• romain
• 5 novembre 2023
• • Twitter
  • Signal
  • EU

Matinale Cyber

05 Novembre 2023

La UNE

• New CVSS v4.0 Released - What's New!
• France says Russian state hackers breached numerous critical networks
• SeDebugPrivilege - Pentest Party
• The surprisingly subtle ways Microsoft Word has changed how we use language - BBC Future
• Dramatic reversal: Philippines announces full termination of 6 #BeltandRoad projects in favor of Japan and Western options. Why the Philippines is exiting the BRI, by AsiaTimes
• Due to the new EU Digital Service Act (DSA), Twitter had to disclose the number of its staff working on content moderation issues (2294) and their language skills. It is even worse than what was expected.https://cy-report.html#/…
• Une équipe d'experts en sécurité a analysé le nouveau protocole post-quantum de Signal, PQXDH.

OSEF (USA)

• Un juge américain a rejeté une plainte intentée par la veuve du journaliste assassiné Jamal Khashoggi contre le fournisseur d'espionnage israélien NSO Group.
• Google s'est engagé dans une campagne mondiale pour contrer l'utilisation des bloqueurs de publicité sur YouTube, en les bloquant ou en les obligeant à souscrire à YouTube Premium.
• L'UE interdit à Meta de traiter les données des utilisateurs de l'UE à des fins publicitaires ciblées sans leur consentement explicite.
• Microsoft va bloquer les contrôleurs et accessoires Xbox non autorisés à partir du 12 novembre 2023, ce qui aura un impact sur les tricheries dans les jeux vidéo.
• Meta introduit un abonnement payant en Europe pour ses services Facebook et Instagram, en réponse à la réglementation GDPR.
• Le Canada interdit l'utilisation des applications WeChat et Kaspersky sur les appareils mobiles utilisés par le gouvernement à cause d'un niveau de risque 'inacceptable' pour la vie privée et la sécurité.

OSEF (USA)- 2

• Les démocrates de la Chambre des représentants ont présenté une loi nommée le Facial Recognition Act qui exige que les agences de l'application de la loi obtiennent un mandat avant d'utiliser la technologie de reconnaissance faciale pour identifier un suspect.
• Le Parlement britannique a adopté une nouvelle loi facilitant la saisie de devises cryptographiques et fiduciaires liées au blanchiment d'argent et à d'autres activités frauduleuses.

Des échanges de cryptoactifs piratés ?

• Un acteur malveillant a volé 2,1 millions de dollars de crypto-actifs de la plateforme DeFi Onyx Protocol en exploitant le marché de l'illiquidité.

Outils

• Google a lancé un nouveau domaine de premier niveau (TLD) nommé ING qui nécessite l'utilisation de HTTPS.
• Google a sorti la version 119 de Chrome avec des changements concernant les cookies, le support d'Android Nougat, la désactivation de WebSQL et la synchronisation de Tab Groups.
• Samsung a lancé un nouveau système de sécurité, Auto Blocker, qui empêche l'installation d'applications externes et bloque les opérations de chargement latéral d'applications.
• Windows 11 contient une fonctionnalité qui permet de repérer automatiquement des serveurs DNS cryptés sur le réseau local
• Mastodon a mis à jour sa plateforme pour permettre aux utilisateurs d'avoir plus de contrôle sur leurs onglets d'accueil grâce aux listes.
• Apple a dévoilé le fonctionnement de la nouvelle fonctionnalité de vérification des clés de contacts iMessage pour afficher des alertes dans les conversations cryptées.

Outils- 2

• Le Royaume-Uni a lancé un service DNS sécurisé nommé PDNS, qui est disponible pour les organisations du gouvernement central et local, le NHS, les services d'urgence, le ministère de la Défense et les écoles.
• CISA et HHS ont publié un kit de sécurité conjoint destiné aux organisations du secteur de la santé.
• Quatre paquets malveillants ont été découverts sur npm la semaine dernière. Consultez le portail d'alerte de sécurité de GitHub pour plus de détails.
• La plateforme de récompenses pour bugs a dépassé le seuil de 300 millions de dollars de récompenses payées aux chercheurs en sécurité.
• Cycode Labs a publié un nouvel outil open-source appelé Raven qui peut scanner massivement les workflows CI/CD de GitHub Actions et signaler la présence de vulnérabilités et autres problèmes.
• Elliot Killick a publié un outil nommé LdrLockLiberator qui peut déverrouiller des DLLs et effectuer des hijacks de DLLs.
• Cilium a publié en open source Tetragon, une solution de sécurité basée sur eBPF pour les environnements Kubernetes.

Outils- 3

• MITRE a publié la nouvelle version 14 du framework ATT&CK avec des mises à jour pour les sections Entreprise et Mobile, Assets in ICS et Structured Detections Mobile.
• Un nouvel outil, Cascade, a été publié par des chercheurs de l'université ETH Zurich pour tester la sécurité des processeurs RISC-V.
• Steffen Vogel a créé une feuille de calcul comparant tous les principaux jetons de sécurité USB.
• CISA a ré-édité LME, un outil pour la gestion des journaux sur les périphériques Windows.
• La version 3 du scanneur de vulnérabilité Nuclei est désormais disponible.
• Cloudflare a open source un outil intitulé HAR File Sanitizer pour supprimer les fichiers de cookie d'authentification des fichiers HTTP Archive.
• Pentragrid a open-sourcé un outil nommé Archive Pwn qui peut créer des fichiers archives piégés pour tester des vulnérabilités et des exploits.

Outils- 4

• Konstantin a lancé un nouvel outil nommé CVECrowd pour montrer les CVEs les plus populaires et discutés sur Mastodon.
• Peter Geissler a publié un exploit PoC pour les caméras IP Wyze, prétendant que Wyze avait patché uniquement le modèle utilisé pour le concours Pwn2Own et pas les autres modèles.
• Nucleus Security a étudié les principales sources d'informations sur les vulnérabilités et leur chevauchement.

Data Sécu

• Investigation de l'EFF sur GoGuardian qui révèle des faux positifs qui signalent des sites web inoffensifs comme des contenus nocifs et qui créent du stress inutile pour les enfants surveillés.

Géopolitique

• Plus de 300 experts en cybersécurité et ONG demandent à l'UE d'abandonner ses nouvelles régulations eIDAS qui pourraient faciliter la surveillance et l'interception des communications chiffrées en ligne.
• Une enquête de Rolling Stone révèle que des dirigeants d'HBO ont utilisé des réseaux de trolls Twitter pour harceler des critiques de télévision qui donnaient des avis négatifs sur leurs spectacles.
• Les réseaux sociaux chinois demandent aux utilisateurs à plus de 500 000 followers de fournir leur vrai nom pour lutter contre les critiques et les fausses nouvelles.
• La Maison Blanche a publié les résultats de la troisième réunion de l'Initiative internationale contre le rançongiciel (CRI).
• Vingt-huit pays et l'Union européenne ont signé la Déclaration de Bletchley pour la coopération sur le développement sûr des technologies d'IA.
• Le ministère russe du développement numérique développe une solution multiscanner nommée 'National Multiscanner', modélisée sur le service VirusTotal de Google et attendue en test cette année.

Géopolitique- 2

• Une nouvelle stratégie national et des règles et normes introduites par l'administration Biden pour le développement des technologies d'intelligence artificielle.
• Telegram a bloqué des comptes et des canaux appartenant à des membres du Hamas.
• La firme de sécurité Group-IB se prépare à une expansion aux Etats-Unis.
• Groupe hacktiviste pro-Hamas qui déploie un wiper Linux pour attaquer des organisations israéliennes
• L'agence de renseignement sud-coréenne signale que des cybercriminels nord-coréens ont utilisé une imitation d'une application de shopping pour infecter des utilisateurs sud-coréens avec un malware.

Articles

• Une équipe d'experts en sécurité a analysé le nouveau protocole post-quantum de Signal, PQXDH.
• The surprisingly subtle ways Microsoft Word has changed how we use language - BBC Future

Vulnérabilités

• Un bug dans le SDK d'Avast est responsable des faux positifs sur les applications Google sur les téléphones Huawei et d'autres fabricants chinois.
• Une vulnérabilité dans iOS et iPadOS révélée qui permettait aux utilisateurs de divulguer leurs adresses MAC sur des réseaux WiFi locaux.
• 117 vulnérabilités ont été découvertes dans la suite Microsoft 365 liées à un format 3D SketchUp pris en charge par Microsoft.
• Vulnérabilité dans le portail d'administration Thorn SFTP Gateway due à une désérialisation Java permettant d'exécuter du code malicieux sur des systèmes de transfert de fichiers.
• Meta a corrigé deux vulnérabilités dans WhatsApp découvertes par leurs équipes de sécurité.
• Google Mandiant suit 4 groupes d'attaquants exploitant la vulnérabilité CitrixBleed (CVE-2023-4966) pour compromettre des systèmes d'entreprise et gouvernementaux, dont au moins 2 sont des gangs de rançonnage.

Vulnérabilités- 2

• Exploitation de la vulnérabilité CVE-2023-46604 d'Apache ActiveMQ, ayant mené à l'encryptage de certains serveurs avec un ransomware HelloKitty.
• Les chercheurs de Tenable ont découvert que des instances Apache Airflow dans le cloud Amazon et Google sont vulnérables à une faille XSS connue sous le nom d'ApatchMe.
• VMWare a identifié 34 pilotes de noyau vulnérables pouvant permettre à des utilisateurs non administrateurs d'accroître leurs privilèges.
• Cisco a publié ou mis à jour 25 avis de sécurité pour divers produits, dont deux zero-days exploités récemment.
• La société Atlassian a publié une mise à jour de sécurité pour corriger la vulnérabilité CVE-2023-22518 dans Confluence qui pourrait être utilisée pour effacer les données des utilisateurs.
• Firmes de sécurité qui publient des preuves de concept pour les récentes failles 0-day Cisco IOS XE CVE-2023-20273 et CVE-2023-20198, dont 29 000 systèmes sont encore infectés avec des backdoors.
• Exploitations en cours de la vulnérabilité CVE-2023-46747 de F5 BIG-IP.

Vulnérabilités- 3

• Une vulnérabilité de contournement de patch a été trouvée sur le système open-source Mirth Connect pour la santé, et plus de 2200 systèmes sont connectés à Internet.
• Une vulnérabilité majeure non corrigée dans le plugin Deeper Comments WordPress permettant un piratage complet du site.
• BishopFox a publié un rapport technique sur une vulnérabilité de Fortinet appelée XORtigate ou CVE-2023-27997.
• SpecterOps a publié une analyse de CVE-2023-4632, une vulnérabilité d'escalade de privilèges locales dans l'outil de mise à jour Lenovo qui a été patchée ce mois-ci.
• VMWare publie deux mises à jour de sécurité pour corriger des problèmes dans ses applications vCenter Server et Tools, dont une mise à jour qui corrige une vulnérabilité à l'exécution de code à distance (CVE-2023-34048).
• Ubiquiti a publié une mise à jour de sécurité pour corriger une importante vulnérabilité dans UniFi, notée 10/10.

Campagne et Exploitations

• Campagne de faux mise à jour Chrome qui a infecté les systèmes des utilisateurs avec des RATs.
• Une campagne active utilise un chargeur appelé GHOSTPULSE pour compromettre des sites Web et pour la malvertising.
• Campagne de spear-phishing de MuddyWater ciblant des entités israéliennes.

Threat Intel

APTs

• Microsoft lance une nouvelle initiative pour sécuriser ses services cloud, incluant des transformations dans le développement logiciel et une meilleure protection de l'identité.
• Les chercheurs S2W ont analysé une nouvelle version du malware FastViewer utilisé par l'APT nord-coréen Kimsuky.
• Unit42 de PAN examine une nouvelle version de Kazuar, un malware utilisé par le groupe d'attaquants Pensive Ursa (également connu sous le nom de Turla ou Uroburos).
• Le groupe de cyber-espionnage palestinien AridViper se fait passer pour des mises à jour d'applications Android non-malveillantes.
• Le groupe APT basé au Pakistan, SideCopy, a exploité la vulnérabilité WinRAR récemment découverte (CVE-2023-38831), ciblant le ministère indien de la Défense.
• Groupe APT chinois DoubleAlienRat qui cible des organisations chinoises et qui possède des compétences techniques et des techniques d'hacking avancées.

Threat Intel

APTs- 2

• Campagne de cyber-espionnage nord-coréenne du groupe Lazarus qui visait un fournisseur de logiciels et qui a duré de mars à août 2023.

Threat Intel

Malware

• Les chercheurs d'Embee ont examiné le composant téléchargeur du RAT Remcos.
• Recherche approfondie sur Mystic Stealer, un vol d'informations découvert en avril 2020 et analysé par CyFirma, InQuest, OALABS et Zscaler.

Threat Intel

Menaces

• L'intelligence israélienne a engagé des sociétés de logiciels espions pour suivre les emplacements des otages kidnappés par les forces de Hamas.
• 137 groupes de hacktivistes engagés dans le conflit Israël-Hamas, majoritairement d'Asie, ont recours à des attaques par déni de service, des défigurations de sites et des opérations de hack-and-leak, dont certains s'avèrent faux.
• Cofense examine l'infrastructure récemment utilisée par le service de phishing Caffeine PhaaS.
• Le groupe Prolific Puma offre un service de raccourcissement d'URL pour les gangs de malwares et utilisé en smishing.
• Kopeechka est un service utilisé par des groupes cybercriminels pour créer en masse des comptes sur de nombreuses plateformes en ligne.
• OALABS a publié des indicateurs de compromission pour SparkRAT, un RAT basé sur Go utilisé par un acteur de menace chinois.

Threat Intel

Menaces- 2

• NCC Group a étudié en profondeur les dernières versions du chargeur Blister lié au groupe Evil Corp.
• NCC Group a publié des indicateurs d'opérations liés aux intrusions récentes BlackCat/AlphV.
• Un groupe nommé EleKtra-Leak a été repéré en train de scanner des dépôts GitHub pour des jetons AWS IAM involontairement divulgués afin d'accéder à l'infrastructure AWS et effectuer des opérations de cryptomining.
• Une mod de WhatsApp contenant un logiciel espion CanesSpy a été distribuée aux utilisateurs arabophones via des canaux Telegram.
• Elastic's security team a découvert KANDYKORN, un malware macOS utilisé par le groupe Lazarus pour cibler les ingénieurs de blockchain d'une plateforme de cryptomonnaies.
• Qihoo 360 a détecté une nouvelle vague d'opérations de Blind Eagle, un groupe APT-C-36 utilisant le malware Amadey.
• Check Point a publié un rapport sur Scarred Manticore, groupe iranien lié au MOIS, qui cible des gouvernements, des militaires, des télécoms, des entreprises IT, des finances et des ONG au Moyen-Orient et qui utilise le framework malware LIONTAIL.
• Campagne visant des utilisateurs arméniens avec du malware.

Threat Intel

• Une attaque Wiki-Slack qui redirige les utilisateurs de Slack vers des sites malveillants a été découverte par les chercheurs d'eSentire.
• Campagne de malvertising Facebook qui déploie le malware NodeStealer.
• Campagne de malvertising qui abuse de la fonctionnalité Google Dynamic Search Ads pour créer des publicités malveillantes.
• Deux nouvelles familles de ransomware, Jarjets et CATAKA, sont actuellement en circulation.
• Cloudflare rapporte que les botnets basés sur des machines virtuelles fournissent 5 000 fois plus de pouvoir de DDoS que les botnets classiques basés sur des appareils IoT.
• Une nouvelle gang de rançonnage ciblant les réseaux d'entreprises a été détectée.
• Les chercheurs Netskope ont découvert une nouvelle version du chargeur malveillant DarkGate.
• Campagne TA471 récente distribuant une version modifiée du malware IcedID.

Data Leaks

• Une fuite de données de 730 000 clients de l'entreprise d'assurance Rosgosstrakh, en Russie, est mise en vente par un acteur menaçant. Les documents contiennent des relevés bancaires, des documents d'identification numérisés et des contrats d'assurance-vie datant de 2010.

Attaques et piratages

• Un acteur de menace affirme avoir piraté et exfiltré des données d'Advarra, un fournisseur majeur de services informatiques pour le secteur de la santé aux États-Unis.
• Attaque de ransomware contre Boeing qui a utilisé une faille 0-day pour accéder au réseau.
• Incident majeur de ransomware en Allemagne qui a affecté de nombreuses administrations locales dans la région du Rhin-Westphalie.
• Le groupe DumpForums prétend avoir accédé aux données personnelles des clients et aux projets internes du système de carte de paiement national russe.
• La British Library a été victime d'une attaque informatique qui a affecté son réseau informatique pendant presque cinq jours.
• L'Université de Stanford enquête sur une violation de sécurité suite à une attaque par le ransomware Akira.

Attaques et piratages - 2

• Des groupes hacktivistes ukrainiens ont lancé une série d'attaques DDoS massives qui ont perturbé les services internet de la péninsule occupée.
• Piratages de LastPass qui ont permis aux pirates d'accéder à $4,4 millions de crypto-actifs supplémentaires provenant de 25 clients.
• Campagne de malware NuGet active depuis août qui comprend plusieurs centaines de packages malveillants.
• L'attaque de la chaîne d'approvisionnement PyPI par Lazarus, groupe nord-coréen, a porté sur 24 paquets.

Annonces

Industrie

• Splunk a licencié 550 employés, soit 7% de sa main-d'œuvre, pour s'adapter à l'accord avec Cisco qui a acheté Splunk pour 28 milliards de dollars.
• Proofpoint a conclu un accord pour acheter Tessian, une entreprise de sécurité du courrier électronique cloud.
• Le nombre de victimes de la campagne de piratage MOVEit de Clop a dépassé les 2500 entreprises, dont CCleaner et le DoJ et le DoD des États-Unis.
• Palo Alto Networks a annoncé son intention d'acquérir le fournisseur de sécurité cloud Dig Security.
• L'édition 2023 du concours de piratage Pwn2Own Toronto s'est terminée avec le vainqueur Team Viettel du Vietnam, 30 points et 180 000 $ en prix.

Annonces

Arrestations

• Apple a notifié plusieurs législateurs indiens des principaux partis d'opposition qu'ils ont été victimes d'attaques par des acteurs étatiques avant les élections législatives.
• Deux hackers russes ont été arrêtés pour avoir mené des attaques informatiques contre des systèmes informatiques russes au nom de l'Ukraine.
• Le botnet Mozi a été désactivé par une entité inconnue à la fin du mois d'août 2021.
• Cinq employés d'une entreprise de récupération de données ont été arrêtés pour avoir collaboré avec des hackers nord-coréens pour récupérer des données chiffrées par le ransomware Magniber.
• Un homme de 20 ans a été condamné à 30 mois de prison pour avoir volé près de 1 million de dollars en utilisant des attaques de substitution de SIM.
• Arrestation de 5 suspects du groupe RagnarLocker, dont le chef à Paris, et 2 autres en Lettonie.

Annonces

• La NSA a publié une ligne directrice sur l'évaluation des périphériques eFPGA intégrés disponibles sur le marché pour les menaces de sécurité.
• Microsoft lance l'initiative Secure Future pour améliorer la sécurité des produits cloud grâce à l'IA, des changements fondamentaux dans l'ingénierie logicielle et une meilleure norme internationale.
• Plus de 20 000 membres de PIRG ont demandé à Microsoft de prolonger le support de Windows 10, qui expirera en octobre 2025, car 40 % des 1 milliard de périphériques ne peuvent pas être mis à niveau vers Windows 11.
• La troisième édition de l'Initiative Internationale Contre le Ransomware (CRI) réunira les officiels de 48 pays et signeront une déclaration de ne pas payer de rançon aux gangs de ransomware.
• Exercices de cybersécurité défensive menés par les armées américaine et australienne ce mois-ci.
• Ryan Gosling, Emily Blunt et Jennifer Lopez sont les 3 noms de célébrités les plus utilisés cette année pour des campagnes de phishing et de spam, selon McAfee.
• Mise à jour de l'alerte de sécurité de CISA et du FBI concernant le ransomware AvosLocker, un service de rançonnage à la demande actif entre juillet 2021 et mai 2023.
• New CVSS v4.0 Released - What's New!

Annonces- 2

• Vidéos de la conférence BSides Canberra 2023 disponibles sur YouTube.

WTF