Blog

• romain
• 17 juillet 2023
• • Matinale cyber

La UNE

• Drama : Nomination de Fiona Scott Morton comme économiste en chef à l'antitrust EU
• Cl0p se cache sur le front Ukrainien
• Vulnérabilité M$ Office
• Exploitation d'une XSS Zero-Day sur les serveurs Lemmy
• Microsoft révoque plus de 100 drivers malveillants
• Nouveau Framework de Data Privacy pour les transferts de données EU -> USA

Annonces

• Le clone de Twitter de Meta, Threads, a atteint 100 millions d'utilisateurs en moins d'une semaine après son lancement.
• Microsoft a renommé Azure Active Directory en Microsoft Entra ID.
• La FCC prévoit de permettre aux écoles et aux bibliothèques K-12 d'utiliser des fonds du programme E-Rate pour acheter des produits de cybersécurité.
• La FCC propose de nouvelles règles visant à protéger les comptes des consommateurs contre les attaques de transfert de SIM et les escroqueries de portage.
• La Grèce lance un nouveau centre d'opérations de sécurité national.
• Le rapport annuel du NCSC UK sur la Défense active contre le Cyber (ACD) couvre les efforts de l'agence pour détecter, bloquer et supprimer les URL malveillantes.

Annonces- 2

• Des annonces malveillantes mènent à des tentatives de phishing USPS.
• Le Patch Tuesday de juillet 2023 a vu les mises à jour de sécurité des produits d'Adobe, Apple, Microsoft, Mozilla Firefox, Drupal, VMWare, Citrix, Fortinet, Juniper, Jenkins, SAP, Android, Chrome, GitLab, Cisco, Progress, Mastodon, Ubiquiti et Zyxel.
• TPG a acquis la division des gouvernements et des infrastructures critiques de Forcepoint de Francisco Partners pour 2,45 milliards de dollars.

Annonces

Arrestations

• Ventia a contenu un incident de cybersécurité qui a affecté ses services informatiques le week-end dernier.
• Brian Krebs publie des informations sur le hack d'Ashley Madison et se penche sur les actions et l'histoire de William Brewster Harrison, un ancien employé de la société qui harcelait ses anciens patrons.
• Un groupe de phishing est soupçonné d'avoir compromis les comptes bancaires de plus de 4000 Mexicains et organisations au cours des deux dernières années.
• Deux adolescents accusés d'être membres du gang de cybercriminalité Lapsus$ sont poursuivis par le gouvernement britannique pour leur implication dans des attaques informatiques et des tentatives de rançonnement de grandes entreprises.
• Un ingénieur de sécurité originaire de New York a été arrêté et accusé d'avoir piraté une plateforme de cryptomonnaies et volé 9 millions de dollars.
• Rui Pinto a été accusé de 377 infractions liées au piratage et à la vie privée, relatives au piratage des comptes emails de stars et de clubs de football.

Annonces

Arrestations- 2

• Un ancien employé a été accusé d'avoir piraté le système de traitement des eaux d'une communauté californienne, entraînant un risque potentiel pour la santé et la sécurité publique.
• Ilya Sachkov, ancien PDG de Group-IB, a comparu devant le tribunal vendredi dernier pour son procès de trahison et a plaidé non coupable.
• Un groupe de cybercriminels cible les services cloud avec un nouveau malware appelé PyLoose qui utilise une technique rare d'exécution sans fichier Linux pour déployer des cryptominers.

Annonces

Industrie

• VanMoof recommande aux clients de sauvegarder leurs clés de chiffrement Bluetooth pour rester connectés à leurs vélos.
• IronNet nomme Linda Zecher comme nouveau PDG et prévoit de se désinscrire de la bourse de New York.
• Honeywell a acquis SCADAfence, une entreprise de sécurité ICS, dont la transaction devrait être finalisée au second semestre 2023.

Attaques et Piratages

• Un acteur menaçant non identifié a ciblé la base de données en ligne du Conseil norvégien pour les réfugiés.
• Une attaque informatique a paralysé les opérations du ministère de la Justice de Trinité-et-Tobago.
• Un hacker inconnu a exploité une vulnérabilité dans le service de traitement des paiements Revolut et a volé plus de 23 millions de dollars des comptes de l'entreprise.
• Le groupe de cybercriminalité Clop n'a pas été observé pour déployer de rançongiciel dans les incidents liés à son exploitation récente des serveurs de partage de fichiers MOVEit, et s'est limité au vol et à l'extorsion de données.
• Un hacker nommé Faxociety s'est introduit dans les DVRs et NVRs Hikvision et a modifié les flux vidéo avec un message texte leur demandant de sécuriser leurs caméras.
• Les groupes de rançongiciels ont extorqué au moins 450 millions de dollars à leurs victimes au cours des six premiers mois de l'année, ce qui montre que la baisse des activités de rançongiciels après l'invasion de la Russie en Ukraine est désormais terminée.

Attaques et Piratages- 2

• Six paquets Python malveillants ont été trouvés sur le portail PyPI et visent à voler des informations d'identification des applications Windows, des données personnelles et des données de portefeuille cryptographique.
• Une campagne de phishing abuse des domaines workers[.]dev et pages[.]dev de Cloudflare.
• L'équipe de sécurité Black Lotus de Lumen a découvert un nouveau botnet nommé AVrecon qui a infecté plus de 70 000 appareils avec un malware.
• Des chercheurs en sécurité chinois ont analysé une nouvelle variété de rançonware nommée TeamUnderground, qui semble être utilisée dans des attaques ciblées.
• Les chercheurs de Trend Micro ont mené une analyse approfondie du nouveau ransomware Big Head, aperçu pour la première fois sur YouTube et Telegram en mai. Il reste inconnu si le ransomware a été utilisé dans le wild.
• Une équipe Fortinet a rédigé un rapport sur le nouveau ransomware Rancoz vu pour la première fois en novembre dernier.
• Le groupe d'espionnage chinois Storm-0558 a piraté des comptes Outlook de 25 organisations, y compris des agences gouvernementales aux États-Unis et en Europe.

Attaques et Piratages- 3

• Un chercheur en sécurité anonyme prétend avoir trouvé une faille dans l'infrastructure de Mailgun.
• Microsoft a patché 130 vulnérabilités dont 4 zero-days actuellement exploités par le groupe Storm-0978 dans des campagnes de phishing ciblant les alliés de l'OTAN et des cibles ukrainiennes.

Attaques et Piratages- 4

Microsoft révoque une centaine de drivers malveillants

• Microsoft révoque plus de 100 drivers malveillants
  • credits to Sophos, Cisco Talos
  • et Trend Micro

Attaques et Piratages- 5

Expoitation d'une XSS sur Lemmy

• Exploitation d'une XSS Zero-Day sur les serveurs Lemmy
  • some
  • more
  • liens

Data Leaks

• Une fuite de données a été confirmée par Hospital Corporation of America (HCA), affectant 11 millions de patients répartis dans 20 états des USA.
• Des données prétendument volées à Razer sont proposées à la vente contre 100 000 $ en Monero.
• Un site web du gouvernement bangladais fuit les détails personnels de millions de citoyens, y compris des données telles que le nom complet, le numéro de téléphone, l'adresse e-mail et le numéro d'identité nationale.

Threat Intel

Threat Intel

Menaces

• ThreatFabric examine l'infrastructure Letscall, un outil utilisé pour mener des attaques de vishing en Corée du Sud, où les appels des victimes sont interceptés et redirigés vers les voleurs.
• Qihoo 360 a publié un rapport sur RustDog, un cheval de troie qui se propage en Chine via des campagnes de hameçonnage par email et messagerie instantanée.
• Sophos a publié un rapport décrivant les techniques d'intrusion couramment utilisées par Clop.
• Fortinet a publié un rapport sur l'historique et l'évolution de la gang LockBit.
• Les CitizenLab ont déterminé que la campagne HKLeaks qui a exposé des membres du mouvement pro-démocratie de Hong Kong en 2019 était orchestrée par des individus opérant depuis la Chine continentale.
• Les campagnes de phishing ciblant l'Ukraine et la Pologne sont attribuées au groupe GhostWriter.

Threat Intel

Menaces - 2

• Un nouveau groupe hacktiviste pro-Kremlin faux a été mis en évidence et semble être fortement lié ou contrôlé par le service de renseignement militaire russe GRU.
• Des APT asiatiques du sud ciblent activement les organisations chinoises.
• Des chercheurs de Lab52 ont identifié un acteur malveillant inconnu utilisant les TTP d'APT29 dans une campagne de phishing ciblant des utilisateurs chinois.
• Un nouvel outil, CybercrimeOps, a été publié pour analyser les liens entre les marques, organisations et personnes impliquées dans la cybercriminalité.

Threat Intel

Malware

• Une nouvelle application malveillante pour macOS a été identifiée par Guardz et elle peut extraire et exfiltrer des mots de passe de navigateur, des données Telegram, des clés de portefeuille crypto et des keychains Apple.
• Un faux POC Linux a été détecté et installe un backdoor Bash sur le système Linux de l'utilisateur.
• Une entreprise de sécurité chinoise a publié un rapport sur Xidu, une nouvelle porte dérobée Windows qui se propage depuis avril de cette année.
• Le malware CustomerLoader, apparu en juin 2023, est lié à des campagnes de distribution d'infostealeurs, de RATs et de rançongiciels.
• Un nouveau logiciel d'espionnage nommé RevolutionRAT est promu sur les canaux Telegram.
• Une entreprise de sécurité chinoise a publié une analyse du ransomware BlackCat (ALPHV).

Threat Intel

Malware- 2

• OALABS a publié des indicateurs de compromission pour Status Recorder, un nouveau logiciel malveillant sur le marché.
• CyFirma a publié une analyse de Blank Grabber, un générateur d'infostealer, annoncé pour la première fois sur des forums de piratage en 2022.

Threat Intel

APTs

• L'Espagne a fermé l'enquête sur le logiciel espion Pegasus suite à un manque de coopération judiciaire internationale avec Israël.
• Le nombre d'attaques par malware USB a triplé au premier semestre de l'année et Mandiant a lié la majorité des incidents à des campagnes d'opérations USB telles que SOGU et SNOWYDRIVE.
• Un groupe APT exploite des modules de communication ControlLogix, avec des vulnérabilités similaires à celles utilisées par le groupe Xenotime lors des attaques Trisis de 2017.
• Le CERT du Japon a publié un rapport sur le malware Python et Node.js utilisé par le groupe APT CryptoMimic (SnatchCrypto) au cours de ses opérations trans-plateformes ciblant les environnements Windows, macOS et Linux.
• Qihoo 360 a publié un rapport sur les opérations ScarCruft impliquant le logiciel malveillant RokRat.
• Lab52 publie un billet de blog sur une campagne de phishing suspectée de l'APT29.

Threat Intel

APTs- 2

• Le FSB russe a ciblé des diplomates travaillant en Ukraine avec des annonces de voitures factices dans le cadre de campagnes de hameçonnage destinées à infecter leurs ordinateurs avec un malware.
• ThreatMon a publié un rapport sur les récentes campagnes de phishing de Transparent Tribe (APT36) qui utilisent des fichiers PowerPoint malveillants.
• QiAnXin a publié un rapport sur l'utilisation abusive des ressources cloud par l'APT ScarCruft.
• Les chercheurs d'AhnLab ont publié une analyse technique du backdoor Rekoobe utilisé dans des attaques contre des systèmes Linux en Corée du Sud par le groupe d'espionnage chinois APT31.
• Intrusion Truth a publié un profil sur Deng Zhiyong, PDG de Wuhan Xiaoruizhi, qui était une entreprise de façade utilisée pour embaucher des hackers pour le groupe d'espionnage chinois APT31.
• L'équipe CERT de l'Ukraine a détecté l'APT GhostWriter (UAC-0057) ciblant des agences gouvernementales avec une campagne livrant le PicassoLoader et njRAT.
• Une équipe CERT d'Ukraine a découvert une opération de phishing d'APT28 imitant les portails Yahoo et Ukr.net.

Campagne et Exploitations

• Une campagne impliquant le voleur Strela cible des utilisateurs en Allemagne, en Italie et en Espagne.
• TeamTNT est de retour et sa dernière campagne de crypto-minage cible Kubernetes, Docker, Weave Scope, Jupyter notebooks, Redis et serveurs Hadoop.
• Fortinet a publié une analyse technique d'une campagne de hameçonnage utilisant la vulnérabilité Follina Office pour distribuer le vol de données Lokibot.
• Une campagne malveillante visant les entreprises en Amérique latine avec le cheval de Troie TOITOIN a été détectée.
• Un campagne ciblant les invités de la prochaine conférence de l'OTAN à Vilnius a été liée au malware-as-a-service RomCom.

Vulnérabilités

• Une vulnérabilité zéro jour est exploitée sur la plateforme de collaboration Zimbra et Google's TAG team l'a découverte.
• Des chercheurs d'Auro Infosec ont découvert une vulnérabilité d'exécution à distance (CVE-2023-35803) dans tous les points d'accès Aerohive/Extreme Networks en cours d'exécution HiveOS/Extreme IQ Engine.
• SonicWall a publié des correctifs pour corriger 15 vulnérabilités dans la suite logicielle GMS/Analytics, découvertes et signalées privément par le NCC Group.
• Plusieurs vulnérabilités affectant QuickBlox, un cadre de discussion et de vidéo utilisé dans la télémédecine, la finance et les applications IoT, ont été révélées.
• Les chercheurs de Rapid7 ont publié un rapport sur CVE-2023-29298, un contournement de contrôle d'accès qu'ils ont trouvé dans les applications Adobe ColdFusion.
• Apple a réémis ses mises à jour de sécurité pour corriger une faille zéro jour exploitée activement.

Vulnérabilités- 2

• Des chercheurs d'Assetnote ont découvert une vulnérabilité permettant une exécution à distance de code sur l'application de partage de fichiers Citrix ShareFile.
• Les chercheurs de HeroLab ont découvert une suite de vulnérabilités dans Foswiki, une plateforme de wiki et de collaboration d'entreprise.
• Apple a sorti une mise à jour pour corriger une vulnérabilité 0-day et a retiré la mise à jour après avoir reçu des rapports de dysfonctionnement.
• Progress Software a publié une mise à jour de sécurité pour son logiciel MOVEit MFA.
• Des chercheurs de Devcore ont identifié plusieurs vulnérabilités dans l'appareil de recherche d'entreprise Google Search Appliance.
• Ubiquiti a publié une mise à jour de sécurité pour les dispositifs AirCub et EdgeRouters pour corriger une vulnérabilité d'exécution de code arbitraire.
• Mastodon a corrigé la vulnérabilité TootRoot (CVE-2023-36460) qui permettait aux acteurs malveillants de prendre le contrôle de n'importe quel serveur Mastodon en postant un toot avec un fichier multimédia malveillant attaché.

Vulnérabilités- 3

• PKSecurity a publié une analyse de la cause racine de CVE-2023-32439, un zéro-jour de WebKit corrigé par Apple le mois dernier le 21 juin.
• Vulnérabilité M$ Office

Articles

• Lutra Security a analysé les 5 000 paquets les plus populaires sur npm et a constaté que beaucoup présentent des signes de confusion manifeste.

Géopolitique

• Une enquête de la BBC a révélé que des comptes Twitter Blue ont utilisé leurs vérifications pour promouvoir des mensonges et des posts trompeurs sur la guerre en Ukraine.
• Le système d'exploitation openKylin chinois atteint la version 1.0 après des années de développement.
• L'Office du Directeur National Cyber a dévoilé le plan d'implémentation pour la Stratégie Nationale de Cybersécurité du Gouvernement Américain.
• Le Sénat américain souhaite autoriser le Pentagone et les agences fédérales à déployer des capacités en cyberspace afin de lutter contre les cartels de la drogue mexicains.
• Lors du sommet de l'OTAN à Vilnius, l'OTAN a confirmé que les cyberattaques peuvent déclencher l'article 5 et a annoncé le lancement de sa nouvelle capacité de soutien à l'incident virtuel cyber (VCISC).
• Le gouvernement néerlandais rejoint Mastodon après l'instabilité récente de Twitter.

Géopolitique- 2

• Le service chinois des nouvelles a opéré un réseau de comptes Twitter pour publier de la propagande pro-Pékin en Amérique latine.
• Cl0p se cache sur le front Ukrainien

Data Sécu

• TaxAct, H&R Block et TaxSlayer ont partagé des données personnelles sur les contribuables avec Google et Meta.
• La CNIL a déclaré que la nouvelle technologie de suivi de Google, Privacy Sandbox, doit obtenir le consentement de l'utilisateur avant de suivre les utilisateurs.
• Une organisation a assigné en justice Avast pour avoir collecté et vendu des données d'utilisateurs sans leur consentement entre mai 2015 et janvier 2020.
• L'UE et les États-Unis ont adopté un nouveau cadre juridique pour le transfert et le stockage des données des utilisateurs européens aux États-Unis.
• Drama : nomination de Fiona Scott Morton comme économiste en chef à l'antitrust EU
  • article FR
  • clauses

Outils

• Plus de code Rust a été intégré au noyau Windows.
• GitHub prend désormais en charge les passkeys.
• Les certificats Let's Encrypt cesseront de fonctionner sur les versions Android 7 et antérieures à partir du 8 février de l'année prochaine.
• Le projet Fedora travaille sur l'ajout d'un support de télémétrie respectueux de la vie privée à son système d'exploitation Fedora Workstation.
• Mozilla a lancé une nouvelle version de son client email Thunderbird, v115, appelée Supernova.
• Un rapport Resecurity examine l'émergence d'outils qui peuvent contrefaire divers systèmes et appareils mobiles pour permettre aux acteurs malveillants de contourner les détections anti-fraude lors de l'utilisation de mots de passe compromis pour accéder aux comptes bancaires et autres comptes financiers.

Outils- 2

• 25 nouveaux packages npm malveillants ont été découverts la semaine dernière.
• Le code source du bootkit BlackLotus v2 pour Windows est disponible sur GitHub.
• Une nouvelle outil nommée SlinkyCat a été publiée afin de fournir un menu CLI PowerShell pour l'énumération d'un domaine Windows.
• Un chercheur en sécurité Horizon a publié ShellGhost, une technique d'évasion basée sur la mémoire qui rend le shellcode invisible de l'ouverture du processus à sa fin.
• Orca : une revue de configuration pour M$ Defender Office365

Des échanges de cryptoactifs piratés ?

• 126 M$ ont été transférés depuis la platforme Multichain d'après les entreprises de sécurité PeckShield, SlowMist, Lookonchain, et CertiK.
• Une somme supplémentaire de 103 millions de dollars a été déplacée des comptes de l'échange de cryptomonnaie Multichain.
• Un acteur malveillant a volé 1,53 millions de dollars de crypto de la plateforme Rodeo Finance DeFi en utilisant une attaque d'oracle manipulation.
• Le gang SCARLETEEL exploite des applications web accessibles au public pour accéder aux environnements cloud et déployer son cryptominer, notamment sur les environnements AWS Fargate.
• Chainabuse et BTC Abuse, deux services pour signaler les adresses crypto utilisées dans des escroqueries en ligne, se sont fusionnés.

Drama

• Shitstorm Mathis Hammel et Defend Intelligence : https://twitter.com/DFintelligence/status/1679439473291976704

WTF

WTF

WTF

• les redondances et la recherche de cohérence dans les GAN créent des motifs uncanny

MEME