Blog

• romain
• 12 novembre 2023

Matinale Cyber du 13 Novembre 2023

La UNE

• Un guide de pentest android pour les débutants
• WhatsApp : Un nouveau logiciel malveillant s’attaque aux utilisateurs, 340.000 victimes en un mois
• Hackers, Scrapers & Fakers: Ce que contient réellement la dernière fuite de données de LinkedIn
• Les conséquences de la fuite de données MSI et Lenovo
• New Project Zero blogpost by Mark Brand - first mobile device ships with MTE (and how to enable it)
• Vulnérabilité et attaque de masse par Clop (via @Gadim sur Discord)
• (WU) Security: Dangling FixedArray pointers in Torque lead to memory corruption
• (WU) New blog: Obtaining Domain Admin from Azure AD by abusing Cloud Kerberos Trust
• (WU) an interesting case of SQLi to RCE

Annonces

• Omegle, site de chat vidéo en direct, ferme ses portes après des accusations de maltraitance d'enfants.
• Ancestry, MyHeritage et 23andMe ont activé la double authentification pour protéger leurs utilisateurs contre les attaques par force brute et le piratage de compte.
• WhatsApp a annoncé deux nouvelles fonctionnalités de sécurité pour protéger les adresses IP des appels et bloquer les exploits zéro-clic livrés par des protocoles d'appels et de réseau.
• Microsoft exige une authentification multifactorielle obligatoire pour l'accès aux comptes administrateur des portails cloud.
• La version 9 du CMS Drupal atteint la fin de sa vie le 1er novembre 2023.

Annonces- 2

• Oracle impose une authentification à deux facteurs par défaut pour tous ses clients de son Cloud, à la suite d'Amazon qui a fait de même pour ses comptes root AWS.
• Shields Ready : Le DHS, CISA et FEMA lancent une campagne visant à améliorer la résistance des opérateurs de l'infrastructure critique en matière de sécurité physique et cyber.
• Le Centre australien de sécurité informatique a traduit ses cinq guides de cybersécurité en 27 langues.
• QNAP a publié 4 mises à jour de sécurité pour ses produits.
• Les vidéos de la conférence de sécurité Hexacon 2023 sont disponibles sur YouTube.
• La police néerlandaise publie un podcast couvrant certaines de ses plus grandes opérations, dont la première épisode concerne le malware Rubella.

Attaques et piratages

• Attaque par ransomware contre la banque commerciale et industrielle de Chine, entraînant des difficultés pour les transactions entre les marchés américains et chinois.
• OpenAI a déclaré que des attaques DDoS étaient à l'origine des récents dysfonctionnements de ses serveurs.
• Frax Finance a été victime d'une attaque de piratage DNS qui a conduit à la perte du contrôle de ses deux principaux domaines.
• Attaque cybernétique contre la compagnie de prêts et de hypothèques Mr. Cooper qui a entraîné une panne et des dysfonctionnements des systèmes informatiques et du site web public.
• Attaque cyber réussie contre Ace Hardware qui a affecté près de 200 serveurs et 1000 systèmes.
• Attaque contre le réseau d'un opérateur d'énergie ukrainien par le groupe de hackers militaires russe Sandworm en juin 2022 qui a entraîné une panne de courant en octobre 2022 et qui a coïncidé avec des frappes de missiles sur des infrastructures critiques en Ukraine.

Annonces

Industrie

• L'entreprise Defiant a lancé un programme de récompense pour les chercheurs d'erreurs qui partageront leurs découvertes en privé.
• Palo Alto Networks annonce l'acquisition de Talon Security pour 625 millions de dollars, après avoir acheté Dig Security la semaine dernière pour 400 millions de dollars.

Annonces

Arrestations

• Nordex a perdu 800 000$ à un scam BEC après que l'employé de l'entreprise ait payé une facture fausse à un compte du scammeur. 50 000$ des fonds volés ont été envoyés au compte d'un fonctionnaire nigérian.
• Une enquête a révélé que le logiciel espion Predator a été déployé sur les appareils des politiciens grecs après que des victimes aient reçu des SMS d'un ancien secrétaire du Premier Ministre du pays.
• Arrestations d'un groupe criminel spécialisé dans la fraude à la restitution, opérant via Telegram et utilisant des plaintes de non-livraison.
• Un Serbe a plaidé coupable de diriger Monopoly Market, un marché de drogue sur le dark web. La plate-forme a été fermée par les autorités allemandes et a mené à l'arrestation de 288 trafiquants de drogue dans le cadre de l'opération SpecTor.
• La récente neutralisation du botnet Qakbot n'a eu qu'un impact minimal sur le marché souterrain du cybercrime, de nombreux anciens membres et clients de Qakbot continuant à collaborer.
• L'opération de rançongiciel Nokoyawa a été arrêtée par son créateur, Farnetwork, et il est probable que ce dernier lance une nouvelle plateforme RaaS sous un nouveau nom.

Annonces

Arrestations- 2

• 8 suspects arrêtés pour avoir détourné 300 millions de dollars d'un fonds d'investissement en cryptomonnaies et 5 000 employés de l'Etat d'Himachal Pradesh ont perdu de l'argent.
• Un suspect arrêté en Indonésie pour le développement et la vente d'un kit de phishing, et qui risque jusqu'à 12 ans de prison.
• Un suspect de 18 ans arrêté en Belgique pour être impliqué dans une campagne de phishing, est accusé de ne pas obéir à l'ordre du juge de fournir les mots de passe à la police.
• Condamnation d'un hacker néerlandais connu sous le nom de 'Umbreon' pour des activités de piratage et d'extorsion.
• Deux ressortissants russes accusés d'avoir piraté le système de dispatching des taxis à l'aéroport JFK de New York.
• Le DOJ a récupéré 2,4 millions de dollars volés à une entreprise en avril 2021 suite à une arnaque par hameçonnage.

Géopolitique

• Le prix de l'accès à l'API de Twitter a augmenté et Elon Musk a poursuivi en justice les chercheurs qui ont publié des études sur la désinformation sur la plateforme Twitter.
• Google s'oppose à l'article ajouté au règlement eIDAS qui impose aux navigateurs web de faire confiance aux certificats émis par les États membres de l'UE sans aucune vérification publique.
• Les universités russes offrent désormais un diplôme en police des médias pour repérer l'extrémisme, la propagande terroriste, le piratage et le cyber-harcèlement à l'attention des autorités russes.
• Les Etats-Unis, le Japon et la Corée du Sud ont lancé un groupe de coopération pour contrer les opérations cybernétiques de la Corée du Nord, qui sont utilisées pour financer son programme d'armement.
• Le rapport de Moldavie décrit la guerre hybride menée par la Russie pour déstabiliser le gouvernement.
• Le Département d'Etat des Etats-Unis affirme que le Kremlin utilise 3 entreprises d'influence pour diffuser sa propagande dans les pays d'Amérique latine.

Géopolitique- 2

• Le nombre de professionnels en cybersécurité à travers le monde est estimé à plus de 5,5 millions, mais le nombre requis est de 4 millions pour remplir les postes vacants de l'industrie.

Articles

• (WU) Security: Dangling FixedArray pointers in Torque lead to memory corruption
• (WU) New blog: Obtaining Domain Admin from Azure AD by abusing Cloud Kerberos Trust
• (WU) an interesting case of SQLi to RCE
• (rediff) The surprisingly subtle ways Microsoft Word has changed how we use language - BBC Future
• (rediff) Dramatic reversal: Philippines announces full termination of 6 #BeltandRoad projects in favor of Japan and Western options. Why the Philippines is exiting the BRI, by AsiaTimes
• (rediff) Due to the new EU Digital Service Act (DSA), Twitter had to disclose the number of its staff working on content moderation issues (2294) and their language skills. It is even worse than what was expected.https://cy-report.html#/…
• (rediff) Looking for a curated list of DFIR resources for #Microsoft Defender for Endpoint
• CISA a publié un document sur la façon dont les entreprises peuvent émettre un alerte VEX lorsque des bogues dans leurs logiciels sont exploités dans la nature.
• Attaques d'injection LLM Prompt qui peuvent modifier la sortie des modèles d'IA.
• Bug zero-day d'ActiveMQ exploité durant 2 semaines et utilisé pour chiffrer des serveurs avec des familles de ransomwares telles que HelloKitty et TellYouThePass.

Vulnérabilités

• Exploitation d'une vulnérabilité du protocole SLP pour attaquer en DDoS, six mois après l'alerte et deux semaines après la publication d'un outil de démonstration sur GitHub.
• Le botnet Kinsing exploite la vulnérabilité Looney Tunables pour élever les privilèges sur les machines Linux compromises.
• Une nouvelle version du malware loader DarkGate a été détectée par des chercheurs eSentire et Netskope.
• Une vulnérabilité dans les bases de données Microsoft Access permet d'accéder aux mots de passe NTLM en contournant les firewalls.
• Une vulnérabilité dans le daemon soap_serverd des routeurs Netgear a été découverte et utilisée lors du concours de piratage Pwn2Own Toronto 2022.
• Une vulnérabilité permettant une prise de contrôle à distance (RCE) a été trouvée dans l'utilitaire PRTG Network Monitor.

Vulnérabilités- 2

• Les chercheurs de SonarSource ont publié la première partie d'une série de trois parties sur les vulnérabilités qu'ils ont trouvées dans l'application Visual Studio Code de Microsoft.
• Veeam a publié des mises à jour de sécurité pour corriger quatre vulnérabilités.
• Sept vulnérabilités ont été trouvées et corrigées sur la plateforme CRM Bitrix24.
• Une vulnérabilité d'élévation de privilège qui permet aux utilisateurs non privilégiés d'accéder aux privilèges root a été trouvée sur macOS.
• Devcore a publié une analyse détaillée de trois vulnérabilités à distance sur des imprimantes Canon, HP et Lexmark.
• Marco Ivaldi a trouvé 12 vulnérabilités dans le système d'exploitation temps réel Zephyr.
• Exploitation massive d'une vulnérabilité de nettoyage des données Atlassian, qui a été publiée en ligne la semaine dernière.

Vulnérabilités- 3

• Microsoft n'a pas décidé de corriger quatre vulnérabilités de Microsoft Exchange, dont une exécution de code à distance, et recommande de restreindre l'accès aux serveurs Exchange.
• Les vidéos des conférences EKOPARTY 2023 sont disponibles sur YouTube et sont en espagnol.
• Evilnum/DarkCasino a intégré la même vulnérabilité WinRAR zero-day (CVE-2023-38831) dans ses attaques.

Campagne et Exploitations

• Campagne de rançongiciel en cours qui distribue le ransomware Phobos et LockBit.
• Campagne de spam qui utilise le formulaire 'Release scores' de Google Forms pour envoyer des emails malveillants qui contournent les solutions de sécurité de messagerie.
• Campagne de diffusion de malware BlazeStealer par le biais de PyPI qui permet le vol de données et la prise de captures d'écran via la webcam.

Threat Intel

APTs

• Les journalistes de OCCRP ciblés par Pegasus : deux journalistes indiens du Organized Crime and Corruption Reporting Project ont fait l'objet d'attaques avec le logiciel espion Pegasus. Ces attaques ont eu lieu peu de temps après que les deux journalistes aient contacté le groupe Adani, l'une des plus grandes entreprises indiennes.
• Apple avertit les Arméniens des attaques par un état et a trouvé des traces de spyware Pegasus sur les appareils infectés.
• Les chercheurs en sécurité chinois ont une analyse d'un nouveau RAT mobile utilisé par l'APT Caracal Kitten.
• Microsoft a détecté l'APT Sapphire Sleet qui met en place une infrastructure pour ses campagnes de social engineering sur LinkedIn.
• Kaspersky publie un rapport de 370 pages sur les tactiques employées par les APTs asiatiques (chinois) récents.
• Compromission de 24 agences gouvernementales cambodgiennes par des hackers étatiques chinois.

Threat Intel

APTs- 2

• SentinelOne publie un rapport sur le groupe APT AridViper, présumé dirigé par des membres du Hamas et ciblant les smartphones Android.
• Attaque APT en cours avec une vulnérabilité 0-day de WinRAR et déploiement de différents RATs sur des systèmes Windows et Linux.
• BlueNoroff, groupe APT de la Corée du Nord, menant une campagne ciblant les utilisateurs macOS avec un nouveau malware écrit en Objective-C appelé ObjCShellz.

Threat Intel

Menaces

• Hunters International, un groupe de rançonnage issu du groupe de ransomware Hive, a mené des attaques récentes.
• Les groupes de ransomware ciblent désormais des vendeurs tiers de jeux vidéo et utilisent des techniques telles que le phishing et l'accès à distance pour accéder aux systèmes des employés des entreprises.
• Netscout examine les capacités et les composants DDoS du groupe pro-Kremlin 'hAcKtIvIsT' d'Anonymous Sudan, l'opération étant russe.
• Une technique nommée Multi-Software-as-a-Service Cloud Exploitation a été mise en avant par l'équipe de sécurité Cloud de Google, dans laquelle les acteurs menaçants utilisent des informations d'identification compromises d'un système cloud pour s'étendre à de multiples plates-formes SaaS.
• Rapid7 étudie GhostLocker, un service RaaS créé par le groupe hacktiviste GhostSec.
• Groupe de rançongiciels Knight, qui a débuté ses opérations en août et qui a eu un impact important en Italie, est en fait un rebrand du vieux groupe Cyclops.

Threat Intel

Menaces- 2

• Le groupe hacktiviste GhostSec a créé une plateforme de rançonnage en tant que service (RaaS) appelée GhostLocker.
• Les chercheurs en sécurité chinois ont publié une analyse technique du malware SecondDate, révélé par les fuites Snowden en 2013 et utilisé par la NSA jusqu'en juin 2022 pour hacker le réseau de l'université de Xi'an Northwestern Polytechnical.
• Campagne de phishing LinkedIn menée par l'agence de renseignement israélienne Black Cube (détecté comme Blue Tsunami).
• MuddyC2Go, un nouveau cadre de contrôle et de commande utilisé par le groupe d'espionnage iranien MuddyWater est écrit en Go et utilisé depuis 2020.
• Pas de coopération entre les pirates iraniens et de Hamas en matière de cybersécurité pour le moment.
• Groupe de piratage iranien nommé Agonizing Serpens qui mène des attaques destructrices contre des organisations israéliennes depuis 2020.
• Opération Covert Stalker, campagne spear-phishing de 17 mois menée par Kimsuky contre des personnes et des organisations travaillant sur la politique, la diplomatie et la sécurité nord-coréennes.

Threat Intel

Menaces- 3

• L'Etat américain a lancé une récompense de 10 millions de dollars pour des informations sur APT35 et Emennet Pasargad, des groupes informatiques iraniens impliqués dans des attaques de rançongiciel et des campagnes de désinformation.
• Une campagne de rançongiciel Mallox est en cours qui utilise des attaques par force brute sur les bases de données MSSQL.

Threat Intel

• Campagne malvertising qui utilise une version clone du site de technologie WindowsReport pour tenter d'installer un outil malveillant CPU-Z.
• Campagne smishing ciblant les citoyens roumains pour obtenir des codes MFA/2FA.
• Six paquets malveillants npm ont été découverts la semaine dernière.
• 48 paquets JavaScript malveillants sont détectés sur le portail NPM et ouvrent une connexion inverse à leur installation.
• Le rapport annuel sur les attaques de ransomware de l'année 2022 de la Ransomware Task Force indique une baisse des incidents de 2600 à 3000.
• Les fournisseurs de proxy White Proxies ont fourni l'infrastructure serveur utilisée pour les attaques DDoS contre des médias indépendants en Hongrie.
• Une analyse des tactiques utilisées par le groupe de rançongiciels et d'extorsion D0nut a été réalisée par NCC Group.

Threat Intel - 2

• VMWare Carbon Black analyse de nouvelles versions du malware Jupyter Infostealer, aussi connu sous les noms Yellow Cockatoo, Solarmarker et Polazert.
• IBM X-Force a découvert un nouveau composant du malware GootLoader qui aide aux mouvements latéraux sur les réseaux d'entreprise.
• Qihoo 360 analyse la nouvelle version du ransomware Akira, nommée Megazord.
• Analyse technique de BadCandy v3, une implantation sur les routeurs Cisco IOS XE via les vulnérabilités CVE-2023-20198 et CVE-2023-20273.
• Le malware Socks5Systemz a infecté plus de 10 000 systèmes Windows et est utilisé pour offrir des services de proxy.
• Campagne de propagation du RAT AsyncRAT via une chaîne d'infection nouvelle.

Threat Intel - 3

• CyFirma a publié un rapport sur le RAT Windows Millenium, dérivé du projet open source ToxicEye RAT.
• Exploitation récente de la vulnérabilité CVE-2023-22518 d'Atlassian Confluence pour contourner l'authentification et crypter les serveurs avec le ransomware C3rb3r.

Data Leaks

• Sumo Logic a subi une violation de sécurité après qu'un acteur menaçant ait utilisé des identifiants compromis pour accéder à ses serveurs AWS. Les clients sont invités à réinitialiser et à modifier leurs clés API.
• Attaque par ransomware de Shimano qui a conduit à la fuite de 4,5 TB de données.
• Fuite de données sur la plateforme e-commerce chinoise Zhefengle, avec plus de 3,3 millions d'ordres contenant des informations personnelles.
• Une fausse fuite de données LinkedIn a été réfutée par le fondateur du service Have I Been Pwned.
• US Radiology a été condamné à payer une amende de 450 000 dollars pour ne pas avoir sécurisé ses équipements de réseau, ce qui a entraîné le vol de données de 92 000 personnes à New York.
• Brian Krebs a analysé le service de livraison SWAT USA Drop, utilisé par des gangs de blanchiment d'argent pour acheter des produits onéreux avec des fonds volés et les expédier à l'étranger pour être revendus et réutilisés par les hackers.

Data Leaks- 2

• Un chercheur en sécurité a découvert qu'environ 1 000 tableaux de bord TeslaMate sont exposés sur Internet.
• Investigation de l'attaque subie par Okta révèle que les données de 134 clients ont été compromis, avec 5 clients ayant subi des pivots et des connexions réussies.

Outils

• GitHub a annoncé l'ajout d'outils alimentés par l'intelligence artificielle dans son package de sécurité avancée.
• La messagerie instantanée cryptée Signal teste un système de noms d'utilisateurs à la place des numéros de téléphone réels pour l'identification des utilisateurs.
• Google affiche un label spécial sur les pages des applications VPN ayant passé des audits de sécurité.
• Microsoft fournit de nouveaux outils de sécurité pour les élections et a mis en place des équipes pour aider les candidats à contrer les campagnes de cyber-influence.
• Le NCSC du Royaume-Uni a publié une orientation pour aider les organisations à se préparer à la migration vers la cryptographie post-quantum (PQC).
• Le chercheur en sécurité Kaushik Pał rapporte que Nova Sentinel, l'auteur de l'infostealer Sordeal, a publié une version gratuite de son malware.

Outils- 2

• Le malware SecuriDropper contourne la fonctionnalité de sécurité Restricted Settings d'Android 13 et télécharge des charges utiles supplémentaires.
• Outil CloudMiner qui exploite des lacunes de sécurité dans le service d'automatisation Azure pour exécuter du code sans être facturé.
• Vidéos des conférences de la conférence de sécurité Virus Bulletin 2023 disponibles sur YouTube.
• Les vidéos des conférences de la conférence de sécurité No Hat 2023 sont disponibles sur YouTube.
• NCC Group a publié un nouvel outil qui permet d'intercepter le trafic HTTPS sur Android 14.
• Alexander Hagenah a publié le nouvel outil PatchaPalooza pour analyser les mises à jour de Patch Tuesday de Microsoft.
• Forrest Kasler a publié un nouvel outil, Cuddlephish, pour exécuter des attaques de phishing Browser-in-the-Middle.

Data Sécu

• Mark Zuckerberg a ignoré les demandes pour améliorer la sécurité des enfants sur les applications de la société pendant plusieurs mois.
• Discord va basculer vers des liens d'URL temporaires pour empêcher les acteurs malveillants d'utiliser sa plateforme pour héberger des malwares et des infrastructures de cybercriminalité.
• L'Alliance de Défense des Applications (ADA) est transférée sous le parapluie de la Linux Foundation et Microsoft et Meta rejoignent le comité de direction fondateur.
• Un nouveau projet de loi a été introduit pour aider les survivants de la violence domestique à lutter contre l'abus technologique.

Des échanges de cryptoactifs piratés ?

• Une plateforme de cryptomonnaies a été piratée et a perdu 2,4 millions de dollars en actifs.
• Une attaque a permis à un acteur de voler 2 millions de dollars en cryptomonnaies d’un robot MEV en raison de permissions mal configurées.
• Une plateforme de cryptomonnaie a subi un piratage qui a permis à un acteur malveillant de voler 450 000 $US.
• Une plateforme de cryptomonnaies a été piratée par un acteur malveillant qui a eu accès à des informations sur une petite partie des clients.