Blog

• romain
• 30 octobre 2023
• • Matinale cyber
• • Russie
  • OSINT
  • Citrix
  • USA
  • Okta

La UNE

• 1Password piraté des suites de la compromission d'Okta
• Vulnérabilité d'exécution spéculative dans les navigateurs Apple
• Introducing : Octo Tempest un nouveau TA pas comme les autres
• Kaspersky identifie un "APT américain" : Opération Triangulation
• WU : Hacker des voitures avec de l'OSINT
• WU : trouver la dernière vulnérabilité dans Citrix Gateway
• Misconfigurations dans les Azure AD-joined devices

1Password

• 1Password piraté à cause du piratage d'Okta
  • Conséquence du piratage d'Okta en Janvier 2022
  • Ils ont tenté d'utiliser Malwarebytes version gratuite (!)
  • Détecté par BeyondTrust qui aurait été compromis via Okta

1Password

Annonces

• Meta a verrouillé des comptes Facebook et Instagram postant du contenu pro-Palestine suite à une possible faille de sécurité.
• Twitch autorise ses streamers à diffuser sur plusieurs plateformes en même temps.
• Microsoft s'est engagé à construire un bouclier de cybersécurité pour l'Australie et à investir 5 milliards de dollars australiens pour construire neuf centres de données supplémentaires.
• CISA a fait un don de 6,8 millions de dollars à CYBER.ORG afin de promouvoir l'éducation en cybersécurité dans les écoles K-12.
• L'ANSSI a publié un guide sur la sécurisation des réseaux Active Directory (AD).
• Un rapport de l'OIG du DHS a révélé que les systèmes à haute valeur de la TSA présentaient de graves déficiences en matière de cybersécurité.

Annonces- 2

• Des annonces sponsorisées de comptes vérifiés sur Twitter poussent des escroqueries en ligne ciblant la communauté des cryptomonnaies.
• Une campagne de malvertising a utilisé des annonces Facebook pour cibler des utilisateurs avec des logiciels malveillants.
• QNAP a mis hors ligne un serveur utilisé par un acteur malveillant pour lancer des attaques par force brute contre ses périphériques NAS.
• Apple a publié des mises à jour de sécurité pour iOS sans vulnérabilités zéro-jour.
• La société de défense RTX vend sa division de cybersécurité à la société d'investissement Blackstone pour 1,3 milliard de dollars.
• Les vidéos de la conférence de sécurité Hack In The Box 2023 Phuket sont disponibles sur YouTube.
• La société de cybersécurité Truesec a licencié un certain nombre de ses experts en cybersécurité.

Annonces- 3

• La mise à jour de sécurité mensuelle de Microsoft Patch Tuesday fête ses 20 ans ce mois-ci.
• Le concours de piratage Pwn2Own Toronto, édition mobile et IoT, a lieu à Toronto, Canada.
• Les vidéos des conférences de sécurité Hack.lu 2023 sont disponibles sur YouTube.

Annonces

Arrestations

• L'application CCleaner d'Avast a été compromise dans le cadre des hacks MOVEit de cette année.
• Le Service de sécurité ukrainien a collaboré avec deux groupes de piratage pro-ukrainiens pour pirater Alfa Bank, l'une des plus grandes banques russes.
• Un acteur malveillant prétend vendre l'accès au portail légal des services de Meta.
• La Pologne va enfin enquêter sur l'utilisation de Pegasus par le gouvernement précédent.
• La police nigériane a arrêté six suspects et a démantelé un hub de recrutement et de formation en cybercriminalité à Abuja. Les membres s'occupaient de fraudes sentimentales, de BEC et de schémas d'investissement frauduleux.
• La police nationale espagnole a démantelé un groupe de cybercriminalité qui a généré plus de 3 millions d'euros grâce à des escroqueries en ligne par smishing, phishing et vishing.

Annonces

Arrestations- 2

• Les organismes gouvernementaux mettent en garde contre les escrocs qui profitent du conflit entre Israël et la Palestine en créant des organisations caritatives fictives.
• Arrestation de membre clé du groupe RagnarLocker à Paris, France, avec cinq autres suspects interrogés en Espagne et en Lettonie, et des serveurs saisis en Hollande, Ukraine, Allemagne et Suède.
• Deux suspects de rançongiciel ont été libérés par un juge français, qui a estimé que les preuves contre eux étaient insuffisantes.
• Les cybercriminels ciblent les bureaux et hôpitaux de chirurgie esthétique pour voler des données et extorquer les patients.
• Les chercheurs de Confiant ont publié une analyse des pages d'atterrissage utilisées par le groupe ScamClub, dont l'infrastructure a été mise hors ligne par des partenaires de l'industrie le mois dernier.

Annonces

Industrie

Attaques et Piratages

• Cinq hôpitaux de l'Ontario sont affectés par une cyberattaque sur leur fournisseur d'informatique commun.
• La brèche de l'Université du Michigan a été détectée après que des pirates informatiques aient piraté ses serveurs internes à la fin du mois d'août.
• Cloudflare a détecté des attaques DDoS contre le système d'alerte de missile d'Israël, 12 minutes après le lancement des missiles par Hamas le 7 octobre.
• Un hacker se faisant appeler DiabloX Phantom affirme avoir piraté plusieurs sites web gouvernementaux aux Philippines à cause de mots de passe faibles.
• L'attaque du ransomware Lockbit a visé le réseau de Brookfield Global Relocation Services, une entreprise qui aide le militaire canadien à déplacer ses troupes, ses matériaux et ses installations dans le monde entier et qui a informé le gouvernement canadien que des données personnelles de ses membres ont été compromises.
• Septembre 2023 a été le mois le plus actif de l'histoire pour les gangs de rançongiciels, avec 514 attaques enregistrées.

Attaques et Piratages- 2

• Une botnet géante de crypto-minage a infecté plus de 250 000 PC Windows, principalement en Russie et dans d'autres États soviétiques.
• Une nouvelle famille de rançongiciel nommée BlackDream est utilisée dans des attaques en Asie du Sud-Est.
• Kaspersky a découvert un botnet de minage de crypto-monnaies visant des systèmes Windows comprenant des fonctionnalités de porte-arrière et de keylogging et ayant infecté environ 200 utilisateurs depuis mai.
• Kaspersky a détecté un nouveau logiciel malveillant bancaire qui cible le secteur financier brésilien nommé GoPIX.
• Proofpoint a découvert de nouvelles versions du trojan bancaire Grandoreiro ciblant des institutions financières en dehors du Brésil.
• Le logiciel malveillant Dark Angels utilise le code divulgué de Babuk ransomware pour attaquer les systèmes Windows et un encrypter ESXi similaire à celui utilisé par le groupe RagnarLocker.
• Un botnet de plus de 16 000 appareils infectés lance des attaques de force brute contre l'infrastructure Microsoft Azure, ciblant exclusivement les comptes des cadres dirigeants.

Attaques et Piratages- 3

• Une équipe d'universitaires a développé une attaque de canal latéral nommée iLeakage qui cible les appareils Apple.
• Un acteur malveillant a ajouté un mécanisme de protection (un en-tête d'autorisation HTTP) à un malware qu'il a implanté sur des appareils Cisco IOS XE piratés, ce qui a empêché certains fournisseurs de sécurité de suivre le nombre de dispositifs infectés.
• Les chercheurs de PortSwigger ont appliqué le concept de l'attaque HTTP2 Rapid Reset pour effectuer des attaques par race condition à distance avec un seul paquet TCP.

Data Leaks

• Des informations de permis de conduire et autres données personnelles concernant des milliers d'irlandais ont été divulguées en ligne après que le Gardai irlandais ait laissé un serveur exposé sur internet.
• Un acteur malveillant a compromise le compte d'un collaborateur du support Okta et accédé aux données de certains clients de l'entreprise.
• La ville de Philadelphie enquête sur une possible violation de sécurité du serveur de messagerie de la ville en fin mai.
• Le District de Columbia Board of Elections a confirmé une violation de données après qu'un hacker ait mis en vente ses données sur un forum de piratage.
• Le nombre de fuites de données divulguées publiquement va atteindre un nouveau record en 2022, avec plus de 2100 fuites déclarées cette année, attribuées principalement à l'attaque MOVEit.
• L'équipe de l'application de suivi du temps Harvest a mis trois ans à corriger une faille qui révélait les jetons OAuth de ses clients.

Threat Intel

Threat Intel

Menaces

• Cyber Resistance a piraté un officier militaire russe pour révéler comment des mercenaires cubains sont recrutés et transportés en Russie pour combattre en Ukraine.
• L'administration du service de messagerie instantanée Jabber.ru a découvert une attaque Man-in-the-Middle interceptant le trafic TLS chiffré sur ses serveurs allemands.
• Le système de base de données Giant Oak Search Technology (GOST) est utilisé par ICE pour trouver des messages sur les médias sociaux défavorables à l'entrée des États-Unis.
• Le FTC des États-Unis a publié un rapport sur les rapports relatifs au cybercrime et au ransomware reçus au cours des dernières années.
• Le groupe Octo Tempest a menacé des employés de ses victimes de violences physiques et de tirs d'armes à feu pour leur extorquer des informations de connexion.
• DataBreaches.net analyse des attaques récentes menées par un groupe d'extorsion appelé Hunters International, qui pourrait être une nouvelle marque du groupe de rançongiciel Hive.

Threat Intel

Menaces - 2

• Le groupe de cybercriminalité vietnamienne Ducktail utilise le service de logiciel malveillant DarkGate pour ses opérations.
• Le rapport de paysage des menaces d'ENISA a révélé une hausse significative des attaques d'ingénierie sociale et des infostealeurs en tant que principale menace malware, ainsi qu'une baisse du malware mobile classique et une augmentation des opérations de maintien de l'ordre.
• Le botnet StripedFly est suspecté d'avoir infecté plus d'un million de PC Windows et Linux depuis 2017, en utilisant une version personnalisée de l'exploit EternalBlue.
• ThreatMon examine Riddle, un nouveau logiciel de vol d'informations annoncé dans l'underground du hacking et probablement lié à un développeur russe.
• La sécurité de Walmart examine une campagne récente d'IcedID exploitant GitLab.
• Les chercheurs de Fortinet ont analysé ExelaStealer, un nouveau voleur d'informations qui est actuellement vendu sur des forums de piratage du dark web.
• PwC observe une nouvelle variété de malware .NET utilisée par le groupe APT Iranien Yellow Liderc et contrôlée par des messages emails.

Threat Intel

Menaces - 3

• L'opération Triangulation cible des diplomates étrangers travaillant en Russie et des employés de Kaspersky et utilise un implant iOS pour voler des données et suivre la localisation GPS.

Threat Intel

Malware

• L'Observatoire Internet de Stanford analyse le modèle de modération de Mastodon et comment il pourrait être abusé pour la propagande en ligne.
• Dragos publie une analyse technique de MOUSEHOLE, un des modules de l'environnement malveillant PIPEDREAM du groupe Chernovite.
• CyFirma a publié un rapport sur Craxs, un RAT développé par un développeur syrien, qui a ajouté un composant dropper pour faciliter le déploiement de charges utiles/strains de malware supplémentaires.
• Les chercheurs d'Antiy ont publié une analyse du ransomware Play.
• La firme de sécurité chinoise Tinder Security Labs a analysé des attaques utilisant le ransomware Mallox contre des bases de données MS-SQL.
• Vlad Pasca de SecurityScorecard analyse le ransomware Cactus, initialement repéré en mars 2023.

Threat Intel

Malware- 2

• Embee a publié trois articles sur l'analyse des charges utiles de Cobalt Strike.
• L'équipe CERT de Pologne a rétro-ingénieré XWorm, un célèbre cheval de Troie à distance.
• OALABS analyse Origin Logger, un nouveau voler .NET et un clone/successeur possible du vieux malware très populaire Agent Tesla.
• Les chercheurs en sécurité ont publié une analyse du botnet de crypto-mineur WatchDog.
• Les chercheurs d'Uptycs ont publié un rapport sur QuasarRAT et ses techniques de chargement latéral de DLL, conçues pour déposer, déployer et exécuter des charges utiles malveillantes sans éveiller de soupçons.
• L'équipe de sécurité Carbon Black de VMware étudie le Malware-as-a-Service (MaaS) LummaStealer.

Threat Intel

APTs

• L'attaque contre la Cour pénale internationale était ciblée et sophistiquée avec pour but l'espionnage, mais le responsable n'a pas été révélé.
• Un tribunal de Moscou a rejeté l'appel déposé par l'ancien PDG de Group-IB, Ilya Sachkov, pour obtenir l'annulation de sa peine d'emprisonnement.
• Infoblox a découvert une nouvelle technique RDGA (Registered Domain Generation Algorithm) utilisée par un APT chinois.
• Kaspersky a découvert une porte dérobée basée sur Go utilisée pour voler des données sensibles des organisations gouvernementales et industrielles russes.
• L'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) française a publié un rapport sur les techniques d'opération de APT28 datant de 2021.
• Le groupe APT Winter Vivern a exploité une vulnérabilité zero-day pour compromettre des serveurs webmail Roundcube appartenant à des entités gouvernementales européennes.

Threat Intel

APTs- 2

• L'équipe de recherche Sekoia a étudié les activités et la structure interne du groupe APT lié à Hamas, AridViper, basé en Palestine et toujours actif.
• Les chercheurs en sécurité ont publié une analyse de CrimsonRAT, un malware utilisé par le groupe d'espionnage cybernétique pakistanais APT36.
• Un preuve de concept du récent zero-day Atlassian Confluence (CVE-2023-22515) a été ajoutée au framework Metasploit après que plusieurs développeurs d'exploits aient publié des preuves de concept en ligne.

Campagne et Exploitations

• Symantec observe de nouvelles campagnes utilisant le malware BbyStealer.
• La campagne de malware DuckTail cible les utilisateurs italianophones via LinkedIn.

Vulnérabilités

• Une société chinoise de sécurité a découvert un faux PoC associé à une vulnérabilité GeoServer (CVE-2023-25157) infecté par VenomRAT utilisé pour attirer et cibler les chercheurs en sécurité.
• Les chercheurs d'Avast ont analysé le ransomware Rhysida, repéré pour la première fois en mai cette année.
• Kaspersky a publié la troisième partie de son rapport sur l'opération Triangulation, qui couvre l'exploit iOS utilisé pour livrer le malware sur les appareils ciblés.
• Google a étendu son programme de recherche de vulnérabilités pour couvrir les technologies d'intelligence artificielle générative.
• Une vulnérabilité 0-day dans Windows peut empêcher le système d'appliquer le Mark-of-the-Web sur des documents malveillants, bien qu'aucun scénario d'attaque réaliste n'ait été trouvé.
• Une vulnérabilité RCE (CVE-2023-46747) a été trouvée dans le chargeur de balance F5 BIG-IP, pour laquelle des mises à jour de sécurité et un script de mitigation ont été publiés.

Vulnérabilités- 2

• Des chercheurs de Salt Security ont découvert une vulnérabilité dans les implémentations OAuth de Grammarly, Vidio et Bukalapak qui peut être exploitée pour pirater des comptes utilisateurs.
• Un chercheur en sécurité a découvert des algorithmes de hachage faibles utilisés dans deux bibliothèques de cryptographie JavaScript.
• Horizon3 a publié un exploit de preuve de concept théorique pour deux récents zéro-jour Cisco IOS XE (CVE-2023-20198 et CVE-2023-2073).
• Les chercheurs de WithSecure ont publié des détails sur une évasion du mode App Unique, une fonction qui verrouille un appareil iOS pour exécuter une seule application.
• Les chercheurs Shielder ont publié une analyse sur la vulnérabilité CVE-2023-33466 d'Orthanc, un logiciel open-source pour gérer, échanger et visualiser les données d'imagerie médicale.
• Les chercheurs d'Assetnote ont publié une analyse de la vulnérabilité CVE-2023-4966 dans les appareils Citrix ADC et NetScaler qui a été patchée le 10 octobre et exploitée en milieu réel depuis fin août.
• Des vulnérabilités ont été identifiées dans l'application de gestion de liste de diffusion ListServ et le fournisseur n'a pas répondu à la divulgation des vulnérabilités.

Vulnérabilités- 3

• Des chercheurs en sécurité ont découvert huit vulnérabilités dans les VPN SSL SonicWall, qui ont été corrigées.
• VMware a publié des mises à jour de sécurité pour ses produits Aria et Fusion.
• SolarWinds a publié des mises à jour de sécurité pour sa plateforme de gestion des droits d'accès, corrigeant trois RCE de niveau 9,8/10.
• Une preuve de concept pour la vulnérabilité Zenbleed qui fonctionne dans le navigateur Chrome a été publiée.

Articles

• Patrick Garrity de Nucleus Security analyse l'impact de la nouvelle section « ransomware » de CISA KEV sur la gestion des vulnérabilités et les opérations de mise à jour.

Géopolitique

• Apple et Google ont désactivé les données en temps réel de leurs applications de cartographie à la demande du gouvernement de Tel Aviv.
• Des utilisateurs vérifiés de Twitter ont propagé 74% de la dés/mésinformation la plus virale autour du conflit Israël-Hamas durant la semaine passée.
• Le service de renseignement de Moldavie a bloqué l'accès à 22 sites russes pour avoir mené une 'guerre d'information'.
• La Roskomnadzor de Russie bloque l'accès à 167 services VPN et plus de 200 fournisseurs de messagerie étranger et à plus de 590 000 pages web.
• Une coalition mondiale de sociétés de technologie, d'universitaires et d'experts en vie privée et en cybersécurité a publié une lettre ouverte demandant aux gouvernements de cesser d'essayer de contourner le chiffrement de bout en bout.
• Une campagne de désinformation chinoise appelée Spamouflage cible des législateurs et des institutions publiques canadiennes.

Géopolitique- 2

• L'armée des Philippines met en garde contre l'utilisation de l'intelligence artificielle en raison des risques de sécurité.
• Le gouvernement philippin recrute des personnel pour sa propre structure similaire à la Cyber Command dans ses forces militaires.
• Le département d'État des États-Unis a publié un rapport sur Nova Resistencia, un organisation quasi-paramilitaire néo-fasciste brésilienne formée par un réseau de désinformation et de propagande pro-Kremlin.
• L'ambassade russe au Burkina Faso a été impliquée dans une tentative de diffuser des points de vue anti-occidentaux en Afrique.
• Le tout premier APT Kazakh cherche à se déguiser comme Azerbaidjanais

Data Sécu

• Plus de 55 000 caméras de sécurité privées sont installées aux Pays-Bas, dont certaines enfreignent les règles de protection des données personnelles de l’UE.
• 41 États américains et le District de Columbia poursuivent la société Meta pour qu'elle réponde de ses algorithmes et fonctionnalités destinés à rendre addict les enfants et adolescents à ses plateformes Instagram et Facebook.
• Corbado n'apprécie pas la mise en place des passkeys par Amazon.
• Selon une enquête de Tines auprès de 900 professionnels de la sécurité, environ 63% souffrent d'un certain degré d'épuisement professionnel après avoir vu leurs charges de travail augmenter au cours de l'année dernière.
• L'UE a reporté le vote pour sa législation sur le contrôle des conversations pour la deuxième fois la semaine dernière.

Outils

• Les versions actuelles d'aperçu du Insider de Windows 11 prennent en charge le chiffrement SMB pour les connexions sortantes.
• Google travaille sur une fonctionnalité qui masquera l'adresse IP des utilisateurs sous un réseau de proxies dans Chrome.
• Mozilla a publié Firefox 119 avec des fonctionnalités et des correctifs de sécurité, dont la plus grande est l'édition de fichiers PDF.
• Google Cloud annonce Falcon, une nouvelle couche de transport exploitant l'accélération matérielle pour améliorer les connexions Ethernet dans les centres de données.
• Microsoft Security Copilot, un assistant similaire à GPT4, est maintenant en accès anticipé pour aider les professionnels de la sécurité à mener des enquêtes sur les incidents de sécurité et à effectuer d'autres tâches.
• Le projet OpenSSL a ajouté le support du protocole Raw Public Keys.

Outils- 2

• Les organismes de cybersécurité des États-Unis ont publié une mise à jour de leur guide StopRansomware avec des conseils de prévention pour le durcissement des protocoles SMB, des étapes de réponse mises à jour et des connaissances en recherche de menaces.
• 10 paquets npm malveillants ont été découverts la semaine dernière.
• Le Projet Tor a publié les résultats d'une récente analyse de sécurité du navigateur Tor et de plusieurs autres systèmes associés.
• NCC Group a mené une audit de sécurité du protocole Zcash FROST.
• Black Hills Information Security a libéré un outil nommé GraphRunner, un ensemble d'outils d'exploitation post-exploitation pour interagir avec l'API Microsoft Graph.
• FalconForce a open-sourcé un outil multi-équipe FalconHound.
• Delegate, un outil open source pour abuser de la délégation à l'échelle du domaine GCP et accéder aux données Drive et Gmail des utilisateurs Workspace à partir d'un compte de service GCP compromis.

Outils- 3

• RoseSecurity Research a open-sourcé WolfPack, un outil permettant le déploiement à grande échelle de redirecteurs pour l'équipe rouge.
• Le chercheur en sécurité Hexacorn a publié une liste qui relie les identifiants d'extensions Chrome à leurs noms réels.

Des échanges de cryptoactifs piratés ?

• Un acteur malveillant a volé plus de 825 000 $ de crypto-actifs de la plateforme DeFi Hope Lend.
• Plus de 7 milliards de dollars en actifs cryptographiques ont été blanchis via des services inter-chaînes, dont 2,7 milliards en un an seulement.

OSEF (USA)

• Clearview AI annule une amende de l'ICO pour avoir vendu ses services uniquement aux gouvernements étrangers et à leurs agences de l'application de la loi.
• Discord a modifié ses conditions d'utilisation et remplace les bannissements permanents par des avertissements.
• La loi sur la sécurité en ligne est devenue une loi officielle au Royaume-Uni, imposant aux entreprises technologiques de prendre des mesures contre le contenu illégal.
• La TSA a annoncé des mises à jour de trois directives réglementant la cybersécurité pour les transporteurs de passagers et de fret.

WTF

• Un alternant d'OCD vendait des malwares
• Les meilleurs memes du directeur de la NSA

WTF

WTF

WTF

original sur twitter