Blog

• romain
• 12 septembre 2023
• • Matinale cyber
• • arrestation
  • Influence
  • saisie

La UNE

• BX1, le hacker de PyLocker (ou JobCrypter ?) relaxé
• Lazarus exploite une lib vulnérable via Pypi
• Démantèlement de Qakbot
• COntourner le chiffrement du disque LUKS par une TPM en appuyant juste sur entrée
• Une vaste campagne d'influence déjouée par meta
• Générer des beacons Cobalt Strike pour toutes les plateformes
• Générer des wordlists de variations de mots de passe
• Rehercher des CVEs efficacement
• PArtagé par funeralpolis : une super matrice des C2

Annonces : Qakbot

• Saisie de $8.6 million
• Identification e de 7.6 milliards de creds compromis par la police NL
• Récupération des serveurs Samedi dernier August UK NCA.

Comme :

• Emotet en 2020
• Trickbot en 2021 in 2020 and 2021.

Annonces

• L'ANSSI a publié une alerte de sécurité mettant en garde les entreprises françaises contre les cyberattaques pouvant cibler des évènements sportifs majeurs.
• La Commission des droits de l'homme de l'ONU estime qu'environ 220 000 personnes à travers le Cambodge et le Myanmar sont contraintes de travailler dans des centres d'appels dans le cadre d'opérations de fraude en ligne.
• Microsoft active par défaut la fonctionnalité de sécurité 'Extended Protection' pour tous les serveurs Exchange 2019 cet automne pour protéger les serveurs Exchange contre les attaques Adversary-in-the-Middle et d'autres relais d'authentification.
• Google offrira des mises à jour de sécurité pour le prochain Pixel 8 aussi longtemps que Apple le fait pour les iPhones.
• Le CERT de Russie a publié une vidéo animée pour mettre en garde contre le chargement des smartphones via des ports USB publics, une menace connue sous le nom de juice-jacking.
• Cluster25 analyse une campagne BEC récemment suivie.

Annonces- 2

• La firme de sécurité Huntress a développé un vaccin qui l'a aidée à prévenir les infections sur ses périphériques depuis décembre 2022.
• EclecticIQ a publié un décrypter gratuit pour le ransomware Key Group, permettant aux victimes de récupérer leurs fichiers sans payer les attaquants.
• Trend Micro's Zero-Day Initiative organise un nouveau concours de piratage Pwn2Own Automotive qui se concentre sur les technologies automobiles.

Annonces

Arrestations

• L'Université du Michigan a mis hors ligne son réseau informatique pour gérer un incident de cybersécurité.
• Des gens sur Reddit semblent penser que le site Web 7-Zip a été piraté.
• Le Japon améliore sa police informatique pour lutter contre le cybercrime et les cyberattaques.
• Un citoyen nigérian-britannique a été condamné à 90 mois de prison pour sa participation à un schéma de fraude à l'héritage.
• Le groupe de cybercriminels Classiscam a généré au moins 64,5 millions de dollars grâce à une plateforme de Service-comme-Scam.
• Une centrale de fraude indienne a été dissipée et 84 employés, y compris les deux administrateurs, ont été arrêtés.

Annonces

Arrestations- 2

• Une campagne de piratage a ciblé les passerelles courriel Barracuda, touchant environ 5% des appareils ESG et une campagne distincte a été lancée pour contourner les correctifs, visant des cibles spécifiques dans le gouvernement, l'armée, les télécoms et l'aérospatiale.

Annonces

Industrie

• Dropbox a mis un plafond à son plan de stockage illimité suite à des abus notables.
• Malwarebytes a acquis Cyrus, un fournisseur de solutions de confidentialité en ligne.
• Des rumeurs de rachat circulent avec Veritas Capital qui envisage d'acquérir BlackBerry, un fournisseur de logiciels IoT et de cybersécurité.
• La société israélienne Wiz envisage d'acquérir SentinelOne.

Attaques et Piratages

• Une vague d'attaques DDoS s'est abattue sur des médias d'information indépendants hongrois critiques du gouvernement local.
• Des hacktivistes ont piraté des routeurs à travers le Japon et ont modifié leurs écrans de connexion pour exprimer leur opposition à la décision du gouvernement de rejeter l'eau traitée de la centrale nucléaire de Fukushima dans l'océan Pacifique.
• Le groupe de rançongiciel Snatch prétend avoir piraté et volé plus de 200 To de fichiers du ministère sud-africain de la Défense.
• Le nombre d'entreprises touchées par la campagne de piratage de Clop sur MOVEit a atteint 1 000 et plus de 60 millions de personnes ont été touchées.
• Des comptes de dissidents chinois sont inondés de contenus pour adultes lorsqu'ils font des critiques du régime, similaire à ce qui s'est produit l'année dernière avec des bots pornographiques chinois.
• La police espagnole a émis une alerte concernant une augmentation des e-mails de phishing conduisant à des infections par le rançongiciel LockBit.

Attaques et Piratages- 2

• Des outils sous-terrains ont été découverts pour effectuer des attaques de SMS bombing/flooding qui abusent des APIs SMS et OTP chez des télécoms à travers le monde.
• La cybercriminalité Akira cible les périphériques VPN Cisco pour pivoter vers des réseaux internes et déployer son ransomware. Les attaques visent les VPNs Cisco où l'authentification à plusieurs facteurs n'a pas été activée.
• Une firme de sécurité sud-coréenne a détecté une augmentation du malware proxyware installé sur des serveurs MS-SQL utilisant des mots de passe faibles et faciles à deviner.
• Trustwave a constaté une hausse des attaques de BEC au début de 2023, dont la moitié ont été des attaques de détournement de paie.
• Trend Micro a publié un rapport sur un nouveau logiciel malveillant Android nommé MMRat distribué dans des magasins d'applications tiers et utilisé dans des opérations de fraude bancaire et financière ciblant les utilisateurs mobiles en Asie du Sud-Est depuis fin juin 2023.
• Une infection de ransomware Nokoyawa a commencé à partir d'un e-mail de phishing exploitant la technique de contrebande HTML.
• Les chercheurs de Netenrich examinent de nouvelles versions du ransomware ADHUBLLKA, utilisé pour cibler des individus et des petites entreprises avec des demandes de rançon de 800 à 1600 dollars.

Data Leaks

• Plus de 3,6 millions d'enregistrements d'utilisateurs ont été volés et publiés par le fournisseur de VPN de jeu basé en Thaïlande PlayCyberGames, selon des informations alléguant un piratage en août 2023.
• CERT-Pologne a partagé les données de plus de 68 000 utilisateurs victimes d'attaques de phishing avec le site Have I Been Pwned.
• Les données de 47 000 officiers de police de la Met Police au Royaume-Uni ont été volées depuis les systèmes d'un de ses fournisseurs.
• Des hackers ont revendiqué une fuite de données et l'effacement des données des victimes sur les serveurs du fabricant de logiciels espions brésilien WebDetetive.
• Plus de 10 millions de citoyens français ont fait l'objet d'une fuite de données causée par une faille chez un fournisseur de services de l'agence française de l'emploi.

Threat Intel

Threat Intel

Menaces

• La mission Hunt Forward de CyberCom des États-Unis a réussi à détecter des logiciels malveillants sur les systèmes de défense et les réseaux du ministère des Affaires étrangères de Lituanie.
• La société de technologie israélienne Cobwebs a aidé le DHS à espionner les manifestants de George Floyd en 2020.
• La Commission grecque de protection des données a déclaré que 92 personnes avaient été visées par le logiciel espion Predator dans le cadre de l'affaire Predatorgate.
• Wired a publié une enquête sur Bentley, un Russe qui dirige une équipe de développement d'un groupe de cybercriminalité Trickbot.
• Outpost24 examine la plateforme de Phishing-as-a-Service Greatness, précédemment couverte par Talos.
• Sophos examine les concours de recherche offensifs organisés sur les forums de piratage ces dernières années.

Threat Intel

Menaces - 2

• Le groupe DUCKPORT cible les utilisateurs avec des logiciels malveillants afin de pirater des comptes liés aux plateformes publicitaires et d'affaires de Facebook.
• Le groupe Smishing Triad, parlant chinois, envoie des messages via iMessage pour lurer les utilisateurs sur des sites de phishing et leur voler des données personnelles et financières.
• Les geeks de la cybersécurité font une analyse détaillée de Brute Ratel C4, un cadre d'émulation d'adversaires qui concurrence Cobalt Strike chez les groupes de cybercriminalité.
• Des chercheurs de Check Point ont trouvé des similitudes entre le code et le design du minier de cryptomonnaie HiddenBee et du voleur Rhadamanthys.
• Le ransomware Shadow est lié au groupe hacktiviste Twelve.
• OALABS analyse AttackCrypter, un crypter open-source utilisé dans les campagnes VenomRAT récentes.
• InQuest a analysé l'histoire d'Antibot, un outil open source qui est devenu l'une des principales solutions pour filtrer le trafic bot et authentique sur des sites de phishing et des panneaux de contrôle de logiciels malveillants, exploité par un homme indonésien nommé Eka Syahwan.

Threat Intel

Menaces - 3

• Les agences de cybersécurité des cinq pays du groupe des Cinq Yeux ont publié un avis de sécurité commun sur le kit d'outils malveillants Infamous Chisel utilisé par l'unité militaire de piratage Sandworm de Russie.
• GREF (APT15) a implanté des versions Trojan de Signal et Telegram sur Google Play et le magasin Samsung, contenant un logiciel espion BadBazaar.
• Trend Micro a découvert un nouveau groupe APT appelé Earth Estries qui s'est engagé dans des activités d'espionnage contre les agences gouvernementales et le secteur de la technologie.
• Le CERT-UA a signalé une campagne AsyncRAT menée par le groupe UAC-0173 visant les autorités judiciaires et les notaires.
• La firme chinoise KnownSec a un rapport sur le groupe d'attaque nord-coréen APT37, aussi connu sous le nom de ScarCruft et Reaper, et sur leur nouveau RAT connu sous le nom de FakeCheck.

Threat Intel

Malware

• 39 paquets malveillants npm ont été découverts la semaine dernière.
• Kaspersky a identifié 396 échantillons basés sur le code du générateur Lockbit qui a fuité.
• Environ 80% des incidents de malware peuvent être attribués à trois familles de chargeurs : QBot, SocGolish et Raspberry Robin.
• Secureworks a analysé le module d'uninstallation de Qakbot utilisé par le FBI pour supprimer le malware Qakbot des ordinateurs infectés.
• Le malware open-source SapphireStealer est de plus en plus utilisé dans des opérations de cybercriminalité.
• La firme de sécurité russe FACCT a analysé le ransomware BlackShadow utilisé dans des attaques contre des organisations russes.

Threat Intel

Malware- 2

• McAfee analyse le cheval de Troie RemcosRAT.
• L'équipe de sécurité d'Elastic analyse la dernière version du chargeur BLISTER.
• DarkGate (également connu sous le nom de MehCrypt) est un service MaaS qui a relancé ses activités en juin et qui est déjà très populaire.
• Les chercheurs d'AhnLab ont publié un rapport sur les dernières campagnes et opérations d'Andariel et leurs logiciels malveillants.
• Quarkslab a examiné le firmware fonctionnant sur les terminaux Starlink.

Threat Intel

APTs

• Le groupe Lazarus de Corée du Nord a planté des bibliothèques Python malveillantes sur le dépôt officiel PyPI.
• Le groupe APT Gamaredon cible des cibles gouvernementales ukrainiennes afin de trouver et de voler des secrets militaires.
• Le groupe Flax Typhoon, soutenu par l'Etat chinois, mène des attaques contre des organismes taïwanais depuis le milieu de 2021.

Campagne et Exploitations

• Une campagne de malware active sur npm depuis 2021 essaie de voler le code source et les secrets de l'environnement de développement des victimes.
• Le CERT ukrainien a publié des informations sur une nouvelle campagne UAC-0057 (GhostWriter) ciblant des organisations ukrainiennes avec des fanaux Cobalt Strike et le logiciel malveillant PicassoLoader.

Vulnérabilités

• Les développeurs du jeu Genshin Impact ont déployé un correctif pour corriger une faille qui supprimait définitivement des objets essentiels du jeu, connue sous le nom de Kaveh Hack.
• Un acteur malveillant connu sous le nom de STAC4663 exploite une vulnérabilité récemment patchée dans les appareils Citrix NetScaler pour accéder aux réseaux d'entreprise et déployer du ransomware.
• JPCERT/CC a découvert des acteurs malveillants qui utilisent une nouvelle technique consistant à intégrer des documents Office malveillants dans des fichiers PDF.
• Le botnet DreamBus exploite une vulnérabilité (CVE-2023-33246) affectant les serveurs RocketMQ qui vise à l'extraction de cryptomonnaie.
• Quatre vulnérabilités de débordement de mémoire ont été trouvées dans l'éditeur de texte Notepad++ sans patch disponible.
• Des chercheurs de Patchstack ont découvert une vulnérabilité (CVE-2023-40004) partagée par plusieurs plugins faisant partie du kit d'outils All-in-One WP Migration.

Vulnérabilités- 2

• VMWare a publié des mises à jour de sécurité pour corriger des problèmes dans ses produits Aria Operations et Tools.
• Une faille majeure a été découverte dans plusieurs produits de logiciels de routage BGP, qui peuvent être exploités pour créer des vers BGP et faire planter des réseaux entiers.
• D-Link a corrigé 52 vulnérabilités découvertes cet été par des chercheurs ZDI.
• Exploit Security a publié des informations sur trois vulnérabilités touchant les routeurs Techview.
• Les chercheurs de Pentagrid ont publié un détail sur CVE-2023-39810, une vulnérabilité de traversée de répertoire de BusyBox.
• Un chercheur en sécurité a découvert une vulnérabilité permettant une prise de contrôle à distance dans Qlik Sense, une plateforme d'analyse de données d'entreprise utilisée pour la visualisation et l'analyse des données.
• Un chercheur en sécurité indien a publié un PoC pour une vulnérabilité d'exécution de code dans Java SE.

Vulnérabilités- 3

• Un chercheur en sécurité russe a publié des détails sur une nouvelle méthode de contournement de l'AMSI qui utilise le mécanisme de débogueur Windows.
• Un code de preuve de concept a été publié pour une vulnérabilité de débordement de pile Ivanti Avalanche (CVE-2023-32560).
• Les chercheurs en sécurité de watchTowr ont publié une analyse technique et un code de preuve de concept pour CVE-2023-36844, une exploitation à distance à distance dans les périphériques Juniper SRX et EX.
• Une preuve de concept a été publiée pour une vulnérabilité zero-day de WinRAR utilisée pour hacker des traders en bourse et en cryptomonnaies.
• Secureworks a découvert une vulnérabilité d'élévation des privilèges dans la plate-forme Microsoft Azure AD Power Platform en avril.
• SonarSource a découvert une vulnérabilité dans le LMS Moodle, CVE-2023-30943.
• Le gouvernement américain a reçu plus de 1300 rapports de bugs l'année dernière grâce à son programme de divulgation de vulnérabilités.

Articles

• WU d'un chall de la barbhack
• Deep dive sur un VPN Microsoft
• Rehercher des CVEs efficacement

Géopolitique

• Des saboteurs présumés russes ont perturbé le système ferroviaire polonais avec un signal d'arrêt d'urgence et le discours de Vladimir Poutine.
• Une enquête du développeur web Travis Brown a révélé que 70 % des followers d'Elon Musk sur Twitter sont probablement des comptes bots.
• La Russie impose que tous les nouveaux smartphones et gadgets intelligents vendus en Russie incluent une version de l'application RuStore.
• La Nouvelle-Zélande crée une agence de cybersécurité unifiée intégrant le CERT NZ et le Centre national de sécurité informatique (NCSC).
• Les chercheurs de VSquare ont publié un rapport sur les différentes organisations européennes qui répandent la propagande russe en Europe.
• Meta a démantelé la plus grande opération d'influence secrète jamais vue auparavant, impliquant des milliers de comptes sur plus de 50 plateformes et poussant des narratives pro-chinois liées à un cluster précédemment suivi comme étant Spamouflage.

Géopolitique- 2

• La FSB russe contrôle une ONG qui recrute et forme des influenceurs et des universitaires occidentaux pour qu'ils propagent la propagande russe dans leurs pays.
• Deux groupes de désinformation russe et chinoise ont utilisé les incendies de Maui pour promouvoir une propagande anti-américaine.
• Un réseau de désinformation chinois connu sous le nom d'Empire Dragon a récemment modifié sa focalisation et adopte des narrations similaires à celles des campagnes de désinformation russes.
• Un livre de Lukasz Olejnik dédié à la philosophie de la cybersécurité est disponible en précommande (codes de réduction disponibles).
• Les personnes qui ont assisté aux conférences Black Hat et DEFCON à Las Vegas au début du mois et qui ont séjourné à l'hôtel Caesars Palace doivent être conscientes qu'il y a des cas de maladie de Legionnaire.

Data Sécu

• La DPA néerlandaise a ordonné à l'autorité de registre foncier d'améliorer sa sécurité après que des journalistes aient constaté qu'ils pouvaient obtenir les données personnelles et les informations de propriété foncière de tout citoyen.
• Twitter va collecter des données biométriques et d'autres données sensibles sur ses utilisateurs.

Outils

• OpenSSH est protégé contre les attaques par chronométrage de frappe grâce à l'ajout de frappes fictives.
• Le utilité Sudo Linux a été réécrit en Rust sous le nom 'Sudo-rs'.
• Activision utilise une technologie d'intelligence artificielle pour lutter contre la toxicité dans les chats vocaux de Call of Duty.
• La version 6.5 du noyau Linux est officiellement disponible.
• Le langage de programmation Go prend maintenant en charge les builds reproductibles, une fonctionnalité de sécurité qui peut protéger contre les attaques de chaîne d'approvisionnement.
• Mozilla a publié la version 117 de Firefox, avec de nouvelles fonctionnalités et des correctifs de sécurité.

Outils- 2

• La Fondation pour la sécurité de l'open-source a publié un manifeste de consommation open-source.
• Les utilisateurs de Firefox peuvent désormais importer et exécuter des extensions Chrome dans leur navigateur.
• Mastodon prend en charge la recherche plein texte et offre des modificateurs/filtres pour les résultats.
• Apple a ouvert les inscriptions pour le programme de recherche sur la sécurité des iPhones (SRDP) de cette année, où les chercheurs en sécurité peuvent demander un iPhone configuré pour désactiver les fonctionnalités de sécurité. Depuis le lancement du programme en 2019, Apple affirme que 130 vulnérabilités sur iOS ont été trouvées et plusieurs récompenses de 500 000 $ ont été attribuées pour les rapports de bogues reçus via le programme.
• L'étudiant de l'Université du Michigan a développé un dispositif matériel qui peut être installé sur les voitures modernes et qui empêche les piratages du système d'entrée sans clé de la voiture.
• Un chercheur en sécurité russe a publié le framework EternalHush, un nouveau framework C&C.
• Anvil Secure a open-sourced un outil appelé NosyMonkey pour effectuer le hooking DLL/API.

Outils- 3

• Sysfilters a open-sourcé SysReptor, une solution de sécurité offensive pour générer des rapports de tests d'intrusion.
• Les vidéos des présentations de la conférence de sécurité x33fcon Europe 2023 sont disponibles sur YouTube.
• Keybleed est un nouvel outil qui permet aux utilisateurs de soumettre une clé publique pour savoir si leur clé privée de portefeuille crypto est vulnérable à des exploits connus ou à un RNG faible.
• L'équipe de sécurité Datadog a open-source MKAT (Managed Kubernetes Auditing Toolkit), un outil pour l'audit des environnements Kubernetes.
• Trail of Bits a publié un outil pour vérifier quels pilotes du site Web LOLDrivers.io ne sont pas bloqués par la liste de blocage HVCI locale d'un PC.

Des échanges de cryptoactifs piratés ?

• Le développeur du jeton cryptographique Magnate Finance a volé 6,4 millions de dollars de ses actifs cryptographiques utilisateurs dans une sorte de escroquerie connue sous le nom de 'rug pull'.
• Un attaquant a réalisé un incident de swapping de carte SIM chez Kroll et a obtenu l'accès aux données de trois plateformes de crypto-monnaie.
• Le botnet de cryptomining Kinsing a intégré un récent contournement d'authentification Openfire (CVE-2023-32315) dans son arsenal d'exploitation.

WTF

• pourquoi il faut toujours relire ce qu'on met sur un packaging
• Le problème éternel des objets connectés