Blog

• romain
• 10 septembre 2023
• • Matinale cyber
• • Chine
  • Microsoft
  • Car hacking
  • Corée du Nord

La UNE

• Une étude de Mozilla a révélé que les principales marques automobiles collectent et vendent des données sur leurs conducteurs sans leur donner la possibilité de se désinscrire.
• Vol de clé chez Microsoft
• Un APT Nord-Coréen contactait les professionnels de la cyber sur Twitter et LinkedIn

Vol de clé chez Microsoft

• Une clé secrète de Microsoft volée par des APT chinois
• Lire l'article

Annonces

• Emsisoft a publié un patch urgent hors-bande demandant aux clients de redémarrer tous leurs appareils après une erreur dans le processus de renouvellement de leur certificat par GlobalSign.
• Adobe arrêtera le service Creative Cloud Synced le 1er octobre, et les clients ne pourront plus accéder à leurs fichiers après cette date.
• Google affichera des annonces basées sur l'historique de navigation des utilisateurs.
• Microsoft retire WordPad après 28 ans de présence sur Windows.
• Ollie Whitehouse devient le nouveau CTO du NCSC du Royaume-Uni, qui a précédemment travaillé pour NCC Group.
• Cisco a publié six mises à jour de sécurité.

Annonces- 2

• SentinelOne annonce qu'ils ne sont plus à vendre, après les rumeurs selon lesquelles Wiz était intéressé par l'acquisition.

Annonces

Arrestations

• Des hackers ont volé plus de 35 millions de dollars de crypto-actifs à plus de 150 victimes suite à la brèche de LastPass.
• L'attaque par rançongiciel contre la ville de Séville en Espagne a entraîné la fermeture de son réseau informatique et un montant de rançon de 1,5 million de dollars refusé par les autorités.
• Le groupe hacktiviste biélorusse Cyber Partisans affirme avoir piraté l'organisation Croix-Rouge biélorusse et avoir volé des documents montrant comment elle a aidé les forces russes à déplacer des enfants ukrainiens vers la Biélorussie sans leurs parents.
• Un homme d'affaires russe a été condamné à neuf ans de prison pour avoir piraté des entreprises et utilisé des documents volés pour échanger des actions à l'aide d'informations non publiques.
• Trois suspects ont été arrêtés dans une ville du Texas pour avoir piraté des distributeurs automatiques de billets en utilisant des cartes Raspberry Pi.
• Des acteurs malveillants ciblent et piratent intentionnellement des comptes emails de forces de l'ordre pour abuser et demander des données à des entreprises technologiques.

Annonces

Arrestations- 2

• Group-IB affirme avoir accédé au panneau d'administration du ransomware Knight RaaS (anciennement connu sous le nom de Cyclops).
• Des groupes de phishing et d'escroquerie à la BEC abusent du service Google Looker Studio pour héberger leur infrastructure de phishing.
• Un groupe de cybercriminels a été découvert qui exploite 900 pages web de scammers et qui cible principalement des utilisateurs dans la région MENA.
• Une erreur documentaire a conduit à la chute du procès de l'Algérien BX1 pour le rançongiciel PyLocky.
• Trend Micro examine le service de phishing 16Shop géré par un indonésien et démantelé par Interpol en août.
• La clé de signature de Microsoft a été compromise par le groupe de piratage chinois Storm-0558, qui a exploité un compte d'ingénieur et un dump de crash pour accéder à plusieurs comptes de courrier électronique américains.

Annonces

Industrie

• KELA étudie AlphV, NoEscape et Cloak, trois groupes de rançongiciels et d'extorsion qui se servent des menaces de sanctions GDPR pour contraindre les entreprises à payer leurs demandes de rançon.
• La société de cybersécurité IronNet a mis en congé la majorité de ses employés alors que l'entreprise explore ses options.
• Tenable a annoncé son intention d'acquérir Ermetic pour 240 millions de dollars en espèces et 25 millions de dollars en actions et RSUs restreints.
• Check Point a acquis le fournisseur de sécurité SaaS Atmosec.
• Netskope a acquis la société française de cybersécurité Kadiska spécialisée dans la gestion de l'expérience numérique, la surveillance des performances des applications et la surveillance des performances du réseau.
• Malwarebytes a licencié 100 employés et séparé ses unités de consommateurs et d'entreprise.

Attaques et Piratages

• Des hackers ont piraté et volé plus de 175 Go de données de la base de données de la police nationale du Paraguay.
• Une entreprise d'identité et de gestion d'accès a signalé que des acteurs malveillants avaient ciblé et compromis certains de ses clients américains.
• LogicMonitor a subi une attaque de sécurité après que des pirates aient eu accès à certains comptes clients ayant des mots de passe par défaut ou faibles.
• La University of Sydney a subi une incident de cybersécurité suite à une violation de l'un de ses fournisseurs tiers.
• Le groupe Black Reward a piraté l'application financière iranienne Hafhashtad et a envoyé des notifications mobiles pour inciter les citoyens à se révolter contre le régime oppressif du pays.
• CISA a mis à jour un avis avec de nouvelles TTP et IOCs vues dans des attaques contre des serveurs Citrix utilisant CVE-2023-3519.

Attaques et Piratages- 2

• Une nouvelle méthode d'attaque DDoS nommée Tsunami est de plus en plus utilisée par des groupes hacktivistes après l'invasion de l'Ukraine par la Russie.
• Le fournisseur de proxy américain Rayobyte est utilisé pour mener des attaques DDoS contre des médias indépendants dans des pays oppressifs.
• Un acteur malveillant exploite des vulnérabilités dans des serveurs de stockage d'objets MinIO pour prendre le contrôle de l'infrastructure cloud. Plus de 30 000 installations MinIO accessibles publiquement sont vulnérables.
• Un nouveau malware nommé Pandora infecte des boîtiers TV Android Tanix et contient des fonctionnalités de backdoor et de DDoS.
• Un nouveau malware nommé RegStealer, écrit en Python et qui fonctionne comme un infostealer, a été repéré par la division Symantec de Broadcom et a été vu dans des campagnes ciblant la Corée du Sud.
• Des campagnes de malvertising distribuent le malware Atomic Stealer sur les systèmes macOS.
• Huntress examine une campagne récente impliquant le ver USB Raspberry Robin.

Attaques et Piratages- 3

• Un acteur malveillant utilise des attaques par force brute pour cibler les serveurs MS-SQL qui utilisent des mots de passe faibles et déployer le ransomware Freeworld.
• Plusieurs acteurs malveillants exploitent des vulnérabilités ColdFusion pour scanner des réseaux, installer des shells web et déployer des backdoors.

Data Leaks

• Plus de 320 000 clients de See Tickets pourraient avoir eu leurs données de carte volées suite à une infection d'un site web par un e-skimmer.
• Freecycle a été victime d'une violation de sécurité et les informations des 7 millions d'utilisateurs ont été volées.
• Les systèmes de la société NXP, l'une des plus grandes entreprises de semi-conducteurs au monde, ont été compromise entre le 11 et le 14 juillet.
• Une entreprise chinoise de jouets sexuels intelligents a laissé une de ses bases de données exposées et a fuit des informations sur ses clients possédant des dispositifs de chasteté masculins.
• Sourcegraph a déclaré que quelqu'un a eu accès à un jeton d'administrateur et a utilisé cette information pour offrir un accès gratuit à son service.
• Kentik examine deux fuites BGP récentes ayant eu peu d'impact sur l'état général d'Internet.

Data Leaks- 2

• Des chercheurs en sécurité ont découvert que 4500 des plus grands sites Web fuient des mots de passe et des clés API via des dépôts de code mal configurés.

Threat Intel

Threat Intel

Menaces

• FalconFeeds explore en profondeur le mode de fonctionnement du groupe Clop ces dernières semaines.
• Un acteur malveillant nommé W3LL a gagné plus de 500 000 $ au cours des 10 derniers mois en vendant un kit de phishing qui peut contourner la MFA et pirater des comptes Microsoft 365.
• SANS ISC a publié une liste des noms d'utilisateur et mots de passe les plus couramment soumis à son réseau d'essaimage.
• Le fournisseur de télécommunications Digicel Pacific a été abusé dans le suivi SS7 pour localiser des cibles surveillées et intercepter leurs communications.
• Ducktail est un groupe de cybercriminalité vietnamien spécialisé dans le détournement de comptes d'entreprises sur Facebook et TikTok.
• Trellix analyse les campagnes de malspam menées par Emotet en 2023.

Threat Intel

Menaces - 2

• Fortinet a un compte-rendu sur le groupe de rançongiciels Rhysida.
• Le groupe d'espionnage cyber russe Gamaredon utilise un réseau de flux rapide.
• AhnLab a analysé RedEyes, un backdoor utilisé par le groupe de piratage nord-coréen ScarCruft.
• La firme de sécurité chinoise Anheng a analysé le backdoor Chinotto du groupe ScarCruft et les campagnes de spear-phishing qui l'ont utilisé.
• Google a identifié un faux compte utilisé par des hackers nord-coréens pour cibler et tromper des chercheurs en sécurité afin de s'infecter avec des malwares.
• Sekoia a publié une carte des opérations cyber offensives chinoises, des groupes APT et de leurs affiliations respectives.
• Une firme de sécurité chinoise a publié un rapport sur Saaiwc, également connu sous le nom de Dark Pink.

Threat Intel

Malware

• Trend Micro a observé un nouveau vol d'informations basé sur Node.js dans la nature.
• Morphisec a publié une analyse de la nouvelle version de Chaes, un malware qui cible les navigateurs Chrome et vise à exfiltrer des données des utilisateurs des marchés en ligne latino-américains.
• Rapid7 a détecté un nouveau chargeur de malwares appelé IDAT utilisé depuis juillet et qui sert de point d'infection initial pour le déploiement d'infostealeurs tels que Amadey, Lumma et StealC.

Threat Intel

APTs

• Le ransomware Lockbit reste en tête des activités de ransomware au cours du premier semestre 2023, selon des messages publiés sur des sites de fuites sur le web sombre.
• ThreatMon a un rapport sur la quatrième version du ransomware Chaos.
• Des groupes d'attaquants étatiques exploitent des vulnérabilités récentes dans les systèmes Fortinet et Zoho ManageEngine pour accéder aux réseaux des entreprises et des gouvernements.
• Zscaler examine une campagne appelée Steal-It qu'ils croient être le travail d'APT28 en raison de certaines similitudes avec un rapport précédent de CERT-UA.
• AhnLab examine BlueShell, un cheval de Troie en Go utilisé dans des attaques ciblant la Corée du Sud et la Thaïlande.
• CERT-UA a publié un rapport sur une campagne de phishing ciblée menée par APT28 pour viser une infrastructure énergétique critique en Ukraine.

Threat Intel

APTs- 2

• Interlab a découvert un nouveau RAT appelé SuperBear utilisé par l'APT Kimsuky pour attaquer des dissidents à l'étranger.
• NSFOCUS a publié un rapport sur une campagne de spear-phishing menée par le groupe d'espionnage iranien APT34.
• Des chercheurs de DeepInstinct décrivent comment des acteurs malveillants peuvent abuser du cadre d'isolation des conteneurs Windows pour cacher leur malware des produits de sécurité.

Campagne et Exploitations

• Un acteur malveillant mène une campagne de crypto-phishing visant les clients des plates-formes crypto en faillite Voyager et Celsius.
• Une campagne de fraude AdSense a été détectée sur plus de 24 000 sites web piratés.
• Un acteur malveillant exploite des clients qBittorrent pour installer des logiciels malveillants d'extraction cryptographique sur les appareils des utilisateurs.
• Une campagne menée par un acteur malveillant a été détectée dans dix librairies publiées simultanément sur trois dépôts de paquets, qui contenaient du code malveillant visant à recueillir des informations sur les hôtes infectés et à les télécharger sur un serveur chinois.
• Le groupe PYTA31 continue de télécharger des bibliothèques infectées par le malware WhiteSnake sur le portail PyPI.
• Une campagne de crypto-minage est en cours : un acteur malveillant intègre des logiciels légitimes à des crypto-mineurs pour cibler des auditoires francophones.

Campagne et Exploitations- 2

• L'équipe de sécurité de Fortinet examine une campagne Agent Tesla.
• Un acteur malveillant contacte des employés via des messages Microsoft Teams et livre des fichiers thématiques RH contenant le malware DarkGate.

Vulnérabilités

• Android 14 va bloquer toutes les modifications apportées aux certificats système, même par l'utilisateur root.
• VulnCheck examine les exploits récents pour CVE-2023-33246 qui touchent les serveurs RocketMQ.
• Des mises à jour de sécurité ont été déployées pour le projet Kubernetes de Google afin de corriger trois vulnérabilités.
• Yahoo a découvert et aidé à patcher quatre vulnérabilités dans Ivanti Endpoint Manager, dont une RCE.
• 58 zéro-jours ont été découverts et exploités dans le monde en 2021.
• Apple a publié des mises à jour de sécurité pour iOS et macOS pour corriger deux zéro-jours actuellement exploités. Les deux problèmes ont été découverts par CitizenLab et faisaient partie d'une chaîne d'exploitation à zéro clic et sans interaction de l'utilisateur appelée BLASTPASS.

Vulnérabilités- 2

• Bitdefender a découvert cinq vulnérabilités zero-day dans le système de réservation en ligne IRM Next Generation qui ont été exploitées dans la nature pour déposer des logiciels malveillants sur leurs serveurs.
• Horizon3 a publié des détails sur deux nouvelles vulnérabilités Apache Superset, liées à une vulnérabilité trouvée en avril et qui permettait de forger des jetons d'authentification pour tous les serveurs Superset.
• Un chercheur en sécurité a découvert une vulnérabilité DoS qui peut inonder la fenêtre de téléchargement de Firefox avec des fichiers aléatoires.
• Des chercheurs de SonarSource ont identifié des vulnérabilités dans les fournisseurs de messagerie cryptée Proton Mail, Skiff et Tutanota.
• Une vulnérabilité RCE non autorisée (CVE-2023-4634) a été détectée dans le plugin WordPress Media Library Assistant.
• Une vulnérabilité de traversée de répertoire/chemin a été trouvée dans Librsvg, une bibliothèque Rust pour le rendu des graphiques SVG.
• Le chercheur en sécurité Naphthalin a découvert plusieurs vulnérabilités dans les radios internet Auna IR-160, y compris une API rudimentaire et non sécurisée pouvant être utilisée pour prendre le contrôle des appareils, une vulnérabilité XSS dans l'interface web et un bug DoS pouvant être utilisé pour bloquer certaines fonctionnalités jusqu'à un redémarrage de l'appareil.

Vulnérabilités- 3

• Une vulnérabilité d'accès inter-locataire a été découverte dans la plateforme de sécurité AppSec de Mend.io.
• Des mises à jour de sécurité sont disponibles pour les versions 11, 12 et 13 d'Android, et la CVE-2023-35674 est en exploitation active.
• Un chercheur en sécurité chinois a publié une analyse d'une vulnérabilité CVE-2023-39476, une vulnérabilité RCE pré-auth dans la plateforme Ignition d'Inductive Automation.
• Patchstack a découvert 404 vulnérabilités non corrigées dans des plugins WordPress qui n'ont pas de contact pour leurs développeurs et a réussi à fermer et supprimer 289 plugins.
• 117 vulnérabilités sont en cours d'exploitation et seront probablement plus de 150 avant la fin de l'année selon Nucleus Security.
• Une vulnérabilité locale d'escalade des privilèges (CVE-2023-4273) existe dans le pilote Linux exFAT.
• Une vulnérabilité de type LPE (CVE-2023-35001) affecte les versions du noyau Linux depuis neuf ans.

Vulnérabilités- 4

• L'équipe Summoning a publié les détails et un PoC pour une vulnérabilité VMWare Aria (CVE-2023-34039) qu'ils ont trouvée et aidé VMWare à patcher la semaine dernière.
• Un bug EoP dans Microsoft SharePoint (CVE-2023-29357) a été utilisé lors du concours de piratage Pwn2Own en mai.
• Splunk a publié des mises à jour de sécurité pour corriger 11 vulnérabilités.
• GitLab a publié des mises à jour de sécurité pour corriger 12 vulnérabilités dans ses produits entreprise et communautaire.
• Une vulnérabilité zéro-jour a été trouvée dans le client Linux d'AtlasVPN qui permet à un acteur malveillant de lancer des commandes à distance sans authentification.

Articles

• Un groupe de chercheurs en sécurité a développé un nouveau système qui empêche les attaques par canal latéral et qui peut fuiter des données de la mémoire cache du CPU.
• Il est possible de contourner le chiffrement de disque complet TPM sur Ubuntu en appuyant rapidement sur la touche ENTREE au démarrage.
• Utiliser OAuth pour escalader une RXSS

Géopolitique

• La Chine et la Russie interdisent l'utilisation des iPhones par les employés du gouvernement, arguant du besoin de sécuriser les environnements gouvernementaux contre l'espionnage étranger.
• La Chine a armé son programme de divulgation de vulnérabilités pour obtenir des informations sur les failles qui peuvent être exploitées.
• Le Sénat polonais recommande la mise en place d'une enquête sur des responsables gouvernementaux impliqués dans l'utilisation de Pegasus, un logiciel espion qui a rendu les élections polonaises de 2019 non-équitables.
• Le procureur en chef de la Cour pénale internationale prévoit d'enquêter sur les opérations cyber qui violent les droits de l'homme et peuvent être interprétées comme des crimes de guerre.
• La surveillance des télécommunications en Russie bloque l'accès à plus de 885 000 sites web, en hausse de 85 % par rapport à l'année dernière.
• L'agence de cybersécurité de l'UE a publié un rapport sur les câbles sous-marins et a mis en garde contre les points de défaillance uniques dus à une concentration des câbles sur une seule route.

Géopolitique- 2

• L'étude de l'UE a révélé que les nouvelles politiques de Twitter sous Musk ont contribué à la propagation de la propagande russe sur le site.
• Les IOs chinois ont considérablement amélioré leur efficacité et leur taux d'engagement, visant principalement des publics en Asie et en Afrique.
• Microsoft a identifié deux entités pro-russes impliquées dans des opérations d'influence en ligne et hors ligne en Afrique.
• La communauté de la cybersécurité pleure le décès de Geoff Chappell, membre de cette communauté depuis plus de trois décennies, connu pour ses travaux précoces en ingénierie inverse des internes Windows.
• Le Parlement bangladais est en train de passer une nouvelle loi sur la cybersécurité qui limite la liberté d'expression sur internet.

Data Sécu

• Une étude de Mozilla a révélé que les principales marques automobiles collectent et vendent des données sur leurs conducteurs sans leur donner la possibilité de se désinscrire.
• L'ICO du Royaume-Uni met en garde les entreprises contre l'utilisation du champ BCC dans les campagnes par courriel contenant des données à caractère personnel.
• Les amendes pour le mauvais traitement des droits des sujets et de la vie privée devraient atteindre 1 milliard de dollars par an en 2026.
• Apple a répondu à un groupe d'activistes pour la sécurité des enfants que le déploiement de détection de contenu à caractère sexuel (CSAM) sur iCloud ouvrirait de nouvelles possibilités de vol de données et de surveillance en masse, et créerait plus de problèmes qu'il n'en résoudrait.

Outils

• Chrome aura une nouvelle interface utilisateur pour son 15e anniversaire.
• Microsoft supprime le support du protocole TLS 1.0 et 1.1 au niveau du système d'exploitation.
• Le NIST a publié un cadre de sécurité pour protéger les pipelines CI/CD des applications cloud contre les attaques de chaîne d'approvisionnement.
• NIST a publié un cadre de sécurité pour les jetons non fongibles (NFT).
• Un acteur malveillant appelé r1z annonce un nouvel outil capable de tuer tous les produits EDR, de fonctionner comme une porte dérobée et un déposeur de logiciels malveillants.
• 53 paquets npm malveillants ont été découverts la semaine dernière.

Outils- 2

• Un nouveau service de Malware-as-a-Service a été découvert par CyFirma, offrant aux criminels un combo infostealer-RAT qui se sert extensivement de Powershell et qui peut collecter des données des hôtes infectés.
• Cyberint a publié un rapport sur Cloak, un nouveau RaaS apparu à la fin de 2022.
• Des chercheurs d'Argentine et de République tchèque ont créé un miel pot alimenté par LLM qui génère des données synthétiques dynamiquement selon les demandes d'un utilisateur piégé.
• Des mises à jour de sécurité sont disponibles pour le projet Jenkins et certains de ses plugins.
• L'Open Terraform Foundation a lancé OpenTF, un cadre pour construire, modifier et versionner des infrastructures cloud en toute sécurité et efficacement.
• CISA et MITRE ont publié un projet nommé Caldera for OT qui ajoute des plugins spécifiques à l'OT au cadre d'émulation d'adversaire MITRE Caldera.
• Un ensemble de checklists pour le pentest
• Automatiser les Google Dorks avec Python

Des échanges de cryptoactifs piratés ?

• Stake a perdu plus de 41 millions de dollars en crypto-monnaies suite à un vol de ses portefeuilles chauds.
• Wiz a publié un résumé de tous les minerai de cryptomonnaie qu'ils ont observés dans la nature au cours des trois derniers mois.

WTF