• romain
• 24 septembre 2023
• • Matinale cyber
• • Microsoft
  • Espionnage
  • Cryptographie

Matinale Cyber

25 Septembre 2023

La UNE

• Signal ajoute les suites de chiffrement post-quantiques à ses messages
• Descente de police chez Scaleway et OpCore pour couler les pirates d’UpToBox
• Sherlock, le successeur de Pegasus (on en a pas assez parlé)
• Grosse fuite de données de Microsoft

Annonces

• ICANN ouvre de nouvelles extensions génériques de TLD.
• La mission Hunt-Forward de CyberCom a réussi sa deuxième mission en Lituanie pour aider le gouvernement local à rechercher des logiciels malveillants sur ses réseaux internes.
• Le FBI IC3 a publié une annonce de service public avertissant des groupes en ligne visant les mineurs et les extorquant pour enregistrer des contenus CSAM.
• Cisco a publié six mises à jour de sécurité.
• Le mardi de mise à jour des patchs a eu lieu le 20 septembre 2023, avec des mises à jour de sécurité fournies par Adobe, Microsoft, Chrome, Cisco, Zoom, Asus, Siemens et SAP.
• QNAP a publié trois mises à jour de sécurité pour ses produits.

Annonces - 2

• Le rapport bi-annuel de VISA contient des informations sur les menaces les plus notables pour l'écosystème des paiements.
• Meta teste une version bêta de WhatsApp avec des fonctions de messagerie multiplateforme pour se conformer à la nouvelle loi européenne sur les marchés numériques (DMA).
• La Maison Blanche a demandé aux pays membres de l'Initiative contre le Ransomware de s'engager publiquement à ne pas payer de rançons aux cybercriminels.

Annonces

Arrestations

• Caesars a payé une rançon de 15 millions de dollars à un groupe de piratage connu sous le nom de Scattered Spider. Le groupe de piratage a également attaqué le MGM Resorts cette semaine.
• Le FBI attribue le vol de crypto-actifs de 41 millions de dollars à des hackers nord-coréens liés au groupe Lazarus.
• Le service de renseignement israélien Shin Bet enquête sur un piratage présumé de 15 membres de Yesh Atid, le principal parti d'opposition israélien.
• Les procureurs français ont fait appel du cas PyLocky, qui a été rejeté en raison d'erreurs administratives dans un document de cour.
• Rui Pinto, le pirate derrière le scandale Football Leaks, a été condamné à une peine de prison avec sursis de quatre ans.
• Check Point a identifié une opération massive de hameçonnage visant plus de 40 entreprises colombiennes au cours des deux derniers mois avec le RAT Remcos.

Annonces

Arrestations- 2

• Le ministère de la sécurité publique chinois a reçu 1 207 suspects du gouvernement myanmar pour des fraudes téléphoniques et des schémas d'extorsion.
• Un hacker coréen du sud a été arrêté pour avoir créé et vendu des comptes en ligne qui portaient le même nom que des employés de grandes entreprises et institutions publiques.
• La Fondation Shadowserver analyse les infections de bots liées à Qakbot, principalement aux États-Unis, en Europe et en Inde. Il y a deux semaines, le FBI a démantelé Qakbot.
• Un acteur malveillant vietnamien appelé MrTonyScam mène des campagnes de spam sur Facebook Messenger avec des pièces jointes malveillantes pour voler des cookies et des informations d'identification.

Annonces

Industrie

• Unity ajoute des frais de runtime qui coûtent $0.2 par installation de jeu et par mois, ce qui risque de handicaper de nombreuses sociétés de jeux vidéo, notamment dans le marché mobile.

Attaques et Piratages

• Retool a été victime d'un piratage lié à une vague de piratages d'Okta, où des attaquants ont utilisé une voix deepfake pour contourner les protections MFA.
• Une 'question de sécurité numérique' a forcé le groupe hôtelier MGM Resorts à mettre hors ligne certains de ses systèmes informatiques, affectant ses propriétés aux États-Unis.
• L'hébergement d'e-prints arXiv est confronté à une attaque DDoS qui a mis à genoux ses systèmes de messagerie. L'attaque a été menée avec seulement 200 adresses IP, dont la plupart appartenant à un FAI chinois.
• Le groupe de faux pirates informatiques Anonymous Sudan a lancé une série d'attaques DDoS contre Telegram après la suppression de leur chaîne officielle.
• Une attaque de chaîne d'approvisionnement a été détectée sur le site Web de l'application Free Download Manager, qui a redirigé certains utilisateurs Linux vers un package malveillant en 2015.
• Deux extensions Twitch, Pando et Stream Alerts TV, ont été compromises et utilisées pour poster du spam et des insultes sur les flux Twitch ce week-end.

Attaques et Piratages- 2

• Une attaque de ransomware a crypté les serveurs de messagerie gérés par le gouvernement sri-lankais, causant une perte importante de données.
• Un groupe de hacktivistes ukrainiens a piraté un officier militaire russe et a publié des documents montrant que la Russie recrute des citoyens cubains pour combattre en Ukraine.
• Un nouveau logiciel malveillant Android appelé Lydia a été détecté, utilisé pour cibler les citoyens iraniens.
• La version Sphynx du ransomware AlphV contient de nouvelles fonctionnalités conçues pour crypter les comptes Azure Storage.
• Le malware Bumblebee est toujours actif et se propage dans la nature. Après le démantèlement de Qakbot par le FBI, surveillez cette menace (ainsi que IcedID).
• L'équipe de sécurité de Rostelecom a développé un décrypteur pour le ransomware HardBit, permettant de récupérer les fichiers cryptés par les versions 2 et 3.
• Kaspersky a détecté une fausse application Telegram infectée par un logiciel espion sur le Google Play Store, ciblant les utilisateurs parlant chinois.

Attaques et Piratages- 3

• Des acteurs malveillants peuvent créer des vers qui se propagent et compromettent des projets via GitHub Actions.
• WiKI-Eve est une nouvelle attaque Wi-Fi qui peut espionner les frappes sur les smartphones modernes.

Data Leaks

• Une fuite de données a eu lieu chez Rollbar, qui a réinitialisé tous les jetons des clients après qu'un acteur malveillant ait accédé à son réseau interne.
• Plus de 4,3 millions de données clients de MalindoAir (maintenant détenu par Batik Air) ont été fuites en ligne et indexées par le service Have I Been Pwned.
• Un acteur malveillant nommé USDoD a publié les données de 3 200 fournisseurs et employés d'Airbus sur un forum de piratage.
• L'association néerlandaise de football a payé une rançon non divulguée à la bande de rançongiciels Lockbit pour empêcher la fuite de données sensibles sur les joueurs en ligne.
• Une fuite de données a exposé les données personnelles de plus de 836'000 utilisateurs de Dymocks.
• La plateforme de jeu Traderie a été victime d'une fuite de données cette année.

Threat Intel

Threat Intel

Menaces

• L'armée américaine se concentre sur l'OSINT et propose des cours plus largement accessibles à travers la communauté de l'intelligence.
• Le Conseil de l'Europe appelle à des enquêtes sur les logiciels espions et demande aux gouvernements de plusieurs pays de s'expliquer sur leur utilisation de logiciels espions tels que Pegasus.
• Le NCSC du Royaume-Uni publie un rapport sur l'évolution de l'écosystème de rançongiciel et de l'écosystème de cybercriminalité qui le soutient.
• Les forces de l'ordre de New York ont dépensé des millions de dollars pour suivre l'activité sur les médias sociaux.
• Des entreprises israéliennes développent des technologies pour déployer des logiciels espions via des annonces en ligne.
• Les chercheurs de Prodaft ont publié des IOCs concernant le groupe PTI-257, un membre de l'ancien groupe Wizard Spider (Ryuk/Trickbot/Conti) qui travaille actuellement comme affilié de Lockbit RaaS.

Threat Intel

Menaces - 2

• CISA, le FBI et la NSA ont publié un avertissement conjoint sur l'augmentation exponentielle des deep fakes en ligne.
• Selon un rapport publié par Europol, les attaques basées sur des malwares restent la forme d'intrusion la plus fréquente dans les entreprises du monde entier.
• Une analyse a été faite de l'infrastructure de phishing d'un groupe connu sous le nom de Prohqcker qui mène des opérations de smishing ciblant des banques américaines et l'Office australien des impôts.
• Storm-0324 utilise TeamsPhisher, un outil open-source, pour mener des opérations de hameçonnage via Microsoft Teams et vendre l'accès à des réseaux d'entreprise compromis à des gangs de rançongiciels.
• Le chercheur en sécurité Gi7w0rm a découvert un acteur malveillant, DDGroup, qui mène des campagnes de malspam depuis des années pour diffuser des trojans d'accès à distance.
• L'équipe d'IBM X-Force analyse les campagnes de phishing et les infections récentes par DBatLoader (ModiLoader).
• Une équipe de Fortinet a découvert un nouveau chargeur de famille appelé OriginBotnet, qui est utilisé pour déployer le chargeur de second stade RedLine Infostealer.

Threat Intel

Menaces - 3

• K7 Computing a publié un rapport sur le RomCom RAT, un cheval de Troie d'accès à distance développé par le groupe à l'origine du ransomware Cuba.
• Kaspersky a fait un rapport sur le groupe Cuba et ses opérations, impliquant sa famille de rançongiciels et d'autres outils, dont une possible tentative de rebranding de Cuba à V for Vendetta.
• L'équipe de sécurité Akamai analyse les algorithmes de génération de domaines (DGA) utilisés par les botnets Necurs et Pushdo.
• Le groupe d'espionnage nord-coréen Konni a adopté la vulnérabilité WinRAR CVE-2023-38831 0-day pour ses opérations de phishing.
• L'APT37 (Reaper) est l'un des groupes d'espionnage nord-coréens les plus actifs cette année.
• Qihoo360 accuse la NSA d'avoir piraté le réseau de l'université polytechnique de Xi'an en juin de l'année dernière.
• Le groupe d'espionnage iranien Peach Sandstorm (Holmium, APT33) a mené des attaques de pulvérisation de mots de passe contre des milliers d'organisations à travers le monde.

Threat Intel

Menaces - 4

• RFA DPRK a une série de trois vidéos sur le fonctionnement des hackers nord-coréens.
• Un acteur malveillant chinois nommé Spamouflage Dragon a été observé en train de promouvoir la propagande pro-CCP sur la plate-forme alt-right Gab.

Threat Intel

Malware

• Fox-IT examine comment le trojan bancaire ERMAC Android a évolué en la souche Hook.
• Zscaler a détecté un nouveau chargeur de logiciels malveillants nommé HijackLoader utilisé pour déposer plusieurs familles de logiciels malveillants.
• Corelight a publié des règles de détection pour le malware Gozi.
• Un étude académique a montré que 72% des bibliothèques Python malveillantes persistaient dans les sites miroirs PyPI même après leur suppression du site principal PyPI.

Threat Intel

APTs

• Les chercheurs en sécurité ont trouvé des traces du logiciel espion Pegasus sur l'iPhone de Galina Timchenko, la directrice de l'agence de presse russe indépendante Meduza.
• Le groupe d'espionnage pakistanais APT36 utilise un nouveau backdoor Windows appelé ElizaRAT.
• Les chercheurs de Qihoo360 ont analysé EarlyRAT, une nouvelle souche de malware développée et utilisée par l'APT Lazarus.
• Le groupe APT iranien Ballistic Bobcat a compromis 34 entreprises à travers le monde en utilisant une nouvelle porte dérobée nommée Sponsor.
• Le groupe de cyber-espionnage chinois Redfly a compromis un réseau d'énergie nationale d'un pays asiatique au début de cette année.
• L'équipe de sécurité chinoise Antiy a publié un rapport sur le malware Android et les campagnes de l'APT présumé pakistanais Confucius.

Campagne et Exploitations

• Une campagne de phishing cible des hôtels à travers le monde pour voler des informations.
• Des campagnes de rançongiciels utilisent des vols d'informations comme Vidar et RedLine comme points d'entrée.
• Une nouvelle malveillance nommée MidgeDropper est distribuée par des campagnes de malspam.
• Une nouvelle campagne de cryptomining cible les serveurs via des comptes SSH faibles.
• Une campagne de piratage ciblant des cibles azerbaïdjanaises a été détectée avec des logiciels malveillants en Rust.
• Des groupes APT exploitent la vulnérabilité BlueShell dans le cadre de campagnes.

Campagne et Exploitations- 2

• Une campagne ScarCruft/Reaper exploite le rejet récent d'eau traitée de la centrale nucléaire de Fukushima.

Vulnérabilités

• Les propriétaires de voitures ont trouvé une méthode pour charger des applications non approuvées sur leurs voitures Android.
• Symantec a découvert un nouveau verrouillage de ransomware Rust-based nommé 3AM.
• Un nouveau botnet Mirai-basé nommé CatDDoS a été découvert par la firme chinoise QiAnXin. Il exploite des vulnérabilités n-jour pour compromettre des appareils.
• Des chercheurs Orca ont découvert huit vulnérabilités XSS dans Azure HDInsight, un service d'analyse Azure.
• Gabe Kirkpatrick a découvert la vulnérabilité ThemeBleed (CVE-2023-38146) dans le framework Windows Themes et a publié un PoC.
• Les chercheurs de Checkmarx ont identifié une vulnérabilité sur GitHub qui peut être exploitée pour pirater les dépôts des autres utilisateurs.

Vulnérabilités- 2

• Microsoft a publié 66 correctifs dont deux zero-days identifiés comme CVE-2023-36761 et CVE-2023-36802.
• Google et Mozilla ont publié des mises à jour de sécurité pour Chrome et Firefox afin de corriger une faille zéro jour exploitée activement.
• Adobe a corrigé une vulnérabilité zéro jour dans Acrobat et Reader.
• Les chercheurs de Wordfence ont découvert des vulnérabilités SQLi et XSS dans le plugin WordPress Slimstat Analytics, avec plus de 100 000 installations concernées. Une mise à jour de sécurité est disponible depuis la fin août.
• Les groupes de rançongiciel Akira et Lockbit exploitent une faille 0-day (CVE-2023-20269) dans les VPN Cisco ASA et les pare-feux Cisco FTD pour accéder aux réseaux d'entreprise.
• WatchTower Labs a publié un article et une preuve de concept pour une vulnérabilité de type RCE dans l'application web Orbeon Forms.
• Les chercheurs de BugProve ont identifié 33 vulnérabilités dans les caméras de sécurité IP Zavio, dont 7 sont des vulnérabilités d'exécution de code à distance pré-authentification.

Vulnérabilités- 3

• Des chercheurs de Nozomi ont découvert neuf vulnérabilités dans les applications Windows de Schweitzer Engineering Laboratories (SEL).

Articles

Géopolitique

• La Suisse rejoint Mastodon après les Pays-Bas, l'Allemagne, l'UE et d'autres.
• Le DOD a publié sa stratégie en matière de cybersécurité pour 2023, qui se concentre sur l'amélioration des partenariats avec les alliés, la défense en avant et la construction d'une force cyber résistante, et considère la Chine et la Russie comme ses principaux adversaires.
• CISA tente de promouvoir l'idée d'un système d'alerte nationale pour la cybersécurité afin d'avertir les entreprises et les citoyens des incidents de cybersécurité majeurs.
• Le rapport de Financial Times affirme que l'écosystème de la cybercriminalité turque connaît une forte croissance suite à l'arrivée de pirates informatiques russes qui fuient le service militaire.

Data Sécu

• Le navigateur Vivaldi a désactivé l'API Topics (Privacy Sandbox) dans son navigateur basé sur Chromium.
• La FTC accuse Elon Musk d'avoir négligé les pratiques de sécurité et de confidentialité de Twitter en violation d'une ordonnance de 2022.
• Une étude du Centre pour le contre-discours numérique a révélé que Twitter ne remplit pas ses devoirs de modération et ne supprime pas l'incitation à la haine sur sa plateforme.

Outils

• Microsoft annonce une nouvelle fonctionnalité pour Windows 11 qui empêche l'envoi des hachages NTLM via des connexions SMB sortantes.
• Le plugin WordPress ActivityPub permet la publication croisée sur le réseau Fediverse.
• Google a publié la version 117 de Chrome avec des modifications de sécurité et des changements liés au développement web.
• Google annonce un nouveau design pour le Chrome Web Store.
• CISA a publié une feuille de route pour sécuriser l'écosystème du logiciel open source.
• 28 paquets malveillants npm ont été découverts la semaine dernière.

Outils- 2

• SentinelOne a découvert un nouvel infostealer ciblant les systèmes macOS nommé MetaStealer.
• OWASP a finalisé la version 2023 des risques de sécurité API Top 10.
• Snyk a publié une extension Burp open source nommée SocketSleuth pour aider à tester les applications basées sur WebSocket.

Des échanges de cryptoactifs piratés ?

Drama

WTF