Blog

• romain
• 9 juillet 2023
• • Matinale cyber

Attaques et Piratages

• Un attaque de ransomware a paralysé les opérations du plus grand port cargo du Japon pendant deux jours cette semaine.
• L'armée informatique de l'Ukraine revendique des attaques DDoS qui ont mis hors ligne les applications et le site web de la société de chemins de fer russe RZD.
• Twitter a un problème grandissant avec le spam, notamment des spammeurs proposant du contenu pour adultes.
• Une expérience de six mois menée par SpiderLabs a révélé que 19% du trafic sur un réseau de mielpot test était malveillant, dont 95% provenant de botnets IoT.
• ReversingLabs a découvert plus d'une douzaine de paquets npm malveillants contenant du code malveillant pour voler des informations d'identification.
• Deux applications Android malveillantes contenant un comportement espion ont été identifiées par Pradeo sur le Google Play Store.

Attaques et Piratages- 2

• Une campagne de malvertising a été détectée par Trend Micro, qui promouvait une version malveillante de l'application WinSCP.
• Microsoft a publié un rapport sur une récente intrusion de ransomware BlackByte.
• Des dizaines d'installations de gestion des panneaux solaires SolarView sont exposées sur Internet et vulnérables à une exploitation active.
• Une équipe d'universitaires du Canada a découvert une technique d'attaque capable de contourner avec succès les systèmes de sécurité d'authentification vocale utilisés par les banques.

Annonces

• JumpCloud a invalidé toutes ses clés API et demandé aux clients d'en générer de nouvelles à cause d'un incident en cours.
• IVPN arrêtera le transfert de ports à la fin du mois pour éviter l'abus et le partage de matériaux illicites.
• Twitter a lancé une nouvelle version de TweetDeck, mais seuls les utilisateurs Blue pourront y accéder après 30 jours.
• Meta a lancé une version préliminaire de son concurrent Twitter, appelé Instagram Threads, et lancera officiellement l'application le 6 juillet.
• Twitter limite le nombre de tweets visibles par jour à 1000 pour les utilisateurs normaux et 10000 pour les comptes bleus, après avoir bloqué l'accès à son contenu aux utilisateurs non enregistrés.
• YouTube teste une fonctionnalité qui bloque les utilisateurs qui utilisent un bloqueur de publicité à ne plus visionner plus de 3 vidéos sur le site à moins qu'ils désactivent leur bloqueur de publicité.

Annonces- 2

• CISA a nommé Cait Conley, ancien conseiller principal du directeur de CISA Jen Easterly et ancien directeur exécutif du projet bipartite de Défense de la démocratie numérique, à la tête de son équipe de sécurité électorale.
• CISA a émis une alerte concernant des attaques DDoS ciblant différents secteurs d'activité.
• Maria Markstedter donnera une conférence principale à la conférence de sécurité Black Hat USA de cette année.
• Les utilisateurs ne pourront pas supprimer leur compte Threads une fois qu'ils l'auront créé ; ils ne pourront que le désactiver.
• Mozilla s'oppose à un projet de loi français qui imposerait aux navigateurs une liste de sites à bloquer pour les utilisateurs français.

Annonces

Arrestations

• Une banque indienne a été condamnée à une amende de 80 000$ pour une attaque phishing ayant causé une perte de 1,5 million de dollars.
• Microsoft dément la violation des serveurs par Anonymous Sudan et le vol de données de 30 millions d'utilisateurs.
• TSMC a nié avoir subi une attaque de rançongiciel après que le groupe LockBit l'ait répertorié sur son site de fuite sur le web sombre.
• DoZoR-Teleport confirmé une attaque informatique destructrice affectant ses systèmes et des services fournis à des organisations russes majeures.
• L'unité spéciale de la police danoise est chargée d'enquêter sur des crimes dans les communautés de jeux en ligne, notamment le harcèlement en ligne, les escroqueries en ligne et le grooming des enfants.
• Un membre suspecté d'appartenir au cartel de cybercriminalité OPERA1ER a été arrêté en Côte d'Ivoire.

Annonces

Arrestations- 2

• Un informaticien russe a été condamné à deux ans de prison pour avoir mené des attaques DDOS contre des sites web russes en signe de désapprobation de l'opération militaire de la Russie en Ukraine.
• Deux suspects du Nigéria ont été arrêtés pour piratage et vol d'argent à partir de plus de 1000 comptes bancaires.
• Le FBI a piraté le panneau de contrôle du ransomware Hive.
• Les autorités de Singapour ont arrêté 13 suspects pour leur présumée implication dans une opération de malware bancaire.
• Un escroc nigérian impliqué dans des opérations BEC a plaidé coupable aux États-Unis.
• DataBreaches.net a publié une interview avec Umbreon, un utilisateur des forums RAID et Breached maintenant fermés.
• Selon ESET, le botnet Emotet semble être entré dans une nouvelle période de dormance et n'a pas été détecté depuis avril cette année.

Threat Intel

Menaces

• La société de sécurité chinoise OTS Security a un profil sur le groupe de hacktivistes SiegedSec.
• Neo_Net, un acteur malveillant, a volé des centaines de milliers d'euros et compromis les informations personnelles de milliers de victimes grâce à des opérations de smishing ciblant des pays hispanophones.
• Un acteur malveillant connu sous le nom de Br0k3r est en train d'enchérir les données de plus de 40 entreprises sur le dark web.
• CyFirma a découvert un nouvel infostealer appelé WISE REMOTE qui est actuellement annoncé sur les forums de hacking souterrains.
• Antiy et l'équipe CERT de Chine ont publié une analyse technique conjointe sur le botnet Diicot dédié à l'exploitation minière de cryptomonnaies qui a récemment touché un certain nombre de fournisseurs de services cloud chinois.

Threat Intel

Malware

• Le chercheur RussianPanda a publié une analyse du WhiteSnake Stealer, un infostealer présent sur les forums souterrains depuis février 2022.
• SentinelOne a publié une analyse du malware JokerSpy macOS.
• Uptycs et eSentire publient une analyse du voleur d'informations Meduza Stealer.
• Une équipe d'universitaires a mis au point une technique d'attaque pour récupérer des données en texte brut à partir de bases de données MongoDB chiffrées.

Threat Intel

APTs

• Le gouvernement japonais a publiquement critiqué Fujitsu pour ne pas avoir détecté une violation de données pendant plus de huit mois.
• Le NCSC du Royaume-Uni a répondu à sa première attaque par APT il y a 20 ans et a mené une enquête sur une campagne de phishing menée par un État étranger.
• QiAnXin a publié une analyse du backdoor Spyder, une nouvelle variante du backdoor WarHawk du groupe APT Patchwork.
• IntrusionTruth a publié un rapport qui décrit comment les anciens employés de la société chinoise Wuhan Xiaoruizhi ont été embauchés par d'autres entreprises en Chine et a prétendu que Xiaoruizhi agissait en tant que société de façade pour le groupe d'espionnage chinois APT31.
• Le groupe chinois d'espionnage RedDelta (Mustang Panda) cible de manière persistante les ministères des Affaires étrangères et les ambassades à travers l'Europe et utilise le malware PlugX comme charge utile.

Campagne et Exploitations

• Les chercheurs d'AhnLab ont repéré un acteur malveillant qui déploie des versions de Venus ransomware dans de nouvelles attaques liées à des serveurs RDP compromis.
• Une campagne de proxyjacking a été découverte où un acteur menaçant pirate des serveurs vulnérables pour les inscrire secrètement à des réseaux de proxy pair-à-pair et tirer des profits personnels de leur bande passante.
• Des campagnes de malspam récentes répandent le chargeur GuLoader.
• TeamTNT SilentBob mène une opération agressive qui utilise un ver pour cibler des APIs JupyterLab et Docker, déployer un logiciel malveillant Tsunami, voler des informations d'identification et effectuer des cryptominage.
• Les chercheurs de SonicWall ont publié un rapport sur une campagne NativeLoader-AgentTesla récente.
• TA453 (Charming Kitten) a lancé des campagnes récentes en utilisant des chaînes d'infection LNK au lieu de documents Microsoft Word avec des macros, et a développé un arsenal de logiciels malveillants macOS.

Géopolitique

• Le gouvernement russe a déconnecté le pays de l'internet mondial pour tester la stabilité du RuNet.
• Cynthia Brumfield de Metacurity explore les raisons de la présence actuelle de reporters en sécurité informatique roumains.
• Les fermes de troll de Prigojine en arrêt depuis la rebellion :
  • Plein
  • de
  • sources
  • russophones
  • confirment

Data Sécu

• Google a modifié sa politique de confidentialité pour informer ses utilisateurs que des informations publiquement disponibles peuvent être analysées et utilisées pour entraîner ses modèles d'intelligence artificielle.
• L'application mobile utilisée par les ampoules intelligentes d'Arlec collecte secrètement les coordonnées GPS de ses utilisateurs.
• La Cour de justice de l'Union européenne a jugé que l'interprétation de la GDPR par Meta était illégale.
• La Suède sanctionne l'utilisation de Google Analytics par deux entreprises locales et recommande de ne pas l'utiliser à l'avenir.

Data Leaks

• Un acteur malveillant surnommé Bjorka vend les informations de 34 millions de passeports indonésiens et de 35 millions de clients de l'ISP myIndieHome.
• Un groupe de pirates a fuité les données personnelles de 1120 employés du ministère de la justice français en réponse aux protestations survenues suite à l'assassinat de Nahel Merzouk.
• L'USAA a déclaré une violation de sécurité due à l'utilisation par un employé de ses identifiants par un tiers.
• Le code source du jeu FarCry 2004 est apparu en ligne et l'origine du leak est inconnue.

Vulnérabilités

• Google a patché 4 mises à jour de sécurité Chrome la semaine dernière.
• CISA a mis à jour sa base de données KEV avec huit nouvelles vulnérabilités actuellement exploitées.
• L'équipe de sécurité d'Elastic a dévoilé un aperçu technique d'une nouvelle variante du malware RUSTBUCKET pour macOS, précédemment utilisé dans les opérations BlueNorOff.
• Le chercheur en sécurité chinois Ruihan Li a découvert une vulnérabilité d'escalade de privilèges dans le noyau Linux, nommée StackRot (CVE-2023-3269).
• Google a publié des mises à jour de sécurité pour AndroidOS en juillet 2023 et 3 vulnérabilités étaient exploitées en plein air.
• Cisco a publié quatre mises à jour de sécurité dont une, CVE-2023-20185, qui permet à un attaquant distant non authentifié de lire ou de modifier le trafic chiffré entre sites.

Vulnérabilités- 2

• Une vulnérabilité majeure sera bientôt dévoilée et la plupart des serveurs Mastodon recevront un correctif deux jours à l'avance.
• Un chercheur a publié des informations sur une vulnérabilité RCE non authentifiée dans le service DDM du système de base de données relationnel IBM i (CVE-2023-30990).
• CISA a ajouté huit vulnérabilités à son catalogue KEV, dont deux en 2016, deux en 2019 et six en 2021, suite à une analyse croisée entre KEV et d'autres bases de données de vulnérabilités exploitées réalisée par Patrick Garrity de Nucleus Security.
• Un acteur malveillant est en train d'exploiter une vulnérabilité non correctement corrigée du plugin Ultimate Member présent sur plus de 200 000 sites WordPress.
• Les chercheurs Andisec ont publié une preuve de concept de la vulnérabilité CVE-2023-26615 dans les routeurs D-Link DIR-823G, permettant aux attaquants non autorisés de réinitialiser le mot de passe de leur panneau de gestion web.
• Des chercheurs d'Assetnote ont publié des détails sur une vulnérabilité XSS (CVE-2023-24488) dans Citrix Gateway alors que plus de 50 000 appareils sont disponibles en ligne.
• Juniper a publié des détails sur la vulnérabilité CVE-2023-2825, une vulnérabilité de niveau 10/10 que GitLab a corrigée en mai.
• Huobi a corrigé une faille de sécurité majeure qui aurait pu permettre à un attaquant d'accéder à son infrastructure cloud.

Vulnérabilités- 3

• VMWare Aria a une vulnérabilité d'insecure deserialization qui est similaire à une vulnérabilité qui est exploitée en ce moment.
• BishopFox a développé une exploitation interne pour la vulnérabilité XORtigate récemment découverte et a constaté que 69% des interfaces VPN SSL exposées sur Internet n'étaient pas encore corrigées.
• Les vidéos du symposium IEEE sur la sécurité et la vie privée 2023 sont maintenant disponibles sur YouTube.

Outils

• Mozilla a intégré une fonctionnalité secrète à Firefox v115 qui permet aux développeurs de désactiver des extensions sur des sites web.
• OpenJDK va bénéficier d'une API pour les mécanismes de encapsulation de clés (KEMs) qui est prête pour la cryptographie post-quantum.
• Mozilla a publié Firefox 115 avec des nouvelles fonctionnalités et des correctifs de sécurité.
• Google a publié une analyse approfondie de son nouveau mécanisme de chiffrement côté client Gmail.
• Le navigateur Chrome prend en charge les échanges de clés post-quantum pour des communications sécurisées post-quantum.
• CISA lance une nouvelle plateforme de détection et de surveillance des menaces, appelée CyberSentry, destinée aux opérateurs d'infrastructures critiques.

Outils- 2

• 15 paquets npm malveillants ont été découverts la semaine dernière.
• Avast a publié un déchiffreur gratuit pour le rançongiciel Akira, permettant aux victimes de récupérer leurs fichiers sans payer les attaquants.
• Un premier aperçu du calculateur de score CVE CVSSv4 est sorti et disponible pour tests.
• Les chercheurs de CyberCX ont publié un outil qui permet de contourner les vérifications de sécurité effectuées dans les applications basées sur Flutter.
• ANSSI a publié un ensemble de guides et de questionnaires pour permettre aux entreprises d'évaluer leur posture et leur préparation en matière de cybersécurité.
• Les vidéos de la conférence de sécurité Sleuthcon 2023 sont maintenant disponibles sur YouTube.
• Un nouvel outil a été lancé pour vérifier si les paquets npm sont vulnérables aux attaques de confusion manifeste.

Outils- 3

• Alex Reid, membre de l'équipe de lecture de la marine américaine, a publié un outil appelé TeamsPhisher qui facilite l'envoi de messages et de pièces jointes de phishing aux utilisateurs de Microsoft Teams dont les organisations autorisent les communications externes.

Les Articles

• Write-up du workshop AD fait à LeHACK2023
• Talk en vidéo sur les délégations Kerberos

Des échanges de cryptoactifs piratés ?

• Un acteur malveillant a volé 4,39 millions de dollars d'actifs cryptographiques à partir de la plateforme PolyNetwork.
• bilan des vols de crypto en 2023 : 922 M$ volés depuis le début de l'année

WTF

• Une tesla volée par injection dans le bus CAN