Matinale cyber du 24 juillet 2023
- romain
- 24 juillet 2023
Annonces
- Twitter a changé les paramètres des messages directs (DM) de tous les utilisateurs pour limiter le spam provenant des comptes Twitter Blue.
- Exercice Cyber Flag 2023 pour renforcer la défense et le partage d'informations entre les pays de l'alliance Five Eyes et la Corée du Sud.
- OALABS a publié des IOCs sur LOBSHOT, une nouvelle forme de malware distribuée par des annonces Google malveillantes.
- Le concours de piratage Pwn2Own Toronto 2023 est lancé avec des smartphones, des imprimantes, des routeurs SOHO, des enceintes intelligentes, des NAS, des systèmes de surveillance et des systèmes d'automatisation domestique à hacker.
- Kevin Mitnick, un pionnier de l'industrie de la cybersécurité, est décédé des suites d'un cancer du pancréas.
- Les vidéos de la conférence de sécurité Hardwear.io USA 2023 sont désormais disponibles sur YouTube.
Annonces- 2
- Vidéos de la conférence de sécurité Summercon 2023 disponibles sur YouTube.
- Les vidéos de la conférence de sécurité Pass the SALT 2023 sont maintenant disponibles sur la page Ubicast de la conférence.
- Investissements en cybersécurité en baisse de 55% par rapport au deuxième trimestre de 2022, principalement à cause de l'inflation et de la crainte de la récession.
- Le projet de loi CANSEE Act visant à prévenir le blanchiment d'argent sur les crypto-monnaies et les plates-formes DeFi a été présenté par un groupe bipartite au Sénat US.
- La nouvelle version 115 de Chrome inclut la technologie Privacy Sandbox de Google pour le ciblage publicitaire.
Annonces
Arrestations
- UKG a accepté de payer 6 millions de dollars pour régler un procès collectif lié à une attaque de ransomware en 2021.
- Une enquête est menée pour déterminer si des informations ont été exfiltrées du réseau de la ville d'Odessa (Texas) par un acteur menaçant non identifié à partir du compte de l'ancien avocat de la ville, Natasha Brooks.
- Le groupe ransomware Cactus a publié la liste de 18 victimes sur son site web noir jeudi.
- Un homme nigérian a été condamné à huit ans de prison aux États-Unis pour avoir mené des attaques BEC qui ont volé plus de 8 millions de dollars aux victimes.
- Trois hommes arrêtés en Azerbaïdjan pour avoir essayé de vendre des données volées à une entreprise alimentaire pour 35 000 dollars.
- Ukraine : 250 GSM gateways et 150 000 cartes SIM saisis pour démanteler une ferme de bots russes.
Annonces
Arrestations- 2
- Groupe cybercriminel RedCurl ayant réussi à pénétrer le réseau d'une banque russe à travers un de ses fournisseurs.
- Un investigateur blockchain accuse un escroc de crypto-monnaie nommé 'Soup' d'avoir volé plus d'un million de dollars en pièces de crypto-monnaie en séduisant des victimes sur un serveur Discord malveillant.
- Le FBI alerte contre la hausse des escroqueries de support technique qui ciblent les personnes âgées et demandent aux victimes de leur envoyer de l'argent par le biais de compagnies de transport.
- Une enquête de Barracuda a révélé qu'environ 100 adresses Bitcoin apparaissent dans 80% des emails d'extorsion détectés par l'entreprise au cours d'une période d'un an.
- Un employé IT britannique condamné à trois ans de prison pour blackmail et accès non autorisé à un réseau informatique dans le cadre d'une attaque par ransomware.
- Un développeur de scareware a été arrêté après 10 ans, suite à une notice rouge Interpol lancée par les États-Unis.
- Le responsable de BreachForums, connu sous le nom de Pompompurin, a plaidé coupable aux accusations de piratage et de possession de pornographie juvénile et risque jusqu'à 40 ans de prison et une amende de 750 000$.
Annonces
Arrestations- 3
Annonces
Industrie
- Incident de sécurité majeur de l'entreprise Estee Lauder, lié au ransomware BlackCat et Clop.
- TOMRA, l'un des plus grands recycleurs du monde, a été victime d'une attaque informatique étendue qui a impacté certains systèmes informatiques de l'entreprise.
- Google a créé une red team dédiée à tester et à sécuriser les systèmes d'intelligence artificielle et à établir des normes de sécurité pour cette technologie.
Attaques et Piratages
- Plus de 380 victimes ont été touchées par des attaques MOVEit.
- Plus de 200 victimes de la campagne de piratage MOVEit, dont Shutterfly et Discovery Channel.
- Plusieurs chaînes de télévision russes ont été piratées par des hackers ukrainiens qui ont diffusé un clip publicitaire de l'armée ukrainienne en guise d'avertissement.
- Sophos a fait un aperçu des gangs de cybercriminalité qui utilisent le malvertising pour livrer leurs charges utiles. La liste des suspects inclut IcedID, Gootloader, Gozi/Ursnif, BatLoader (FakeBat) et d'autres.
- Une augmentation de l'activité du groupe de rançongiciels Mallox a été signalée par Palo Alto Networks.
- Les attaques de phishing peuvent utiliser la technologie WebAPK de Google.
Attaques et Piratages- 2
- Deux dépôts GitHub malveillants qui installent un infostealer, un grabbeur de jetons Discord, un cryptominer et un virus qui infecte d'autres applications.
- Le service de ransomware SophosEncrypt utilise le nom de la marque Sophos pour cacher son activité et est capable de crypter des systèmes Windows.
- Le ransomware NoEscape, qui vise principalement les systèmes d'entreprise, est une nouvelle incarnation du groupe Avaddon qui a arrêté ses opérations en 2021.
- Campagne de malware qui redirige les visiteurs vers des domaines tiers pour générer des revenus publicitaires.
- Le groupe Blackmoon, connu pour le trojan bancaire KRBanker, se transforme en service de livraison de logiciels malveillants.
- Microsoft publie des informations supplémentaires sur l'attaque Storm-0558 qui a compromis les comptes emails de personnes gouvernementales en Europe et aux Etats-Unis.
Data Leaks
- Fuite de données comprenant des noms et adresses e-mail de plus de 5 600 clients de VirusTotal, dont des représentants des gouvernements et des agences de renseignement.
- Base de données exposée sur internet sans mot de passe contenant plus de 2,3 millions d'enregistrements provenant de 3 applications de rencontre.
- Fuites de vidéos de surveillance des véhicules Amazon, impliquant une fuite de données ou une piratage.
- Spotify a rendu publiques les playlists privées de ses utilisateurs.
Threat Intel
Threat Intel
Menaces
- CISA et le NSA ont publié des instructions supplémentaires sur le slicing réseau 5G.
- Les groupes pro-Kremlin ont orchestré des campagnes DDoS contre des sites Web occidentaux et une hausse importante des attaques DDoS contre les plateformes de cryptomonnaies a été enregistrée au cours du deuxième trimestre 2023, culminant dans une attaque de 1.4 Tbps contre un FAI américain.
- TechCrunch's Zack Whittaker a un profil sur le fabricant de logiciels espions TheTruthSpy.
- Mandiant, la division Google, a publié un profil sur le groupe pro-Kremlin 'hacktivist' KillNet.
- CyFirma examine le groupe d'attaquants DEV-0970/Storm-0970, responsable des virus de rançon Poop69 et Big Head.
- Kostas examine les techniques post-exploitation utilisées par le groupe Ursnif.
Threat Intel
Menaces - 2
- BlackCat utilise la photo de la famille d’une victime pour les faire chanter
- Le groupe Syssphinx (FIN8) utilise la porte dérobée Sardonic et le ransomware Noberus (BlackCat).
- IBM X-Force a publié une analyse technique du nouveau cheval de Troie bancaire BlotchyQuasar, lancé par le groupe de cybercriminalité Hive0129 d'Amérique du Sud.
- Lookout a confirmé que le malware Android WyrmSpy et DragonEgg sont liés au groupe APT41 d'espionnage soutenu par l'Etat chinois.
- Une étude des 262 CISOs du monde entier a été publiée par Heidrick & Struggles, ainsi qu'une étude similaire de Censys sur la gestion des vulnérabilités.
Threat Intel
Malware
- Paquet PyPI malveillant qui a essayé d'infecter les utilisateurs Windows avec le vol d'informations NullRAT.
- Analyse d'un nouveau ransomware nommé Blacksuit qui cible les systèmes VMWare ESXi.
- ANY.RUN a publié une analyse technique d'une nouvelle version de LaplasClipper.
- AquaSec a un rapport sur la détection du malware Pamspy eBPF récemment vu cibler des systèmes Linux.
- Check Point a fait une analyse complète de BundleBot, un nouveau malware d'infostealer.
- Vlad Pasca analyse le logiciel malveillant VoidRAT, une variante du logiciel libre Quasar RAT.
Threat Intel
APTs
- Mandiant a publié un rapport sur les tactiques de furtivité des groupes APT chinois, incluant l'utilisation de zero-days sur les périphériques de réseautage et des botnets pour masquer le trafic de commande et contrôle et l'exfiltration de données.
- Groupe APT chinois Space Pirates ciblant la Russie depuis 2017 avec des attaques sur 16 organisations et une en Serbie.
- Analyse de la chaîne d'infection de l'APT SideCopy.
- Campagne d'APT nord-coréenne visant des entreprises technologiques et leurs employés, afin d'infecter leurs appareils et pivoter vers leur réseau.
- JumpCloud a été compromis par un groupe APT nord-coréen, confirmé par SentinelOne et CrowdStrike.
- La campagne Turla APT cible les conversations privées de l'application Signal Desktop en utilisant des emails de phishing et des backdoors.
Threat Intel
APTs- 2
- Campagnes de phishing ciblant des entités gouvernementales dans plusieurs pays, attribuées à l'APT28 du GRU.
- Attaque par chaîne d'approvisionnement dirigée contre des agences gouvernementales pakistanaises, liée à un malware APT41 connu.
- Campagne XDSpy ciblant des organisations russes avec des emails de phishing prétendant provenir du Ministère des Situations d'Urgence et tentant d'infecter les victimes avec un backdoor.
- Analyse d'une campagne APT menée par le groupe Armageddon contre une installation d'infrastructure d'information ukrainienne.
- Kaspersky a publié une analyse sur CVE-2023-23397, une faille 0-day utilisée par un APT russe et corrigée par Microsoft en mars.
Campagne et Exploitations
Vulnérabilités
- Google demande aux développeurs Android de fournir un numéro DUNS pour lutter contre les malwares et les fraudes.
- Un variant du logiciel de vol de données AsyncRAT, appelé HotRat, est actuellement distribué dans le monde entier par des sites de torrents ou des pages web suspectes proposant des logiciels piratés.
- Adobe a publié une mise à jour de sécurité de ColdFusion pour corriger une vulnérabilité activement exploitée, qui est une contournement d'une précédente mise à jour.
- Eclypsium a révélé des vulnérabilités dans les contrôleurs de gestion de baseboard MegaRAC qui peuvent donner aux attaquants des autorisations superutilisateur et causer des dommages physiques aux serveurs.
- Une nouvelle vulnérabilité de type RCE a été découverte et corrigée dans le serveur MOVEit MFA.
- Vulnérabilité RCE dans le client OpenSSH.
Vulnérabilités- 2
- Juniper a publié un document sur la vulnérabilité CVE-2023-27350 de PaperCut, exploitée largement dans des attaques au printemps.
- Oracle a publié des mises à jour de sécurité trimestrielles qui comprennent des correctifs pour 508 vulnérabilités.
- Exploitation d'une vulnérabilité récemment découverte dans le plugin WooCommerce Payments pour prendre le contrôle des sites WordPress.
- Les attaquants exploitent deux vulnérabilités de ColdFusion d'Adobe pour installer des shells web sur des serveurs non à jour.
- Citrix a émis des correctifs pour corriger une vulnérabilité zéro-jour (CVE-2023-3519) ciblant ses périphériques ADC et NetScaler Gateway, découverte par la société de sécurité Resillion.
- Un acteur de menace scanne et tente d'exploiter des vulnérabilités dans le plugin Jira 'Stagil navigation for Jira - Menus & Themes'.
- Orca Security a découvert une vulnérabilité Bad.Build dans le service de build Google Cloud qui permet aux attaquants de s'introduire de manière non autorisée et d'insérer du code malveillant.
Vulnérabilités- 3
- Vulnérabilité de type RCE dans le moteur de traitement PostScript Ghostscript, exploitable en ouvrant un fichier.
- Une mise à jour urgente du plugin All-In-One Security pour WordPress a été publiée pour corriger un problème de journalisation des mots de passe en clair.
- Les chercheurs d'Armis ont découvert un ensemble de neuf vulnérabilités appelées Crit.IX sur la plateforme d'automatisation Experion ICS de Honeywell, permettant aux attaquants de modifier et d'accéder à du matériel industriel sans authentification.
- Une vulnérabilité nommée EchOh-No a été découverte dans le logiciel Echo, un logiciel anti-triche destiné aux sociétés de jeux. Elle permet aux attaquants d'obtenir des privilèges système sur les PC où le service Echo est installé.
- La sécurité des satellites à basse orbite est plusieurs décennies en retard par rapport aux ordinateurs portables et aux appareils mobiles modernes.
- Il est possible de désactiver un compte WhatsApp en envoyant un e-mail à WhatsApp Support et en prétendant avoir perdu votre appareil.
Articles
- OpenBSD a activé une nouvelle fonctionnalité de sécurité pour protéger le flux de contrôle des applications contre les exploits et les logiciels malveillants.
- Patrick Garrity de Nucleus Security a publié un guide sur l'automatisation de la priorisation des vulnérabilités à l'aide d'arbres de décision basés sur la catégorisation des vulnérabilités spécifiques aux parties prenantes (SSVC).
- MSRC publie un guide détaillé sur la façon dont il gère les rapports de bogues.
- Marina Krotofil publie un livre blanc de 133 pages sur la sécurité des systèmes cyber-physiques.
- Utiliser des PowerAPps pour voler des données dans Azure AD
Géopolitique
- Twitter s'enfonce dans le milieu des extrême-droites et des adeptes de la théorie du complot QAnon en payant des figures de l'extrême-droite pour poster sur la plateforme.
- Des emails militaires américains sont envoyés par erreur à des domaines maliens, ce qui pourrait permettre au gouvernement malien allié à la Russie d'accéder à des données sensibles.
- Les recherches de Cyentia Institute sur Twitter ont montré une baisse importante des contenus liés à la cybersécurité depuis la fin d'avril, à partir du moment où Elon Musk a décidé de supprimer une partie de l'accès gratuit à l'API Twitter.
- Le gouvernement néerlandais a interdit d'installer dix applications mobiles émanant de pays adverses sur les appareils de travail.
Data Sécu
- Une adolescente et sa mère condamnée pour un avortement parce que Facebook a partagé leur conversation messenger avec la Justice US
- Apple menace de quitter le marché britannique si le gouvernement britannique l'oblige à désactiver ses fonctions de sécurité et de chiffrement.
- Reddit supprime des années de messages privés sans avertissement préalable.
- Amazon s'est engagée à payer une pénalité de 25 millions de dollars à la FTC et à la DOJ pour avoir violé les lois sur la protection de la vie privée des enfants aux États-Unis.
- Meta condamnée à une amende de 1 million de couronnes norvégiennes par jour pour avoir collecté des données personnelles sans consentement.
- Meta bloque les utilisateurs européens de l'utilisation d'un service VPN pour accéder aux comptes Threads.
- Une nouvell illustration du fait que Google manipule ses données
Outils
- Le protocole MLS est maintenant officiellement un standard Internet et Google l'intégrera à son client Messages pour permettre l'interopérabilité avec d'autres plateformes E2EE.
- TikTok propose progressivement le support des connexions avec mot de passe pour son application principale, commençant par iOS.
- La Fondation Wikimedia a lancé sa propre instance Mastodon.
- CISA a mis en ligne une page dédiée pour centraliser les outils de sécurité et de revue cloud.
- 64 paquets malveillants npm découverts la semaine dernière selon le portail d'alerte sécurité de GitHub.
Outils- 2
- Nouveau ver P2PInfect écrit en Rust qui cible les bases de données Redis (via CVE-2022-0543) et peut être utilisé pour déployer un cryptominer.
- La version 3 du malware Danabot a été détectée dans la nature et annoncée sur des forums souterrains sous le nom de DBot v.3.
- Orange a publié un référentiel GitHub avec des tutoriels et une analyse des protocoles industriels tels que DICOM, ICCP, SLMP, etc.
- Les vidéos de la conférence de sécurité fwd:cloudsec 2023 sont maintenant disponibles sur YouTube.
- Outil open source BINSEC pour l'analyse du code binaire.
- Stratosphere IPS a publié deux nouveaux outils open-source pour la sécurité, AI VPN et Slips, qui effectuent des évaluations et utilisent l'apprentissage automatique pour détecter des comportements malveillants dans le trafic réseau.
- Michael Haag de Splunk a lancé un nouvel outil, ShellSweep, qui peut détecter les fichiers webshell potentiels dans un répertoire spécifique.
Outils- 3
- Nouvel outil de sécurité open source qui scanne les pilotes vulnérables sur un système.
- Rhino Security a open-sourcé un nouvel outil nommé IAMActionHunter pour faciliter la collecte et la compréhension des déclarations de politiques d'accès pour les utilisateurs et les rôles sur AWS Identity and Access Management (IAM).
- Hex-Rays promet d'améliorer le support de IDA pour le code Rust.
- Google Cloud publie le deuxième rapport «Perspectives On Security For The Board» qui traite des zero-days et de la sécurité IA.