de son programme 'Under Advisement' pour recevoir des alertes précoces sur les menaces cyber et aider le secteur privé à confirmer les attaques étrangères.

Annonces

Arrestations

• L'équipe DS Penske Formula E a été sanctionnée pour avoir utilisé un scanner RFID pour récupérer des données sur des véhicules et des pneus concurrents.
• Des centres de fraude ont été démantelés aux Philippines, libérant plus de 2700 personnes forcées de commettre des fraudes sur Internet.
• Le groupe de rançongiciels 8Base a vu le nombre d'attaques et d'extorsions multiplié par plus de deux en juin 2023, le plaçant parmi les principaux acteurs du marché.
• Des autorités indiennes ont arrêté deux frères pour avoir accédé et volé des informations sur la plateforme de planification de vaccination COVID-19 de l'Inde.
• Joseph James O'Connor a été condamné à cinq ans de prison pour sa participation au piratage de Twitter 2020 et pour des attaques de substitution de SIM et des vols de crypto-monnaie.
• Un administrateur du marché Monopoly a été accusé par les États-Unis et 288 trafiquants de drogue ont été arrêtés dans le cadre de l'opération SpecTor.

Annonces

Arrestations - 2

• Quatre hommes nigérians ont été extradés aux États-Unis pour des accusations de fraude fiscale au IRS.
• L'intelligence roumaine SRI et la division antiterroriste DIICOT ont prévenu une attaque cybernétique planifiée par un ressortissant roumain.
• 15 suspects ont été arrêtés pour la construction et l'utilisation d'une application mobile utilisée par plus de 6 400 maisons closes à travers le pays pour collecter et indexer les numéros de téléphone et les informations personnelles des visiteurs.
• Le FBI a saisi le forum cybercriminel cloné BreachForums et les autres domaines appartenant à Pompompurin lors d'une action complémentaire.

Annonces

Industrie

• L'entreprise à l'origine des appareils de piratage Flipper Zero devrait vendre 80 millions de dollars de produits d'ici la fin de l'année, adoptés par des groupes criminels et interdits d'importation au Brésil.
• HashiCorp, une entreprise d'infrastructure sécurisée, a acquis l'application de sécurité du code source BluBracket.
• L'Alliance de la Cybersécurité s'est agrandie avec l'entrée de CyberCX.

Attaques et Piratages

• Le groupe ukrainien CyberAnarchySquad affirme avoir piraté le réseau du fournisseur russe de communications par satellite DoZor-Teleport, ce qui a entraîné une interruption du réseau.
• Une attaque cybernétique a touché le système de la chaîne de stations-service Petro-Canada, propriété de Suncor, et compromis son site web et ses applications mobiles, ainsi que ses systèmes de paiement.
• L'Université d'Hawaï a confirmé qu'elle avait été la cible d'une attaque par rançongiciel.
• La banque Medibank doit ajouter 250 millions de dollars australiens à son capital suite à une attaque de ransomware qui a exposé les données personnelles et médicales de plus de 9,7 millions d'Australiens.
• Les clients Battle.net d'ActivisionBlizzard ont été la cible d'une attaque DDoS de plusieurs heures qui a empêché de nombreux utilisateurs de se connecter et de jouer aux jeux de l'entreprise.

Attaques et Piratages

MoveIt

• Plus de 100 victimes sont affectées par les hacks MOVEit, dont Siemens Energy, Schneider Electric, Calpers, Genworth et UCLA.
• TSMC, le fabriquant de puces Taiwanais impacté

Attaques et Piratages - 2

• Le forum de cybercriminalité DarkForums aurait été piraté et sa base de données d'utilisateurs publiée sur BreachForumsVC.
• Des serveurs Bitrix piratés ont été utilisés dans des opérations de hameçonnage.
• ThreatFabric a découvert cinq applications Android contenant le trojan bancaire Anatsa disponibles sur le Play Store et téléchargées plus de 30 000 fois.
• Microsoft a découvert une opération criminelle qui installe des backdoors sur des appareils Linux et IoT afin de déployer un cryptominer.
• Selon Aqua Security, presque 37 000 dépôts GitHub sont vulnérables aux attaques de repojacking.

Data Leaks

• Une fuite de données a été involontairement provoquée par l'USPTO, révélant les adresses à domicile de près de 61 000 déposants de brevet.
• La société polonaise LetMeSpy, qui fabrique une application Android pour le suivi des appels téléphoniques, des SMS et de la localisation et des mouvements des téléphones, a été piratée et ses données publiées en ligne.
• American Airlines et Southwest Airlines ont révélé des incidents de sécurité auprès d'un fournisseur tiers qui ont exposé les informations de leurs pilotes.

Threat Intel

Rapports

• Le gouvernement suisse a publié son rapport annuel sur les menaces liées à l'espionnage et à l'intelligence, mentionnant un total de 20 menaces cyber.

Threat Intel

Menaces

• Le Shin Bet israélien utilise l'intelligence artificielle pour repérer des menaces.
• Une nouvelle mise à jour sur Manic Menagerie, un acteur de menace qui pirate des serveurs web pour des opérations de minage de crypto-monnaie, est disponible.
• Le groupe de cybercriminalité Silver Fox a commencé à utiliser des opérations de phishing par e-mail à la place d'attaques de piégeage SEO pour cibler les entreprises chinoises.
• Deux israéliens, Farkash et Rubinstein, sont derrière Cytrox et Inpedio, deux entreprises liées au développement de Predator, un logiciel espion largement utilisé dans le scandale politique grec Predatorgate.
• DarkOwl a un profil sur le marché sombre Styx qui se concentre sur les crimes financiers, proposant des comptes piratés, des données de cartes, l'accès RDP, des malwares, etc.
• Les chercheurs de Kaspersky ont découvert une nouvelle famille de logiciels malveillants opérée par le groupe Andariel et nommée EarlyRAT.

Threat Intel

Menaces - 2

• Le groupe d'espionnage informatique iranien MuddyWater a adopté le framework de contrôle et de commande PhonyC2 pour ses opérations récentes, qui comprenaient l'exploitation des serveurs PaperCut NG.
• Vanguard Panda (Volt Typhoon) est un groupe d'espionnage chinois qui a été récemment observé en train de pirater des entités américaines d'infrastructure critique et de préparer des attaques destructrices. CrowdStrike affirme que le groupe a également exploité des vulnérabilités Zoho ManageEngine Self-Service Plus pour pénétrer les réseaux.
• CyberScoop a publié un profil sur GhyamSarnegouni (Rise to Overthrow), un groupe de hacktivistes anti-iraniens et pro-MEK.
• D'après le rapport de Trellix sur les menaces de la cybercriminalité, 79% des activités liées aux états-nations sont liées à la Chine et les groupes les plus actifs sont Mustang Panda et UNC4191.
• Des chercheurs chinois de Th0r Security ont publié une analyse des dernières campagnes d'OceanLotus.
• Recorded Future a analysé les données provenant de 273 cyberattaques attribuées aux groupes sponsorisés par l'État nord-coréen.

Threat Intel

Malware

• Phylum rapporte sur 31 bibliothèques malveillantes téléchargées sur le dépôt npm.
• Les chercheurs de Fortinet analysent un infostealer inédit nommé ThirdEye.
• Les chercheurs de ThreatMon ont publié un rapport détaillant RDPCredentialStealer, un malware conçu pour extraire les informations d'identification saisies par les utilisateurs lors de sessions RDP.
• DeepInstinct a documenté une nouvelle souche d'un dépositaire JavaScript appelé PindOS utilisé pour installer Bumblebee et IcedID sur les systèmes infectés.
• Les chercheurs Embee publient un tutoriel pour décoder SmokeLoader en utilisant Procmon.

Threat Intel

APTs

• Apple a envoyé des notifications concernant une nouvelle vague d'attaques possibles par un État sponsorisé, avec des rapports indiquant que des victimes sont basées en Jordanie.
• AhnLab a découvert que l'APT Kimsuky a installé Chrome Remote Desktop pour contrôler un système infecté.
• L'NCSC britannique a publié une analyse technique du malware Smooth Operator utilisé par l'APT Lazarus pour attaquer la chaîne d'approvisionnement de 3CX.
• Le groupe APT iranien Charming Kitten a mis à jour son malware POWERSTAR pour utiliser le protocole InterPlanetary File System (IPFS) pour sa livraison.
• Les chercheurs de Qihoo 360 ont observé que Lazarus APT utilise un fichier se faisant passer pour l'application ComcastVNC pour déployer son malware BlindingCan.

Campagne et Exploitations

• Une campagne de phishing utilise des vulnérabilités de redirection ouverte dans les sous-domaines de services légitimes.
• La campagne Lazarus utilise une vulnérabilité zero-day dans le logiciel MagicLine4NX pour compromettre au moins 50 organisations locales.
• AhnLab a publié un rapport sur une récente opération Kimsuky qui s'est déroulée en mai et qui a utilisé des fichiers CHM malveillants.

Vulnérabilités

• Let's Encrypt a identifié et corrigé un bug qui a entraîné l'émission de 645 certificats incorrects.
• Brave bloque les analyses localhost pour empêcher les publicitaires et les acteurs malveillants de collecter des informations sur les utilisateurs et de compromettre des équipements.
• 15 nouveaux packages npm malveillants ont été découverts la semaine dernière.
• La CISA a mis à jour sa base de données KEV avec six nouvelles vulnérabilités qui sont actuellement exploitées.
• Vlad Pasca a publié une analyse technique de la porte dérobée SALTWATER utilisée dans l'exploitation de la vulnérabilité zéro jour Barracuda (CVE-2023-2868).
• Des chercheurs MDSec ont publié des détails et des informations permettant de créer un preuve de concept pour une contournement d'authentification et une exécution à distance dans la solution de sauvegarde ArcServe UDP.

Vulnérabilités - 2

• Une vulnérabilité dans le client Netskope a été publiée par HWD Sec et est suivie sous le nom CVE-2023-2270.
• MITRE publie la liste des 25 vulnérabilités les plus dangereuses pour l'année 2023 basée sur l'analyse des données de vulnérabilité publiques pour les causes principales des vulnérabilités signalées lors des deux dernières années.
• Une vulnérabilité permettant un éventuel piratage de compte a été identifiée dans Grafana et un correctif a été publié.
• Une vulnérabilité (CVE-2023-3105) dans le plugin WordPress LearnDash LMS permet aux acteurs malveillants de réinitialiser le mot de passe du compte administrateur WordPress.
• ASUS a publié une mise à jour de sécurité pour corriger une vulnérabilité dans ses modems 4G-N16 qui permettaient aux attaquants de forcer le PIN du Protected WiFi Setup (WPS).
• Les Security Joes ont publié des informations sur une nouvelle technique d'injection de processus qu'ils appellent Mockingjay.
  • Plus sur BleepingComputer
• Une vulnérabilité IDOR dans Microsoft Teams a été découverte par JUMPSEC, ce qui permet à un acteur malveillant d'introduire un malware dans le service Teams.

Articles

• Akamai examine tous les protocoles et techniques qui peuvent être abusés pour le mouvement latéral sur Linux.
• Une nouvelle attaque connue sous le nom d'attaque de confusion de manifeste a été découverte qui peut permettre aux acteurs malveillants de créer des paquets npm qui listent des dépendances propres mais qui chargent et exécutent secrètement des contenus malveillants lorsqu'ils sont installés.
• L'histoire de l'APT Turla
• Le récit du hacker de Euler finance, qui a rendu les 200M$
• Nouvelle attaque ! Après RowHammer, RowPress exploite une SCA pour écraser des registres dans le processeur

Géopolitique

• Microsoft prévoit de passer à un modèle de déploiement basé sur le cloud pour son système d'exploitation Windows chez les utilisateurs domestiques.
• Le Comité judiciaire de la Chambre des représentants, contrôlé par le GOP, a publié un rapport accusant le CISA d'avoir collaboré avec les grandes entreprises technologiques pour surveiller et censurer la parole des Américains sur les médias sociaux.
• Le Comité des forces armées du Sénat explore l'idée de créer une force cyber dédiée en tant que branche des forces armées américaines.
• Le groupe NoName057(16) a lancé un programme appelé Project DDoSia qui récompense les utilisateurs en cryptomonnaie pour installer son application et participer à des attaques DDoS contre l'Ouest.
• La Russie et les US se disputent à propos de l'extradition d'un ancien de Group-IB : plus ici

Géopolitique

Russie, la guerre civile et la SMO

• MON PARI
• Wagner a piraté des comms satellites du MOD
• La Russie a intensifié ses opérations de cybersécurité ciblant l'Ukraine après la contre-offensive de Kiev.
• La Russie travaille à fournir des protections légales pour les chercheurs en sécurité et les chasseurs de bogues.
• Le régulateur des télécommunications russes a ordonné à 12 entreprises étrangères de web hébergement d'ouvrir des bureaux en Russie ou de risquer des amendes ou même le blocage de leur infrastructure.

Data Sécu

• Une étude de CitizenLab révèle des problèmes de confidentialité liés à l'utilisation de WeChat, la plus grande application de médias sociaux en Chine.
• CISA a publié des documents de guide pour aider les agences à déployer des technologies et des architectures sécurisées pour le cloud.
• L'étude d'une vingtaine d'applications de messagerie sécurisée conclut que leurs interfaces utilisateur sont complexes et confuses, ce qui ne permet pas aux utilisateurs de savoir s'ils bénéficient de la sécurité offerte.

Outils

• Microsoft travaille sur l'ajout d'une section dans le panneau de configuration de Windows 11 qui permettra aux utilisateurs de gérer leurs mots de passe.
• Le tableau de bord de sécurité GKE est désormais disponible pour tous les clients Google Cloud et offre des outils pour détecter des mauvaises configurations, scanner des vulnérabilités et afficher automatiquement les bulletins de sécurité.
• Des académiques ont développé un nouveau chiffrement à flux nommé DRACO.
• Kaspersky a présenté et prévisualisé la première version de son système d'exploitation mobile KasperskyOS, conçu pour être résistant aux piratages.
• DuckDuckGo a lancé un navigateur pour Windows.
• La version 12.5 du navigateur Tor est sortie avec des améliorations de l'interface utilisateur, notamment une visualisation repensée du circuit Tor.

Outils - 2

• Le NIST des États-Unis a publié le brouillon initial du cadre de cybersécurité (CSF) pour les données génomiques.
• Les outils de cryptage du groupe ITG23 sont toujours utilisés dans l'écosystème souterrain, dont les cinq crypters les plus populaires sont Emotet, IcedID, Qakbot, Bumblebee et Gozi.
• Des chercheurs de CyFirma ont identifié une nouvelle place de marché illicite nommée Zero-Day Shop qui vend un large choix de serveurs compromis et backdoors, tels que des RDP, des serveurs de messagerie, des installations cPanel et des sites WordPress.
• L'équipe de Mend a créé un classement des bibliothèques les plus fiables sur les dépôts npm, Maven et PyPI.
• Le BSI allemand a mis à disposition un nouvel outil, TaSK, capable de tester la conformité TLS selon les directives de sécurité TLS de l'agence.
• Assetnote a open-sourcé un outil, Surf, pour identifier les serveurs cloud qui peuvent être vulnérables aux vulnérabilités SSRF.
• Sysmon 15 est sorti et ajoute un nouvel événement de détection appelé FileExecutableDetected pour détecter les nouveaux fichiers exécutables sur le disque.

Outils- 3

• SEC-Consult a mis en open-source un nouvel outil nommé DNS Analyzer, une extension Burp Suite pour découvrir des vulnérabilités DNS dans les applications web.
• La sécurité de GitHub a open-sourcé un outil appelé actions-permissions qui peut surveiller les flux de travail Actions GitHub et recommander les permissions minimales requises pour les exécuter.
• Trustwave a open-sourcé un outil appelé SNAPPY qui peut détecter les points d'accès Wi-Fi malveillants ou faux.
• Sourav Kalal a open-sourcé ParaForge, une extension de Burp Suite qui extrait les paramètres et les points d'extrémité des requêtes pour créer des listes de mots personnalisées pour le fuzzing et l'enumeration.
• Une nouvelle version de ZMap est disponible.

Des échanges de cryptoactifs piratés ?

• Un acteur malveillant a utilisé une attaque de manipulation de machine de prophétie pour voler des actifs crypto-monnaie d'une valeur de 370 000 $ sur la plateforme DeFi Themis.
• Les opérateurs de la plateforme de crypto-monnaie Chibi Finance ont déployé un contrat intelligent malveillant qui a volé plus d'un million de dollars de jetons à leurs utilisateurs.
• Une backdoor macOS découverte par Bitdefender a été utilisée pour tenter de hacker une plateforme de cryptomonnaies basée au Japon, et le malware utilisé est nommé JokerSpy.