• romain
• 19 novembre 2023

Matinale cyber du 19 novembre 2023

La UNE

• L'organisme de normalisation européen à l'origine de la norme TETRA pour les communications radio utilisées par la police, l'armée et les infrastructures critiques a décidé de mettre ses sept algorithmes secrets à la disposition du public après que des chercheurs ont découvert des problèmes avec certains
• L'origine probable des piratages de boeing, ICBC, etc. par LockBit
• ALPHV BlackCat porte plainte auprès du SEC pour non divulgation d'un incident de sécurité contre MeridanLink, après l'avoir piraté
• Article : L'histoire des hackers derrière Mirai
• Insolite : Un groupe APT n°1 a exploité cette faille comme un "vrai" 0day. -Un groupe APT #2 a commencé l'exploitation après qu'un correctif ait été discrètement poussé sur GitHub. -Des groupes APT #3 & #4 ont commencé l'exploitation après la publication d'un avis mais avant le correctif officiel.
• Insolite : elle engage un faux hitman pour faire un meurtre et tombe sur le FBI
• WU : utiliser du Request Smuggling dans la vraie vie
• WU : une vuln dans Diablo 1
• WU : En utilisant un bit flip dans les handsh1kes SSH, on peut retrouver toute la clé secrète ! :
• Article : Rapport de GitGuardian sur nos amis les développeurs !
• Article : Vous ne devriez pas faire tourner votre serveur de mail parce que c'est dur - Contrairement à ce que le titre pourrait faire croire, un plaidoyer par @PoolpOrg pour auto-héberger ses mails et éviter la mainmise des Big Techs
• Article très sympa sur les tendances de l'année dernière et les prédictions de l'année à venir

La UNE

Géopolitique et menaces étatiques

• Un couple mis en examen en France pour l'affaire des crois de David taggées
• Hikvision a remporté un projet de "campus intelligent" en Chine qui "envoie automatiquement une alerte" aux étudiants issus de minorités ethniques "soupçonnés de jeûner pendant le ramadan" sur la base des "registres de repas de ces étudiants"
• Un journaliste allemand surnommé "le connaisseur de Poutine" était en fait payé par des proches du Kremlin
• Une carte pour tracer les activités des APTs dans le monde, attributions associés, samples, ressources externes, liens entre groupes...

Outils :

• L'outil de Valery RieB-Marchive pour suivre les attaques de ransomwares et les négociations :
• Automatiser des actions dans Burp avec des "Bambdas"
• Les URLs des sites des groupes de ransomware (via funeralpolis sur Twitch)
• Une meilleur version de runas, codée en C# et open-source (via 4103x1 sur Twitch) :

Annonces

• EFF porte plainte à la FTC contre Amazon et AliExpress pour la vente de boîtiers Android TV infectés par des logiciels malveillants.
• Tutanota a changé de nom et s'appelle désormais Tuta.
• La campagne de Biden recherche un CISO pour sécuriser sa tentative de réélection à la présidence des États-Unis.
• La FCC propose un programme pilote de 3 ans et 200 millions de dollars pour aider les écoles et les bibliothèques K-12 à se protéger contre les menaces cyber.
• Un groupe d'industriels a demandé au Congrès de soutenir le financement de CISA et de ne pas réduire son budget pour l'année prochaine.
• L'FBI publie une mise en garde annuelle pour les consommateurs pour être vigilants contre les escroqueries à la veille de la saison des achats de Noël.

Annonces- 2

• Opération de nettoyage nationale en Corée du Sud pour mettre à jour et enlever des versions vulnérables du logiciel MagicLine4NX.
• Cisco a publié ou mis à jour cinq avis de sécurité pour divers produits.
• Patch Tuesday de novembre avec des mises à jour de sécurité pour Adobe, Microsoft, Chrome, SAP, Citrix, Fortinet, Kubernetes, AMD, Intel, Schneider Electric et Siemens.
• Siemens a désactivé son flux de messages CERT sur Twitter en raison des hausses de prix de l'API.
• QNAP a publié deux mises à jour de sécurité pour ses produits.

Attaques et piratages

Arrestations

• Un groupe de rançongiciels déclare une entreprise à la SEC pour non-déclaration d'une violation de sécurité.
• Toyota a été victime d'une attaque de ransomeware et le groupe Medusa menace de publier des documents volés sur le darkweb si une rançon de 8 millions de dollars n'est pas payée.
• La branche américaine de la Banque industrielle et commerciale de Chine a payé une rançon après que le groupe LockBit ait encrypté ses systèmes.
• La Télécommunications Services of Trinidad and Tobago a été piratée par le groupe de rançongiciel RansomExx au début d'octobre.
• Attaque informatique menée par un groupe hacktiviste indien contre des sites web qataris après que des ex-officiers de la marine indienne aient été condamnés à mort par un tribunal qatari.
• La Cour australienne a autorisé la divulgation d'un rapport de Deloitte sur les causes de la brèche informatique de Optus en 2022, qui avait exposé les données de 10 millions de clients.

Arrestations - 2

• Attaque de rançongiciel contre Allen & Overy, l'un des plus grands cabinets d'avocats au monde, exigeant une rançon.
• Un groupe de scam exit a volé plus de 16,2 millions de dollars en crypto-actifs dans six projets différents.
• Gang de phishing arrêté en République tchèque et en Ukraine, volant plus de 8 millions d'euros par des attaques de vishing.
• Le FBI a démantelé le botnet IPStorm et arrêté son créateur, un Russe et Moldave nommé Sergei Makinin, qui a gagné plus de 550 000$ en réacheminant le trafic web via les appareils infectés.
• Google poursuit un groupe de développeurs de logiciels malveillants ayant déguisé leur outil d'intelligence artificielle Bard en tant que produit Google.
• L'histoire de Mirai, un botnet lancé par trois adolescents en 2016, est racontée dans une publication de 22 000 mots de Wired.
• Le mois d'octobre 2023 a vu 348 victimes de rançongiciels répertoriées sur des sites de fuite sur le dark web, mais reste sur la voie d'être l'année la plus prolifique pour les opérateurs de rançongiciels.

Arrestations- 3

• Un couple russe a été inculpé en France pour avoir travaillé comme affiliés pour le gang de ransomware Phobos depuis 2020.
• Plus de 160 travailleurs thaïlandais ont été sauvés d'un centre illégal de Myamar dans le cadre d'une opération conjointe entre le Myanmar et la Chine.
• 43 membres d'un groupe de cybercriminalité ont été arrêtés à Dubaï pour leur implication dans un schéma de BEC ayant volé plus de 36 millions de dollars.
• La police britannique est en train de restituer environ 1,9 million de livres sterling de cryptomonnaie volée par un hacker néerlandais en janvier 2018.
• Le FBI et le CISA ont publié un avertissement conjoint concernant le ransomware Royal qui a ciblé plus de 350 victimes dans le monde pour des demandes de rançon de plus de 275 millions de dollars.
• Le CISO de Clorox quitte son poste après une attaque de rançongiciel qui a causé une perte de 356 millions de dollars.

Industrie

• L'analyse du chercheur en sécurité Joshua Penny a révélé que Chang Way Technologies, un fournisseur d'hébergement à l'épreuve des balles, opère à partir de Hong Kong et héberge des infrastructures pour le ransomwares BlackByte, le système de distribution de trafic 404, plusieurs banques Android et des courtiers d'accès initial.

Articles

Vulnérabilités

• Google a annoncé son intention de supprimer le support des cookies tiers de Chrome d'ici 2024.
• Plainte collective contre Intel pour avoir vendu des puces contenant une vulnérabilité connue depuis 2018.
• CISA a mis à jour sa base de données KEV avec cinq nouvelles vulnérabilités exploitées en ce moment.
• Nouvelle famille de ransomware Xorist, nommé GoTiS, en circulation.
• Le ransomware C3RB3R est déployé sur les serveurs Atlassian Confluence via la vulnérabilité CVE-2023-22518.
• Les attaquants exploitent une vulnérabilité zéro-jour dans la fonctionnalité de recherche Windows et une contournement de MotW via des documents Office pour attaquer des organisations ukrainiennes.

Vulnérabilités- 2

• Les tokens d'accès restent actifs lorsque les comptes d'utilisateurs sont désactivés, ce qui est une faiblesse majeure de Microsoft.
• Intel a publié des mises à jour de sécurité pour corriger la vulnérabilité Reptar (CVE-2023-23583) qui peut être utilisée pour élever les privilèges et faire planter les systèmes.
• Vulnérabilité SQL injection grave détectée dans le plugin WP Fastest Cache pour WordPress, installé sur plus d'un million de sites.
• Une vulnérabilité RCE non authentifiée a été découverte et patchée dans le logiciel de transfert de fichiers CrushFTP en août.
• Une nouvelle méthode d'exploitation de la vulnérabilité CVE-2023-46604 d'Apache ActiveMQ permet aux acteurs de menaces de rester indétectables en exécutant des attaques depuis la mémoire.
• VMWare a déclaré que Cloud Director Appliance était vulnérable à une faille d'authentification (CVE-2023-34060) et a fourni des mesures temporaires pour se protéger.
• Microsoft a publié 83 correctifs, dont 3 zero-days, dans le Patch Tuesday de ce mois-ci.

Vulnérabilités- 3

• Cinq vulnérabilités Juniper corrigées en août sont activement exploitées et des preuves de concept disponibles depuis fin août.
• Audit de sécurité PyPI par Trail of Bits qui a révélé 29 vulnérabilités dont 3 majeures.
• Une vulnérabilité nommée CacheWarp a été découverte qui permet aux attaquants d'exécuter du code malveillant à l'intérieur de machines virtuelles protégées par AMD Secure Encrypted Virtualization.
• Exploitation d'une vulnérabilité dans la blockchain Ethereum pour siphonner 60 millions de dollars en crypto-monnaies et phisher les portefeuilles des utilisateurs.
• Une vulnérabilité nommée Randstorm a été découverte dans BitcoinJS, une bibliothèque JavaScript utilisée dans de nombreux portefeuilles crypto-basés sur le navigateur. Elle peut être exploitée pour déterminer des clés privées générées par BitcoinJS.
• Des mises à jour de sécurité mensuelles pour les smartphones Android ont été publiées.
• OpenVPN publie une mise à jour de sécurité pour corriger deux problèmes de mémoire.

Vulnérabilités- 4

• Une vulnérabilité 1-click a été partagée sur un forum de hackers pour le lecteur de PDF Foxit.

Campagne et Exploitations

• Campagne de six mois qui consiste à télécharger des bibliothèques malveillantes dans le référentiel PyPI pour gagner en persistance et collecter et exfiltrer des données d'utilisateurs vers un canal Discord.
• Campagne en cours visant les serveurs SysAid menée par le groupe Clop.

Data Leaks

• Fuite de données de l'agence de renseignement bangladaise NTMC contenant des données personnelles de citoyens.
• Fuite de données de 2,7 millions de comptes d'utilisateurs du service marchand Marocain Avito en novembre 2022.
• Une fuite de données a été détectée sur StackOverflow avec des clés API et des jetons non sécurisés.
• Analyse des fuites de clés privées Lenovo et MSI réalisée par Binarly, démontrant que plusieurs entreprises utilisaient les mêmes clés Intel Boot Guard.

Géopolitique

• TikTok nie avoir promu du contenu pro-Hamas.
• La Russie bloque le protocole Shadowsocks, faisant partie des 49 protocoles bloqués par le pays.
• ENISA et le SSSCIP en Ukraine ont signé un accord de coopération visant à échanger des informations et à renforcer les capacités.
• Le rapport annuel du NCSC du Royaume-Uni prévoit des risques et des défis pour l'année à venir, notamment liés à l'intelligence artificielle, la Chine et l'augmentation de l'agressivité des groupes de cybersécurité étatiques.
• Les autorités russes travaillent sur un plan pour créer leur propre internet pour les pays BRICS+.
• Le gouvernement népalais a interdit l'application de médias sociaux chinois TikTok, affirmant qu'elle perturbe l'harmonie sociale.

Géopolitique- 2

• La Russie s'apprête à interdire officiellement l'utilisation de services VPN dans le pays pour des raisons de sécurité.
• SentinelOne a acquis le groupe Krebs Stamos et l'a fusionné dans une nouvelle entreprise appelée PinnacleOne.

Threat Intel

• Avast, Chainguard, WithSecure, Guidepoint, Trellix, Wiz et Sophos ont publié des rapports sur les menaces, dont la conclusion la plus intéressante est que le temps de résidence des menaces diminue.

Threat Menaces

• Le rapport annuel du Centre australien de cybersécurité sur les incidents de sécurité a révélé que 118 incidents liés au ransomware et que 20% des vulnérabilités critiques ont été exploitées dans les 48 heures.
• L'agence de renseignement grecque EYP a utilisé le logiciel espion Predator pour espionner ses propres employés, y compris des hauts fonctionnaires.
• Rapports publiés par CyFirma et Kevin Beaumont sur LockBit et l'exploitation de la vulnérabilité CitrixBleed par ce groupe.
• Un avis de sécurité publié par le FBI et CISA décrit les tactiques, techniques et procédures (TTP) utilisées par le groupe Scattered Spider pour se livrer à des intrusions récentes
• Un rapport de SentinelOne et Reuters a identifié le groupe Appin, le plus ancien groupe mercenaire indien, comme étant responsable de campagnes visant des organisations en Norvège, au Pakistan, en Chine et en Inde.
• L'enquête de Reuters a révélé que le FBI connaissait les identités réelles de plusieurs membres du groupe Scattered Spider, responsable de violations récentes des casinos MGM et Caesars.

Threat Menaces- 2

• Le gang Youshe, une branche du syndicat criminel SilverFox, cible des utilisateurs chinois avec des rootkits et des stealers par le biais de l'empoisonnement des moteurs de recherche et du phishing.
• Le groupe TAC5279, affilié au ransomware, a récemment changé de la Vice Society à la plateforme Rhysida RaaS et s'aligne avec ce que Microsoft appelle Vanilla Tempest (anciennement DEV-0832).
• CISA a mis à jour son analyse du ransomware Royal et a ajouté des informations sur la tentative possible du gang de se réinventer sous le nom de Blacksuit.
• Analyse d'Aaron Jornet sur SystemBC (Coroxy, DroxiDat), un logiciel malveillant qui est souvent utilisé comme point d'entrée par d'autres groupes de cybercriminalité.
• La récente activité du PikaBot est couverte par OALABS.
• Censys découvre que la société Raccoon Security est le bras cyber de NTC Vulkan, une entreprise privée sous contrat avec le ministère russe de la défense pour développer des armes cyber offensives, et a été sanctionné par les États-Unis et l'Union européenne.
• Le chercheur en sécurité Monty a rassemblé une liste des méthodes d'attaques récentes utilisées par le groupe Sandworm.

Threat Menaces- 3

• Sakai a analysé un nouveau malware macOS utilisé par le groupe d'attaquants nord-coréen BlueNoroff.
• Campagne de UAC-0050 contre des agences gouvernementales visant à installer le RAT Remcos.
• Campagne de phishing de 4 mois menée par le groupe TA402 dans la région MENA avec le malware IronWind.
• La NIS a découvert un réseau de 38 sites web chinois et faux sites d'information qui publient des articles pro-Chine et anti-USA.
• Campagne d'espionnage menée par la société israélienne Black Cube contre des militants et des journalistes hongrois avant l'élection présidentielle de 2022.

Threat Malware

Outils

• ETSI a décidé de rendre le code source de son protocole TETRA open source suite à la découverte de ports arrières dans son code en juillet.
• Google lance de nouveaux modèles de clés de sécurité Titan qui peuvent stocker jusqu'à 250 mots de passe uniques et offrira 100 000 clés à des utilisateurs à risque.
• WhatsApp et Signal travaillent à intégrer des noms d'utilisateur dans leur système d'identification.
• Microsoft a publié la version 8 du runtime .NET.
• CISA a publié un plan directeur pour le développement et l'implémentation sécurisés des capacités d'intelligence artificielle.
• La NSA, le CISA et l'ODNI ont publié une ligne directrice commune sur la façon appropriée de consommer et d'utiliser des fichiers SBOM.

Outils- 2

• 71 paquets malveillants ont été découverts sur le site npm la semaine dernière.
• AhnLab a découvert le malware Ddostf, une nouvelle forme de malware DDoS installée sur des serveurs MySQL.
• PwC UK a publié un plugin open source nommé IISHelper pour aider à l'analyse des modules natifs IIS.
• Un nouvel outil open source pour identifier les vulnérabilités dans les codebases a été publié par un ingénieur en sécurité de Canonical.
• Outil open-source CVE Half-Day Watcher pour visualiser les risques autour des divulgations de vulnérabilités et des fuites et exploitations précoces.
• Vishal Garg a publié une collection de ressources sur la sécurité des chaînes d'approvisionnement sur GitHub.
• Efstratios Chatzoglou a publié Pandora, un outil de red-team pour extraire des informations de connexion des navigateurs et gestionnaires de mots de passe.

Data Sécu

Threat APTs

• Des chercheurs ont trouvé des paquets protestware sur le portail npm contenant des messages de paix liés aux conflits en Ukraine, en Israël et dans la bande de Gaza, dont un est possédé par une entreprise israélienne de DevSecOps.
• Analyse de la porte dérobée Effluence exploitant la vulnérabilité CVE-2023-22515 sur les serveurs Confluence d'Atlassian, suspectée d'être liée à l'APT chinois Storm-0062.
• Campagne de destruction de données menée par un groupe hacktiviste pro-Hamas, nommé Karma, ayant porté le malware BiBi wiper sur Windows.
• Exploitation en cours de la vulnérabilité CVE-2023-37580 du serveur Zimbra par plusieurs groupes d'attaquants, y compris TEMP_Heretic et Winter Wivern.
• Attaque d'APT29 sur des ambassades européennes exploitant une vulnérabilité zéro-jour de WinRAR (CVE-2023-38831).
• Qihoo 360 a publié un rapport sur un nouveau groupe APT appelé Fire Demon Snake (ou APT-C-52) probablement basé en Asie du Sud, actif depuis 2021 et ciblant principalement des personnels militaires pakistanais.

Threat APTs- 2

• L'APT IMPERIAL KITTEN, liée au Corps des Gardiens de la Révolution islamique, cible des entreprises de transport, de logistique et de technologie en Moyen-Orient avec des malwares tels que IMAPLoader et StandardKeyboard.
• Cinq groupes APT ont lancé des opérations contre la Pologne depuis l'invasion de la Russie en Ukraine, dont quatre présumées être russes et un chinois.
• Des opérations menées par l'APT Rattlesnake basé au Pakistan sont décrites dans un rapport publié par la société chinoise de sécurité Sangfor.
• ESET a découvert un nouveau malware, Kamran, caché dans une application Android distribuée par une attaque de puits d'irrigation sur Hunza News, un site ciblant les utilisateurs parlant urdu résidant dans la région Gilgit-Baltistan au Pakistan.

Des échanges de cryptoactifs piratés ?

• L'échange de crypto-monnaie Poloniex a perdu 130 millions $ de fonds après un vol de sa hot wallet.
• Une plateforme DeFi a perdu 3,3 millions de dollars de crypto-monnaie suite à une exploitation d'une vulnérabilité.

WTF

A TRIER

• Une attaque informatique a perturbé le système d'alarme médicale personnelle de Tunstall, principalement utilisé par les personnes âgées.
• L'organisation de santé américaine McLaren Health a subi une attaque par ransomware menée par le gang AlphV (BlackCat), exposant ainsi les données personnelles et médicales de 2,2 millions de clients.
• La Clop cybercrime group a volé les données personnelles de plus de 1,3 million de résidents du Maine dans une attaque contre les serveurs MOVEit.
• Le groupe hacktiviste Anonymous Sudan prétend être à l'origine de deux attaques DDoS contre Cloudflare et OpenAI.
• Attaque de la chaîne d'approvisionnement de TDS qui a permis à un acteur menaçant de s'infiltrer dans les réseaux de ses clients.
• Opérateur de ports australien DP World a suspendu ses opérations à plusieurs ports après une attaque cybernétique qui a mis hors service ses systèmes informatiques. Suspicion d'une attaque par rançongiciel.

A TRIER- 2

• Gang AlphV/BlackCat affirme avoir piraté les systèmes informatiques de Dragos via un de ses fournisseurs tiers, et a publié les données sur un site web sombre pour forcer le paiement d'une rançon.
• Campagne de malware ciblant les influenceurs du jeu vidéo en France.
• Une activité Gafgyt tente d'hijacker les routeurs Huawei à domicile.
• CISA et Fortinet ont publié une analyse sur Rhysida, un nouveau ransomware en tant que service lancé en Mai qui a sensiblement augmenté ses opérations.
• Nouvelle forme de malware Linux qui exploite le filtre Berkeley Packet Filter pour obtenir des privilèges d'accès au noyau sur des serveurs Linux compromis.
• Une menace est en cours ciblant des instances publiques du moteur API Docker pour infecter les infrastructures cloud avec un nouveau malware nommé OracleIV.
• NCC Group a effectué une analyse approfondie de Medusa, une plate-forme RaaS en activité depuis juin 2021.

A TRIER- 3

• NCC Group a publié un rapport approfondi sur le framework Cobalt Strike.
• Kaspersky a publié un rapport sur le logiciel malveillant Ducktail et l'une de ses campagnes les plus récentes.
• Dragon Babu, un rootkit Windows ciblant des utilisateurs chinois pour rediriger le trafic web vers des sites publicitaires.
• Les entreprises Qihoo 360 et Trend Micro ont publié des rapports sur le ransomware C3rb3r, déployé sur des serveurs Atlassian Confluence piratés via la faille CVE-2023-22518.
• Une méthode a été découverte par Bitdefender pour accéder à l'environnement Google Workspace d'une organisation à partir d'une seule machine.
• Une recherche sur les erreurs de frappe a révélé qu'elles sont courantes dans les réponses HTTP.
• Audit de la sécurité WhatsApp réalisé par NCC Group sur la bibliothèque d'algorithmes cryptographiques Auditable Key Directory (AKD).

OSEF (USA)

• Meta s'oppose aux législateurs américains qui veulent protéger les enfants sur leur plateforme en exigeant l'approbation parentale pour l'installation d'applications dangereuses.
• Microsoft propose 3 ans de mises à jour de sécurité payantes pour Windows Server 2012/R2 pour aider ses clients entreprises à mettre à jour leurs systèmes.
• Le Parlement européen rejette le contrôle de la CSAM par les entreprises et les mécanismes de vérification de l'âge.
• Le Comité sénatorial de la sécurité intérieure et des affaires gouvernementales a avancé la nomination de Harry Coker pour le rôle de Directeur National de la Cybersécurité à la Maison Blanche.