• romain
• 3 décembre 2023

Matinale cyber du 03 décembre 2023

La UNE

• on a pas vraiment parlé du nouveau commandement cyber en FR
• Sample Approach to Hypervisor 0-Days w/ Custom OS Development | Advanced Offensive Cybersecurity Training
• Un regard sur la machine de contrôle de l information russe
• Le gouvernement français interdit l'utilisation d'applications de messagerie chiffrées étrangères et recommande l'utilisation de solutions locales.
• La franchise de ransomware BlackBasta a fait plus de 100 millions de dollars en CA
• Un service de crypto-monnaies fermé après avoir volé 71 millions de dollars en crypto monnaies
• Les Européens se mettent de plus en plus à la cyber assurance d'après l'ENISA

Annonces

• Staples a dû mettre hors ligne des systèmes informatiques pour contenir une incident de cybersécurité et limite ses capacités de traitement et de livraison des ordres sur son site web.
• Microsoft a déprécié l'Application Guard pour Office après seulement 4 ans.
• Les bannissements des canaux Telegram sont inefficaces et les contenus partagés sur ces canaux se propagent malgré tout.
• Monzo a ajouté une nouvelle fonctionnalité qui permet de déterminer si un client est victime d'une arnaque lorsqu'il est en contact avec un agent d'assistance.
• CISA publie sa première alerte Secure by Design pour encourager les fournisseurs de logiciels à prendre des mesures pour concevoir des interfaces de gestion web plus sûres.

Annonces- 2

• Un nouveau logiciel d'espionnage informatique nommé Nova est annoncé sur le marché illicite de la cybersécurité.
• Synology a corrigé les bugs utilisés lors du concours de piratage Pwn2Own Toronto 2023 de ce mois-ci.
• Google annonce un investissement de 10 millions de dollars dans des programmes de formation en cybersécurité à travers l'Europe.
• Les flux en direct de la conférence Amazon re:Invent sont disponibles sur le compte YouTube AWS Events.
• 18 agences gouvernementales et de sécurité cyber publient une directive conjointe sur le développement sûr et sécurisé des systèmes d'IA.

Attaques et piratages

• La société NXP a été piratée par des attaquants soutenus par l'État chinois pour voler le design des puces.
• Intrusion réussie dans l'Agence japonaise d'exploration aérospatiale, exploitant une vulnérabilité d'un périphérique réseau.
• Incidents de sécurité informatique chez Capital Health ayant entraîné des pannes de réseau dans des hôpitaux des États-Unis.
• Attaque par ransomware qui a perturbé les services d'hôpitaux appartenant à Ardent Health aux États-Unis.
• Attaque de rançongiciel Ethyrial qui a affecté 17 000 comptes et inventaire du jeu Ethyrial: Echoes of Yore.
• CTS, un fournisseur de services informatiques partagés, a subi une cyberattaque par le groupe ransomware LockBit et impacte plus de 80 cabinets d'avocats britanniques.

Arrestations

• Le groupe N4ughtySecTU a piraté et extorqué TransUnion et Experian pour 30 millions de dollars chacun, menaçant de publier leurs données en ligne
• Arrestations de Viktor Zhora et Yurii Shchyhol, accusés d'avoir contracté des logiciels à des prix gonflés.
• Le fondateur de HackingTeam a été arrêté en Italie pour tentative de meurtre.
• Un criminel ukrainien a été condamné à huit ans de prison pour avoir exploité SSNDOB, une plateforme illégale vendant les informations personnelles de plus de 24 millions d'Américains.
• Un juge de Floride a condamné un citoyen indien à 4 ans et 3 mois de prison pour blanchiment d'argent pour un réseau de centres d'appels indiens.
• 5 membres d'un groupe de cybercriminels qui ont mené plus de 1800 attaques ransomware dans 71 pays ont été arrêtés en Ukraine.

Arrestations- 2

• Un juge des États-Unis a condamné un jeune de 24 ans à 96 mois de prison pour avoir effectué des opérations de piratage de comptes Instagram par substitution de carte SIM.
• Un politicien nigérian a été arrêté en lien avec le hack de l'exchange de cryptomonnaie Patricia de mai 2023, où 750 000 $ ont été envoyés sur le compte bancaire de Wilfred Bonse.
• Des acteurs connus sous le nom de Plessy et WhiteVendor sont liés à une nouvelle souche de rançongiciel nommée MadCat.
• Antiy examine Lockbit, le gang de rançongiciels ayant attaqué la Banque Industrielle et Commerciale de Chine.
• ShadowStackRE a publié une analyse du ransomware LostTrust, qui est devenu l'un des groupes les plus actifs en octobre.

Industrie

• AT &T lancera une division de MSSP en partenariat avec WillJam Ventures au premier trimestre 2024.

Articles

Vulnérabilités

• Un bug dans le système de stockage de fichiers OpenZFS corrompt les fichiers lorsqu'ils sont copiés.
• Le Service des Signaux australiens a mis à jour le Modèle de maturité Essential Eight, un ensemble de huit recommandations de base en matière de cybersécurité initialement publiées en 2017.
• La campagne de rançonnage Cactus exploite trois vulnérabilités pour accéder aux réseaux d'entreprise via des serveurs Qlik Sense.
• Un nouveau botnet nommé GoTitan exploitant la vulnérabilité CVE-2023-46604 d'Apache ActiveMQ a été découvert par Fortinet.
• Publication d'une analyse de la vulnérabilité CVE-2023-46214 du SIEM Splunk et d'un PoC.
• Zyxel publie des mises à jour de sécurité pour corriger 15 vulnérabilités dans ses produits firewall et NAS.

Vulnérabilités- 2

• Des chercheurs de Binarly ont découvert des vulnérabilités dans des bibliothèques d'images de BIOS firmware, appelées LogoFAIL, qui permettent aux menaces d'exécuter du code malveillant et de prendre le contrôle des appareils.
• Apple a corrigé deux zéro-jours WebKit exploités dans le monde réel et met à jour iOS et macOS.
• Google a publié des mises à jour de sécurité pour Chrome suite à une vulnérabilité exploitée dans la nature (CVE-2023-6345).
• Les chercheurs de Bishop Fox ont découvert une série de vulnérabilités dans Ray, un framework informatique unifié open source.
• Dix vulnérabilités ont été découvertes dans le système d'apprentissage en ligne Chamilo, dont des RCE pré-authentification.
• Preuve de concept publiée pour la vulnérabilité CVE-2023-46214, une RCE sur Splunk Enterprise qui a été corrigée ce mois-ci.
• La nouvelle attaque BLUFFS permet aux attaquants d'exposer les appareils Bluetooth communiquant en mode Secure Connections à des attaques de type man-in-the-middle.

Vulnérabilités- 3

• Plusieurs acteurs menacent de scanner le web pour exploiter une vulnérabilité récemment patchée dans ownCloud, ce qui peut mener à des fuites de mot de passe d'administrateur et de serveur de courriels.
• Une vulnérabilité permettant la prise de contrôle à distance (CVE-2023-41913) a été corrigée dans la solution de VPN strongSwan.
• Rivian a corrigé une mise à jour de firmware qui avait bloqué 3% de ses systèmes d'infodivertissement, en raison d'un certificat défectueux.
• Analyse de GreyNoise concernant une vulnérabilité d'ownCloud qui est exploitée dans la nature avec des conditions strictes.
• CISA alerte sur une exploitation des PLCs Unitronics par un groupe hacktiviste iranien, Cyber Av3ngers, et recommande d'activer la MFA et de retirer les appareils du réseau ou de les placer derrière un pare-feu.

Hacking Web

Hacking Windows

Campagne et Exploitations

• Campagne en cours ciblant les utilisateurs bancaires iraniens avec des chevaux de Troie.
• Campagne de spear-phishing ciblant l'armée syrienne dont le payload est le RAT Android SpyMax.

Data Leaks

• Okta a subi une fuite de données en octobre et a dû notifier tous ses clients pour activer l'authentification à deux facteurs.
• Fuite de données impactant près de 2 millions d'utilisateurs de Dollar Tree, une chaîne de magasins américano-canadienne.
• Plus de 300 000 informations personnelles des utilisateurs Line ont été volées par un hacker qui a infecté un ordinateur d'un sous-traitant.
• Une fuite de données d'un million et demi de clients de la chaîne hôtelière Taj Hotels est mise en vente sur un forum de cybercriminalité.
• Le groupe hacktiviste Pro-Ukrainien Cyber Resistance a piraté et divulgué des données du Ministère de la Défense Russie concernant leur obsession à suivre les médias concernant l'armée russe et la guerre en Ukraine.
• Gulf Air a subi une violation de sécurité et des données des clients ont pu être accédées par un acteur menaçant.

Data Leaks- 2

• New Relic enquête sur une violation de sécurité de son infrastructure, et contactera les clients affectés si leurs données ont été compromises.
• Une fuite de données sur Plex expose les préférences pornographiques des utilisateurs.
• Google enquête sur des rapports de perte de données sur Google Drive remontant à Mai 2023.
• Un canal Telegram fournit des informations sur les numéros de sécurité sociale américains pour des prix allant de 8 à 40 $, probablement à partir de comptes USinfoSearch compromises.
• Solution de partage et de synchronisation ownCloud a publié trois mises à jour de sécurité critiques avec des scores de sévérité de 9, 9.8 et 10, dont une vulnérabilité qui peut être utilisée pour fuir les mots de passe et les informations de connexion à un serveur de messagerie.

Géopolitique

• Une attaque cybernétique a infecté le réseau informatique du plus grand fournisseur d'énergie de Slovénie, HSE, avec un cryptovirus qui a chiffré les fichiers et empêché le personnel d'accéder aux systèmes.
• L'Ukraine prend crédit pour un piratage de la Rosaviatsiya, une agence civile de l'aviation russe, et a obtenu un grand volume de documents confidentiels.
• NAFO sabote le média social 'Truth Social' de Trump à travers des trolls.
• Exercice de cybersécurité pour les élections européennes afin de tester la résilience des systèmes électoraux et de préparer les agences et les officiels européens.
• Progrès sur le Cyber Solidarity Act de l'UE ralenti et le nouvel effort législatif européen semble être englué dans diverses commissions.
• Le directeur des opérations en cybersécurité du gouvernement américain, Rick Therrien, a déclaré que le service des impôts américain était en train d'améliorer ses journaux de réseau.
• Le gouvernement russe a ajouté le porte-parole de Meta, Andy Stone, à la liste des personnes les plus recherchées du pays.
• Un groupe hacktiviste iranien a pris le contrôle des stations de renforcement d'eau opérées par l'autorité d'eau de la ville d'Aliquippa, en Pennsylvanie.

Threat Intel

• Campagne malicieuse de ScamClub qui a réussi à intégrer des publicités malveillantes sur des sites respectables tels que l'Associated Press, ESPN et CBS.
• ESET a publié le deuxième article sur Telekopye, un bot Telegram utilisé pour créer des pages de phishing pour divers marchés en ligne russes.
• Les chercheurs Embee ont identifié 12 serveurs de contrôle et de commande pour l'opération PrivateLoader.
• Campagne ciblant des utilisateurs de macOS avec les malwares RustBucket et KandyKorn, liée à la Corée du Nord.
• Analyse des méthodes de fabrication de faux authentifiés pour des fichiers multimédia sécurisés avec C2PA.

Menaces

• Amnesty International, AccessNow et CitizenLab soutiennent la conclusion de la Fondation SHARE selon laquelle des traces du logiciel espion Pegasus ont été trouvées sur les appareils de deux membres de la société civile serbe.
• 13 agences et départements gouvernementaux canadiens disposent de logiciels espions et d'outils de piratage fournis par des entreprises comme Cellebrite, Magnet Forensics et Grayshift.
• Analyse des tactiques de l'attaquant Rare Wolf qui cible les utilisateurs et les organisations russes.
• Groupe de criminalité informatique russe connu sous le nom de Shadow/Comet/Twelve qui a récemment ciblé une usine d'une entreprise russe de semi-conducteurs.
• Apple envoie des experts en sécurité en Inde pour enquêter sur des cas de logiciels espions trouvés sur des iPhones d'opposants politiques.
• MEOW Leaks est un groupe qui opère depuis septembre et qui vise le Vanderbilt University Medical Center.

Menaces- 2

• 83 serveurs suspects identifiés par Embee qui pourraient être liés à la nouvelle infrastructure du botnet Qakbot.
• AhnLab a publié un rapport sur une opération Kimsuky ciblant des instituts de recherche en Corée du Sud.
• Un acteur de menace suspecté d'être chinois cible le Sud-Corée et l'Ouzbékistan avec la variante de logiciel malveillant SugarGh0st RAT, basée sur Gh0st RAT.
• L'agence ukrainienne CERT a mise en garde contre une série d'attaques par le logiciel malveillant Remcos RAT attribuées à UAC-0050.
• La firme de sécurité Positive Technologies a détecté le groupe Hellhounds menant des intrusions contre des organisations russes et provoquant des coupures chez un opérateur de télécommunications russe.
• Meta a du mal à repérer les campagnes coordonnées étrangères depuis que les juges américains interdisent aux agences gouvernementales américaines de communiquer avec eux. Ils ont publié un rapport sur les menaces pour le troisième trimestre 2023 incluant des informations sur trois opérations d'influence majeures, dont deux d'origine chinoise et une russe.
• Intezer a lié le backdoor SysJocker à un groupe APT appelé WildCard lié à la guerre israélo-hamas en cours.

Menaces- 3

• L'analyse Check Point révèle que le logiciel malveillant multi-plateforme SysJocker est utilisé par l'APT Hamas lié au Gaza Cybergang.

Logiciels malveillants

• Analyse d'un cluster de logiciels espions pour Android par Symantec, sans détails sur l'origine du malware.
• Une nouvelle trojan bancaire Android nommée FjordPhantom, qui utilise des applications de virtualisation pour cacher son comportement malveillant, est en train d'être propagée par le biais de messages de spam et cible des utilisateurs en Asie du Sud-Est.
• Campagne récente de RedLine Stealer qui utilise le brouilleur ScrubCrypt.
• Recherche sur un nouveau volteur d'informations .NET appelé Serpent annoncé sur des forums de hackers.
• Les chercheurs de Logpoint ont publié une analyse technique du ransomware Cactus.
• Xaro ransomware distribué par des applications gratuites piégées.
• Un analyse a été publié sur RisePro, un infostealer qui a été lancé en 2022 comme un service managé (MaaS).
• Parallax RAT, un cheval de Troie à distance lancé en 2019 et toujours utilisé dans des attaques aujourd'hui, principalement via des pages empoisonnées SERP.
• Sangfor analyse le ransomware Tellyouthepass après que plusieurs entreprises chinoises aient été touchées ces dernières semaines.

Outils

• Google a lancé un nouveau domaine de premier niveau .meme.
• Google a développé et partagé des détails sur RETVec, un système de détection de spam et d'e-mails malveillants intégré à Gmail, et disponible sur GitHub.
• Meta a déployé une nouvelle fonctionnalité appelée WhatsApp Secret Code qui permet aux utilisateurs de verrouiller et de mettre des conversations sensibles derrière une demande de mot de passe.
• 58 paquets malveillants npm ont été découverts la semaine dernière.
• Acros Security a publié un micro-patch pour une nouvelle technique de relais NTLM dévoilée par Check Point.
• Un nouvel outil open source a été publié pour supprimer ou contenir les comptes Amazon Web Services (AWS) lors d'incidents de sécurité.

Outils- 2

• Juxhin a développé un outil nommé Have I Been Squatted pour vérifier si un domaine est typosquatté.
• L'outil IceKube, librement disponible par la société de sécurité WithSecure, permet de trouver des chemins d'attaque dans un cluster Kubernetes à partir d'un point de privilège faible.
• Stephen Shaffer a publié un nouvel outil open source, CVSS-BT, qui enrichit les scores CVSS des NVD avec des métriques temporelles et de menace.
• Un nouvel outil open source, DeleFriend, a été créé pour accéder aux données des utilisateurs du Workspace via des comptes de service GCP.
• La Fondation pour la sécurité open source (OpenSSF) a publié un guide sur la façon dont les projets open source peuvent devenir une autorité d'attribution des numéros CVE (CNA).
• Airbus a publié un nouvel outil open-source pour les environnements Windows Active Directory.

Data Sécu

• La plainte de la Commission européenne contre Meta dénonce une tarification de 9,99€ par mois pour l'utilisation des données des utilisateurs, en violation des droits fondamentaux à la vie privée.
• Nouvelle législation sur la réforme FISA qui relaxe les règles sur les demandes de surveillance de la part du FBI.

APTs

• QiAnXin a publié un rapport sur l'APT Patchwork et ses dernières campagnes utilisant les logiciels malveillants Remcos et Spyder.
• Le groupe d'espionnage nord-coréen Andariel exploite la vulnérabilité CVE-2023-46604 d'Apache ActiveMQ pour déployer les backdoors NukeSped et TigerRat.
• Le groupe de piratage APT XDSpy a visé des entreprises russes dans les secteurs de la métallurgie et de l'industrie militaire.
• Campagne de spear-phishing APT37 (Reaper) ciblant des organisations sud-coréennes.
• Le groupe APT-C-35 DoNoT a lancé une campagne contenant le cheval de Troie Remcos RAT.

Des échanges de cryptoactifs piratés ?

• Piratage de la plateforme KyberSwap, le hacker réclame le départ de la direction et le contrôle de la plateforme en échange des actifs volés.
• Deux plateformes de cryptomonnaies liées à Justin Sun ont été piratées, entraînant une perte estimée de $115 millions.
• Hacker qui dérobe $46 millions d'actifs de la plateforme de trading KyberSwap et qui est offert une récompense pour retourner les fonds.
• Les États-Unis ont saisi le service de mélange de cryptomonnaie Sinbad qui était utilisé par des hackers nord-coréens pour blanchir des fonds volés sur des plateformes de cryptomonnaies.
• Rapport publié par Recorded Future sur les vols de cryptomonnaies commis par la Corée du Nord.