Matinale cyber du 10 décembre 2023
- romain
- 10 décembre 2023
Matinale cyber du 10 décembre 2023
La UNE
- L'angleterre convoque l'ambassadeur Russe après une affaire de hacking liée au groupe Callisto
- L'ICANN lance un service dédié aux FDO pour obtenir des informations précises sur les enregistrements de noms de domaines
Annonces
- Le Royaume-Uni dément le piratage du site nucléaire Sellafield décrit par le Guardian.
- Microsoft offrira des mises à jour de sécurité payantes pour Windows 10 pendant trois ans après la date de fin de support officielle le 14 octobre 2025.
- CISA publie une alerte SbD pour encourager les développeurs à passer aux langages de programmation sécurisés.
- L'agence canadienne de cybersécurité a publié un guide de cybersécurité pour prévenir les opérations d'influence en ligne pendant la campagne électorale.
- Yurii Myronenko a été nommé à la tête du Service d'État de Communications et de Protection des Informations Spéciales d'Ukraine, après le licenciement de Yurii Shchyhol pour des allégations d'embezzlement.
- Examen des quatre principaux DDoS booters sur le marché par Searchlight Cyber.
Annonces- 2
- Le groupe Apache CouchDB a publié une mise à jour de sécurité urgente à appliquer immédiatement.
- Les vidéos de la conférence de sécurité Nullcon 2023 sont disponibles sur le site web officiel.
- Apple encourage l'utilisation de l'encryption E2EE comme moyen principal de défense contre les fuites de données.
- Selon Acer et Quanta, Windows 12 devrait être lancé en juin 2024.
- Douze entreprises technologiques mondiales ont signé une Charte de lutte contre la fraude en ligne avec le gouvernement britannique.
- L'UE a adopté une loi sur la résilience cybernétique qui impose aux vendeurs de produits intelligents de sécuriser leurs produits, d'offrir des mises à jour de sécurité gratuites et automatiques, de s'assurer que les données sont cryptées et enfin, d'informer les autorités en cas d'attaque.
Annonces- 3
- Le DOD IG a publié un document avec 24 recommandations pour lutter contre les vulnérabilités en cybersécurité au sein des contrats du DoD.
- Meta a mis en place des conversations chiffrées bout-à-bout par défaut pour ses un milliard d'utilisateurs de Facebook Messenger, avec le protocole Labyrinth.
Attaques et piratages
- Nissan a confirmé une violation de ses systèmes financiers et recherche si des données utilisateurs ont été accédées.
- Plus de 2 600 entreprises à travers le monde ont été affectées par les attaques MOVEit, dont Pan-American Life Insurance Group (PALIG), et les données de 77 millions d'utilisateurs ont été volées.
- Une attaque de rançongiciel ciblant Tipalti a été menée par le groupe AlphV et pourrait conduire à des extorsions de la part des clients Roblox et Twitch.
- Attaque de ransomware en cours contre Trellance, fournisseur de services IT aux 60 unions de crédit américaines.
- Plus de 15.000 bibliothèques Go gérées par des comptes GitHub vulnérables aux attaques de repojacking.
Arrestations
- La société Austral, constructeur de navires et fournisseur de services de défense, a été victime d'une attaque de ransomware.
- Le groupe de hackers nord-coréen Andariel a violé et volé des informations sensibles de certaines entreprises de défense sud-coréennes et engagé des attaques de rançonnage.
- Une affaire Pegasus en Mexique a révélé un espionnage du président Peña Nieto sur les plus grandes figures d'affaires du pays.
- Un juge a ordonné l'extradition d'un Ukrainien aux États-Unis pour le développement de l'infostealeur Raccoon.
- Plus de 1 100 arrestations de mules d'argent et 11 000 identifiés par Europol, Interpol et des agences de l'application de la loi dans 26 pays.
- Deux suspects accusés de piratage de la plateforme DeFi Platypus Finance ont été libérés par un tribunal français.
Arrestations- 2
- Un membre de la gang Trickbot a plaidé coupable pour le développement et le déploiement de la malveillance Trickbot.
- UAC-0006, un groupe de cybercriminels qui cible des membres de la société ukrainienne pour voler des fonds à l'aide de SmokeLoader.
- Reuters a retiré un article sur une entreprise indienne qui fournit des services de piratage depuis plus d'une décennie suite à une ordonnance préliminaire de la cour indienne.
Industrie
- Microsoft a nommé Igor Tsyganskiy au poste de chef de la sécurité de l'information, quelques mois après qu'une attaque de pirates chinois ait compromis le réseau interne de l'entreprise.
- L'entreprise de sécurité cloud Wiz a acquis Raftt, une startup fournissant des environnements Kubernetes faciles à utiliser pour les développeurs.
Articles
- Analyse de l'attaque par vagues sur Outlook de Microsoft par le chercheur Haifei Li de Check Point.
- Une enquête a révélé que deux fournisseurs de proxy, opérés en Russie et aux États-Unis, ont été utilisés pour une attaque massive DDoS contre Rappler, le principal organisme de presse indépendant en Indonésie.
- Patrick Garrity a publié une introduction de 14 minutes au système de score Exploit Prediction Scoring System (EPSS), géré par FIRST et pris en charge par plus de 50 produits de sécurité.
Vulnérabilités
- Procédure judiciaire entre Elcomsoft et MKO-Systems, qui semble suggérer l'utilisation d'une vulnérabilité zero-day d'iOS 16 par Elcomsoft.
- Une nouvelle variante de ransomware appelée Turtle est capable de chiffrer des fichiers sur Windows, Linux et macOS.
- Vulnérabilité RCE rare pour 2 versions récentes de WordPress qui nécessite des plugins ou le mode multisite.
- 21 vulnérabilités trouvées dans les solutions populaires pour les réseaux industriels et critiques, notamment Sierra Wireless Airlink et les composants open-source TinyXML et OpenNDS.
- Une vulnérabilité non corrigée a été identifiée dans la passerelle IoT Syrus4, laissant les flottes de véhicules vulnérables à des attaques d'arrêt.
- Deux vulnérabilités ont été publiées dans les appareils NAS Zyxel.
Vulnérabilités- 2
- Vulnérabilité identifiée dans les appareils SonicWall WXA qui permet un bypass d'authentification et une prise de contrôle à faible risque.
- Atlassian a publié des mises à jour pour corriger des vulnérabilités RCE sur plusieurs produits, à appliquer d'urgence.
- Une vulnérabilité Bluetooth critique (CVE-2023-45866) a été découverte et permet aux attaquants d'installer des applications malveillantes ou d'exécuter des commandes malveillantes sur Android, Linux, iOS et macOS.
- Attaque AutoSpill découverte sur Android qui exploite la fonction AutoFill pour récupérer des mots de passe et des secrets depuis des gestionnaires de mots de passe.
- Les chercheurs de SafeBreach ont identifié 8 nouvelles techniques d'injection de processus appelées Pool Party pour contourner les solutions EDR.
- Mise à jour de sécurité mensuelle pour les smartphones Android qui corrige trois zéro-jour rapportés par Qualcomm en octobre.
- Cisco a corrigé une vulnérabilité Firepower VPN révélée publiquement, sans exploitation détectée.
Vulnérabilités- 3
- Bug dans le jeu Magic: The Gathering Arena qui permet à un joueur de forcer l'adversaire à abandonner la partie.
- La vulnérabilité Thirdweb a été découverte dans un SDK de contrat intelligent et pourrait potentiellement mener à des vols de cryptomonnaies.
- Vulnérabilité de MW WP Form découverte par Wordfence qui peut mener à l'exécution de code arbitraire et qui est présente sur plus de 200 000 sites WordPress.
- Un acteur malveillant exploite une vulnérabilité Adobe ColdFusion, patchée en mars, pour accéder aux systèmes du gouvernement US.
- Les chercheurs de VUSec ont publié des informations sur SLAM, une nouvelle attaque latérale basée sur Spectre sur les processeurs Intel, AMD et Arm.
- Rhino Security a découvert et patché quatre vulnérabilités dans le système d'exploitation EXOS sur les commutateurs ExtremeNetworks.
- Des vulnérabilités d'ownCloud sont exploitées en ce moment.
Vulnérabilités- 4
- Le gouvernement français offre jusqu'à 20 000 euros à des chasseurs de bugs pour trouver des vulnérabilités dans les plateformes FranceConnect et AgentConnect.
- La vulnérabilité CVE-2022-28958 a été retirée de la base de données KEV de CISA après que VulnCheck ait découvert qu'elle n'existait pas.
- Trois vulnérabilités zero-day liées à Chrome et Safari ont été corrigées la semaine dernière.
- VMware a publié un correctif pour corriger une vulnérabilité annoncée il y a deux semaines dans le Cloud Director Appliance.
- Une vulnérabilité a été identifiée dans le service de visioconférence Zoom, permettant aux attaquants de prendre le contrôle des Zoom Rooms.
- Des vulnérabilités ont été détectées dans les systèmes de gestion des documents et des affaires utilisés par plusieurs cours des États-Unis, permettant à des acteurs malveillants d'accéder à des dossiers sensibles.
- Des chercheurs ont découvert des vulnérabilités dans le réseau d'accès radio ouvert (O-RAN) qui peuvent être exploitées pour crasher ou falsifier des informations dans une composante clé des architectures de réseau 5G.
Hacking Web
Hacking Windows
Campagne et Exploitations
- Campagne d'attaques du groupe Cyber Av3ngers associé à l'IRGC qui s'en prend à des équipements d'eau à travers les États-Unis en ciblant des PLCs Unitronics avec le mot de passe par défaut.
- Campagne de phishing récente qui livre le Stealer Lumma.
- Campagne de phishing de Lazarus sur Telegram visant des membres de l'industrie des cryptomonnaies et des projets DeFi.
Data Leaks
- 23AndMe a changé ses conditions générales et interdit aux utilisateurs de le poursuivre en justice après une fuite de données de 6,9 millions d'utilisateurs.
- Fuite de données de l'agence de voyage RailYatri, compromettant plus de 23 millions d'utilisateurs, en décembre 2022.
- La violation de sécurité de 23AndMe a affecté 6,9 millions d'utilisateurs, soit presque la moitié des utilisateurs estimés du site.
- Plus de 1 600 jetons de l'API Hugging Face exposés sur Internet via des référentiels GitHub, permettant à des attaquants d'accéder aux outils ML et basés sur l'IA développés à l'aide du service Hugging Face.
- La base de données Have I Been Pwned fête ses 10 ans avec plus de 731 bases de données piratées et 12.8 milliards de comptes.
Géopolitique
- Le nombre d'utilisateurs de VPN en Russie a augmenté de 37% cette année après l'intensification par les autorités du contrôle de la censure de l'internet.
- Mark Zuckerberg a donné 500 millions de dollars à l'université Harvard qui a muselé et désarmé une équipe d'universitaires qui étudiaient les campagnes de désinformation de Facebook.
- Une étude académique a révélé que le nombre croissant de commentaires toxiques postés sur Wikipedia est lié à la perte d'un certain nombre de bénévoles.
- ENISA et CISA ont signé un nouveau traité de coopération entre l'UE et les États-Unis.
- Cisco Talos a aidé les autorités ukrainiennes à développer du matériel résistant aux brouillages GPS de la Russie et à maintenir le réseau électrique en ligne face à la montée de la guerre électronique russe.
- Charles Michel a appelé à la création d'une force cybernétique européenne dotée de capacités offensives.
Géopolitique- 2
- La sous-commission de la Chambre sur la cybersécurité, les technologies de l'information et l'innovation gouvernementale a tenu une audience sur l'état de la sécurité de la chaîne d'approvisionnement logicielle la semaine dernière.
- Une campagne de propagande russe attribue à tort aux États-Unis le mauvais temps dans la Crimée à cause d'armes climatiques en Ukraine.
Threat Intel
- ENISA publie un rapport sur le paysage des menaces DoS, y compris un schéma de classification DoS.
- La campagne Zarya des hacktivistes pro-Kremlin cherche des serveurs Microsoft Sharepoint non patchés.
- Plus de 23 000 appareils Cisco IOS XE sont toujours infectés par une porte dérobée nommée BadCandy.
- Campagne de Cyber Toufan qui efface des données et qui prétend attaquer des entreprises soutenant Israël.
- M-13 est une entreprise russe qui fournit des outils de surveillance et de minage à la gouvernement russe et le PDG a été condamné à neuf ans de prison aux États-Unis pour piratage et fraude boursière.
- Campagne de phishing ciblant les utilisateurs de Booking.com avec le logiciel de vol d'informations Vidar.
- Campagne de phishing ciblant les propriétaires de sites WordPress et annonçant un patch pour une CVE fictive avec un plugin contenant une backdoor.
- Les chercheurs de Kaspersky ont détecté un trojan proxy ciblant les utilisateurs de macOS, dissimulé dans des logiciels macOS crackés.
- Attaque brute-force sur des bases de données MSSQL suivie par une attaque de rançongiciel BlueSky.
- Les chercheurs OALABS ont publié des indicateurs de compromission et des tactiques, techniques et procédures pour le malware DanaBot.
Menaces
- Les autorités policières utilisent des métadonnées des notifications push d'Apple et de Google pour suivre et identifier des utilisateurs.
- Le département d'État américain offre une récompense de 10 millions de dollars pour des informations sur de nouvelles méthodes et technologies utilisées par les hackers nord-coréens pour blanchir leurs fonds.
- CyberAv3ngers scanne le Web à la recherche de PLCs Unitronics non sécurisés.
- Le rapport de fin d'année de Cisco Talos indique que les rançongiciels, les chargeurs de marchandises et les APTs ont dominé le paysage des menaces en 2023, avec trois bugs Microsoft comme CVEs les plus exploités.
- Les groupes hacktivistes iraniens s'étendent à des cibles internationales au milieu de la guerre Israël-Hamas.
- ACTIVITÉ NOUVELLE DU GROUPE TWISTED SPIDER : le groupe utilise le malware DanaBot pour accéder aux réseaux d'entreprise et déployer le ransomware Cactus par des activités manuelles.
Menaces- 2
- Un acteur de menace appelé AeroBlade cible des organisations américaines du secteur aérospatial avec l'objectif de mener une cyber-espionnage commercial.
- Selon Arkose Labs, 73% du trafic Internet observé au 3ème trimestre 2023 était généré par des bots, dont certains étaient malveillants et d'autres utilisés pour l'automatisation et d'autres tâches.
- Une série de deux parties sur Stealc, un nouvel infostealer annoncé sur le marché cybercriminel depuis le début de l'année.
- UAC-0050 mène des campagnes de phishing qui ciblent l'Ukraine et la Pologne avec le RAT Remcos et le MeduzaStealer.
- Le groupe de menace russe Doppelganger a utilisé des citations fausses attribuées à diverses célébrités pour promouvoir la propagande anti-Ukraine.
- Le groupe d'attaque nord-coréen Bluenoroff utilise le chargeur de logiciels malveillants RustBucket sur macOS.
- Qihoo 360 a publié un rapport sur le groupe d'attaquant APT-C-28 et ses campagnes récentes qui livrent la porte dérobée Chinotto.
Logiciels malveillants
- Recherche sur le chiffreur ESXi utilisé par le gang Qilin ransomware.
- Une nouvelle version du botnet P2PInfect ciblant les périphériques MIPS a été détectée.
- Une famille de logiciels espions Android appelée SpyLoan, déguisés sous forme d'applications de prêt, a été téléchargée plus de 12 millions de fois et ciblée principalement des utilisateurs en Asie du Sud-Est, en Afrique et en Amérique latine.
- CyFirma étudie le malware DanaBot qui circule depuis 2018.
- Intrinsec a publié un rapport technique sur les opérations typiques d'une intrusion de ransomware Akira.
- Q3k a découvert du code caché dans les trains Newag qui provoque des erreurs et bloque le train lorsqu'il est réparé par des ateliers tiers.
Outils
- Google a publié la version 120 de Chrome, avec de nouvelles fonctionnalités et des mises à jour de sécurité.
- Le système de messagerie RCS de Google est maintenant activé sur plus d'un milliard d'appareils Android.
- L'armée informatique ukrainienne a publié un nouveau kit d'outils DDoS.
- Une nouvelle RAT Android nommée Spyro1d est vendue en ligne, et un nouvel infostealer Windows nommé Laze a été trouvé sur GitHub.
- Vingt et un paquets malveillants npm ont été découverts la semaine dernière.
Outils- 2
- G0njxa interviewe InCrease, l'auteur du chargeur Amadey.
- Un nouveau malware Linux nommé Krasue est en cours d'utilisation pour de nouvelles opérations de cybercriminalité et utilise le protocole RTSP pour les canaux de contrôle et commande, et trois projets open-source pour créer un rootkit puissant.
- Examen de l'outil de contrôle à distance Csharp-streamer RAT par Michael Zimmer de G DATA.
- Mozilla publie un audit de sécurité de son produit VPN.
- La recherche DirectDefense a développé un jailbreak à trois exploits pour les appareils Chromecast.
- CelesteBlue a publié PsFree, une exploitation basée sur WebKit pour rooter les systèmes PlayStation 4 et 5.
- Les chercheurs de Jamf ont mis au point une technique pour tromper les utilisateurs en leur faisant croire qu'ils ont activé le Mode Verrouillage sur leurs iPhones.
Outils- 3
- IBM X-Force a publié ADOKit, un outil open source utilisé pour attaquer les services Azure DevOps en exploitant l'API REST.
- Bart Blaze a publié FARA, un dépôt proposant des règles Yara erronées à des fins d'entraînement pour les nouveaux professionnels de la sécurité.
- Praetorian a publié un nouvel outil pour jailbreaker et décrypter les appareils de pare-feu virtuels Sonicwall NSv.
- Unicorn Security a open-sourced un outil appelé Tricard qui peut détecter les sandboxes de malware.
- Michael Haag a publié un nouvel outil, ASRGEN, pour tester les configurations visant à réduire la surface d'attaque d'un système.
- BYOVD : Bring Your Own Vulnerable Driver
Data Sécu
- YouTube ajoute un nouvel identifiant de suivi 'SI' aux liens partagés.
- Le gouvernement des États-Unis envisage de ne plus prendre en charge le navigateur Firefox sur ses sites Web car il ne pense pas que les visiteurs l'utilisent.
- Alan Rosa, ancien directeur de la sécurité de Twitter, intente un procès à la société pour licenciement abusif après avoir protesté contre les coupes budgétaires et contre la fermeture d'un logiciel qui partageait des données avec les autorités.
- Le juge a rejeté la tentative du Montana de bannir l'application TikTok, en violation de la Première Amendment de la Constitution des États-Unis.
APTs
- Campagne de l'APT28 ciblant une faille de Outlook (CVE-2023-23397) avec plus de 30 organisations en 14 pays ciblées sur les 20 derniers mois.
- Le groupe Teal Kurma (Sea Turtle) APT utilise le shell inversé Linux SnappyTCP dans ses attaques.
- Campagne d'opérations d'information de la part du groupe russe Doppelganger ciblant des auditoires en Ukraine, Allemagne et États-Unis avec du contenu généré par l'IA sur des sites de fausses nouvelles et des comptes sociaux.
- APT28 continue à exploiter la vulnérabilité CVE-2023-23397 dans Outlook pour voler des mots de passe NTLM et accéder aux serveurs Exchange, visant une large gamme d'organisations en Europe et en Amérique du Nord.
- Le département du Trésor des États-Unis a imposé des sanctions à l'encontre du groupe de hackers nord-coréen Kimsuky pour ses opérations de collecte d'informations.
- Une nouvelle APT a été identifiée qui a mené des opérations contre des organisations du Moyen-Orient, d'Afrique et des États-Unis depuis 2020, et qui utilise un malware personnalisé.
Des échanges de cryptoactifs piratés ?
- Piratage de portefeuille de cryptomonnaie Safe pour un montant estimé à 5 millions de dollars, utilisant une méthode d'empoisonnement des adresses.
- Le PDG de l'exchange de crypto-monnaies Bitzlato a plaidé coupable d'accusations liées à la blanchiment d'argent, impliquant des cartels criminels et des gangs de rançongiciels.