• romain
• 17 décembre 2023

Matinale cyber du 17 décembre 2023

La UNE

• Attaque cyber puissante qui a touché Kyivstar, le plus grand opérateur mobile ukrainien, et pourrait être attribuée à la Russie.
• Les prédictions pour l'année à venir
• V RieB-Marchive : la communication de crise de Coaxis, piratée par un ransomware est un exemple de bonne comm de crise
• retour sur le hack de NXP
• Des nouvelles du tribunal antitrust à propos de Fortnite et de l'accès au jeu sur Google Play Store
• WU : Twitter XSS + CSRF, une one-click takeover
• Un bug est exploité pour défiger des jeux CounterStrike 2 et obtenir les adresses IP des utilisateurs.
• Le point sur l'IA Act

Annonces

• Apple appelle à l'utilisation du chiffrement E2EE comme principal moyen de défense contre les fuites de données.
• La police fédérale australienne appelle les victimes de rançongiciel à signaler leurs attaques le plus rapidement possible.
• CISA publie une alerte de sécurité par conception pour encourager les développeurs à migrer vers des langages de programmation sécurisés.
• L'autorité américaine FTC avertit les consommateurs que des escrocs utilisent des codes QR pour les rediriger vers des sites malveillants.
• NCC Group publie son rapport annuel sur ses recherches.
• Le Patch Tuesday de décembre 2023 a mis à jour des failles de sécurité de plusieurs entreprises et a corrigé deux zéro-jours chez Apple.

Annonces- 2

• Microsoft a nommé Igor Tsyganskiy en tant que nouveau Chief Information Security Officer, après plusieurs mois de piratage par des pirates chinois.
• La société de sécurité cloud Wiz a acquis Raftt, une startup qui fournit des environnements Kubernetes centrés sur les développeurs.
• Les autorités de l'UE ont approuvé la première version de la loi sur l'IA, qui réglemente le développement et l'utilisation de l'intelligence artificielle dans l'UE.
• Microsoft offre des mises à jour de sécurité payantes pour Windows 10 pendant 3 ans après l'EOS.
• Broadcom force les clients de VMware à un modèle basé sur l'abonnement en arrêtant la vente des licences de support.
• Selon des rapports provenant de médias taïwanais, Windows 12 devrait sortir en juin 2024.

Attaques et piratages

• Attaque du groupe Rhysida sur Insomniac Games pour voler des captures d'écran et des artworks du prochain jeu vidéo Wolverine.
• Campagne d'attaques menées par le groupe de pirates d'Andariel pour voler des informations sensibles et effectuer des attaques de rançonnage.
• Une attaque de ransomware de la société Tipalti a été révélée par le groupe AlphV, avec l'intention d'extorquer ses clients Roblox et Twitch.

Arrestations

• L'entreprise de construction navale et de défense australienne Austral a été victime d'une attaque par ransomware.
• Le Royaume-Uni dément avoir été piraté par des hackers Chinois et Russes sur le site nucléaire Sellafield.
• Le Royaume-Uni a imposé des sanctions à des individus et des entités liés à des opérations de cyberfraude.
• L'ancien président du Mexique, Enrique Peña Nieto, aurait commandité une opération d'espionnage via le logiciel espion Pegasus de la NSO Group contre les deux plus grands hommes d'affaires du pays.
• L'arrestation du leader du groupe de hacking Kelvin Security pour exploitation de vulnérabilités et vente d'accès aux systèmes piratés.
• Un membre du groupe de rançonnage Hive a été arrêté à Paris et son domicile à Chypre a été perquisitionné.

Arrestations- 2

• Appel du tribunal français pour relâcher des suspects qui ont piraté la plateforme de cryptomonnaie Platypus.
• Un ancien ingénieur en cloud condamné à deux ans de prison pour avoir piraté et endommagé le réseau cloud de son ancien employeur, une banque américaine.
• Amazon poursuit le groupe criminel REKK pour des fraudes de remboursement.
• Des serveurs AlphV sont en cours de remise en ligne, mais sans leur contenu, alors que la confirmation d'une action de police n'a pas été faite.
• Gang de criminels qui utilisent des dispositifs de suivi Bluetooth pour géolocaliser des victimes ou des matériaux illégaux.
• Les centres de fraude cybernétique qui utilisent des opérateurs kidnappés et exploités se répandent de l'Asie du Sud-Est à l'Amérique latine.
• Le CEO de Bitzlate, Anatoly Legkodymov, a plaidé coupable aux accusations de blanchiment d'argent, pour avoir aidé des cartels criminels et des gangs de rançonnage à blanchir plus de 700 millions de dollars de crypto-monnaies.

Arrestations- 3

• Le gouvernement néerlandais peut extraditer un Ukrainien aux États-Unis pour avoir développé le logiciel de vol d'informations Raccoon.
• Plus de 1100 arrestations pour blanchiment d'argent à l'échelle internationale, avec l'aide de près de 2800 institutions bancaires.
• Fortinet examine MrAnon Stealer, un nouveau voleur commercialisé via Telegram.
• Reuters retire un article sur Appin qui fournit des services de piratage depuis plus d'une décennie, suite à une ordonnance provisoire du tribunal indien après que Appin ait poursuivi Reuters.

Industrie

Articles

• WU : Twitter XSS + CSRF, une one-click takeover
• Un chercheur de Check Point analyse la surface d'attaque de Microsoft Outlook.
• Plusieurs agences gouvernementales des États-Unis ont publié des directives sur la sécurisation des chaînes d'approvisionnement logiciels.
• Le DOD IG a publié un document avec 24 recommandations pour lutter contre les vulnérabilités de sécurité chez les sous-traitants du DOD.
• Litige entre Elcomsoft et MKO-Systems quant à un possible zero-day iOS 16 utilisé par Elcomsoft et qui aurait été volé par MKO.

Vulnérabilités

• 38 % des applications utilisent toujours une version vulnérable de la bibliothèque Apache Log4j, deux ans après la découverte de la vulnérabilité Log4Shell.
• Le botnet Kinsing exploite la vulnérabilité zéro-jour récemment découverte sur Apache ActiveMQ (CVE-2023-46604).
• Nouvelle vulnérabilité Struts RCE qui est l'une des plus graves.
• SonarSource a découvert trois vulnérabilités (deux XSS, une injection de commandes) dans pfSense, une solution de pare-feu open-source.
• Rhino Security a découvert huit vulnérabilités dans le projet open source Silverpeas Core.
• Plus de 100 plugins WordPress vulnérables à des attaques XSS via leurs fonctionnalités de shortcode, affectant plus de 6 millions de sites.

Vulnérabilités- 2

• Mozilla a corrigé une attaque de canal latéral de timing dans le codebase NSS de Firefox.
• Une équipe d'universitaires a découvert 14 vulnérabilités dans les modems 5G Qualcomm et MediaTek affectant plus de 710 modèles de smartphones.
• Une mise à jour de sécurité a été publiée pour corriger une rare vulnérabilité RCE sur WordPress, qui n'a pas un grand impact.
• Forescout a identifié 21 vulnérabilités dans des solutions populaires utilisées dans des réseaux industriels et critiques, telles que les routeurs cellulaires Sierra Wireless Airlink et deux composants open-source, TinyXML et OpenNDS.
• Vulnérabilité Syrus4 non corrigée qui permet aux attaquants de mettre hors service des flottes de véhicules.
• BugProve a publié des informations sur deux vulnérabilités dans les périphériques NAS Zyxel.
• Des chercheurs de Praetorian ont identifié une contournement d'authentification et une exploitation à distance à distance (RCE) dans les appareils SonicWall WXA.

Vulnérabilités- 3

• Atlassian a publié 4 mises à jour pour corriger des vulnérabilités à distance à travers plusieurs produits.
• Une vulnérabilité Bluetooth critique (CVE-2023-45866) a été trouvée par le chercheur en sécurité Marc Newlin et permet aux attaquants d'installer des applications malveillantes et d'exécuter des commandes malveillantes sur Android, Linux, iOS et macOS.
• La vulnérabilité AutoSpill qui exploite la fonctionnalité Autofill sur Android pour voler des mots de passe a été découverte par des chercheurs indiens.
• La technique Pool Party permet d'échapper aux solutions EDR.
• Les mises à jour de sécurité mensuelles pour les téléphones Android sont disponibles et incluent des correctifs pour 3 zero-days rapportés par Qualcomm en octobre.
• Apache CouchDB a publié une mise à jour de sécurité rare et recommande à tous les utilisateurs de la patcher immédiatement.
• Cisco a corrigé une vulnérabilité Firepower VPN divulguée en ligne, aucune exploitation n'ayant été observée.

Vulnérabilités- 4

• Un chercheur de SpecterOps a trouvé un bug dans le jeu Magic: The Gathering Arena qui peut être exploité pour forcer les adversaires à abandonner les parties.
• Vulnérabilité Thirdweb : plus de 20 contrats intelligents populaires affectés et exposés au vol de crypto-monnaies.
• Vulnérabilité dans le plugin MW WP Form qui peut mener à une exécution de code arbitraire et affecte plus de 200 000 sites Wordpress.
• Les chercheurs de VUSec ont publié des détails sur SLAM, une nouvelle attaque Spectre sur les processeurs Intel, AMD et Arm.
• Rhino Security a trouvé et corrigé quatre vulnérabilités dans EXOS, le système d'exploitation de commutateurs ExtremeNetworks.
• Deux vulnérabilités de ownCloud exploitées dans la nature ont été examinées par l'entreprise de sécurité française Ambionics.
• Plus de 15 000 bibliothèques Go gérées par des comptes GitHub vulnérables aux attaques de repojacking.

Campagne et Exploitations

• Campagne récente Mustang Panda qui utilise le malware PlugX.
• De nouvelles campagnes Kimsuky sont en cours qui délivrent les malwares Amadey et RftRAT.
• Campagne de phishing Telegram à grande échelle menée par le groupe de piratage nord-coréen Lazarus ciblant le secteur des cryptomonnaies.
• Un acteur menace est en train d'exploiter une vulnérabilité de ColdFusion d'Adobe pour accéder aux systèmes du gouvernement des États-Unis.

Data Leaks

• Fuite de données chez Nissan, qui a affecté plusieurs autres fournisseurs automobiles en Australie.
• 23andMe a mis à jour ses conditions d'utilisation pour empêcher les utilisateurs de le poursuivre et les obliger à un accord d'arbitrage après une fuite de données affectant 6,9 millions d'utilisateurs.
• Fuite de données de l'agence de voyage RailYatri ayant affecté plus de 23 millions d'utilisateurs en décembre 2022.
• La fuite de données de 23AndMe affecte 6,9 millions d'utilisateurs, soit presque la moitié des utilisateurs estimés du site.
• Fuite de plus de 1600 jetons API de Hugging Face exposés sur GitHub, dont ceux de Microsoft, Meta, Google et VMware.

Géopolitique

• Un documentaire français a révélé comment TikTok a été utilisé pour influencer les jeunes électeurs taiwanais en faveur d'une possible annexion à la Chine.
• Le nombre d'utilisateurs VPN en Russie a explosé de 37% cette année, avec 11 millions d'utilisateurs, en raison de l'intensification de la censure sur Internet.
• Mark Zuckerberg a donné 500 millions de dollars à l'Université Harvard, ce qui a entraîné le silence et l'annulation par l'université d'une équipe d'académiciens étudiant les campagnes de désinformation de Facebook.
• Le nombre croissant de commentaires toxiques sur Wikipedia est lié à la perte de certains de ses bénévoles.
• L'Iran et la Russie ont signé un traité de coopération en cybersécurité.
• Le sénateur républicain Tommy Tuberville a partiellement levé son blocage sur les promotions de l'armée américaine, mais la NSA et CyberCommand attendent encore un nouveau chef.
• Piratage de box TV pour diffuser du contenu lié à la guerre Hamas-Israël.
• L'agence ukrainienne de renseignement affirme avoir piraté et effacé plus de 2 300 bases de données du service fédéral russe des impôts.

Géopolitique- 2

• ENISA et CISA ont signé un nouvel accord de coopération UE-États-Unis.
• La Cybersécurité Canadienne publie des guides destinés aux votants, aux campagnes et aux officiels pour prévenir les opérations d'influence en ligne lors des prochaines élections.
• Cisco Talos explique comment l'entreprise a aidé les autorités ukrainiennes à développer de nouveaux équipements pour résister aux brouillages GPS de la Russie et maintenir le réseau électrique du pays fonctionnel face à la montée de la guerre électronique russe.
• Piratage chinois aux Etats-Unis visant à préparer la disrupton des opérations américaines en cas de guerre à Taiwan et dans le Pacifique.
• Récapitulatif de PHDays 2023 et de l'impact de l'invasion de l'Ukraine par la Russie sur le marché de la cybersécurité.
• Trend Micro a fermé sa division de R&D en Chine et prévoit d'ouvrir un nouveau centre au Canada.

Threat Intel

• ENISA a publié un rapport sur le paysage des menaces DoS, incluant un schéma de classification DoS.
• Une application malveillante a été téléchargée sur le Microsoft Windows Store et contenait un payload pour le vol d'informations.
• ESET a découvert 116 paquets malveillants téléchargés sur PyPI, contenant le logiciel malveillant W4SP Stealer.
• Détection de malware npm qui cible une grande institution financière et tente d'exfiltrer des informations d'utilisateur vers un compte Microsoft Teams.
• Attaques utilisant des applications OAuth pour escalader les intrusions.
• Analyse des quatre principaux DDoS Booters disponibles sur le marché.
• Une investigation a révélé que l'infrastructure de deux fournisseurs de proxy, FineProxy et RayoByte, ont été utilisées pour mener un gigantesque attaque DDoS contre Rappler, l'agence de presse indépendante la plus importante d'Indonésie.
• Plus de 23 000 appareils Cisco IOS XE infectés par une backdoor intitulée BadCandy après une attaque à l'aide de deux zero-days.
• La gang ATMZOW déploie de nouveaux domaines pour le card skimming.

Menaces

• Les forces de l'ordre du monde entier utilisent des métadonnées de notifications Push pour suivre et identifier les utilisateurs.
• KillMilk, le leader du groupe hacktiviste KillNet, a annoncé sa retraite et a nommé un nouveau chef, Deanon Club, après que son identité réelle a été révélée par un journal russe.
• Depuis octobre, un acteur de menaces connu sous le nom de TA4557/FIN6 cible des recruteurs en se faisant passer pour des candidats potentiels.
• Les chercheurs de SilentPush ont publié les nouvelles méthodes utilisées par le groupe Scattered Spider responsable des récents piratages d'Okta, Twilio et MGM.
• Les acteurs de la menace utilisent une technique de masquage IP pour échapper à la détection.
• CyberAv3ngers utilise 6 adresses IP pour scanner le web à la recherche de contrôleurs PLC non sécurisés.

Menaces- 2

• L'année 2023 a été marquée par la domination des ransomwares, des loaders et des APTs selon le rapport de Cisco Talos.
• Quatre groupes de hacktivistes iraniens s'attaquent à des cibles internationales dans le cadre de la guerre israélo-palestinienne.
• Le groupe de hacktivistes pro-Kremlin Zarya à la recherche de serveurs Microsoft Sharepoint non mis à jour.
• Analyse publiée sur le groupe Rhysida, responsable du récent piratage d'Insomniac Games, créateur des jeux Spider-Man.
• Une enquête du Washington Post révèle que Disinfo Lab est une opération secrète menée par l'agence de renseignement indienne ayant pour but de discréditer les critiques du gouvernement indien.
• Campagne de phishing menée par le groupe russe UAC-0050 ciblant l'Ukraine et la Pologne avec le RAT Remcos et le MeduzaStealer.
• Les chercheurs de Kaspersky ont découvert le chargeur macOS RustBucket utilisé par le groupe de piratage nord-coréen Bluenoroff.

Menaces- 3

• Les recherches de Recorded Future ont mis en évidence une nouvelle campagne d'opérations de renseignement menées par le groupe russe Doppelganger.
• Q3k a découvert du code caché dans les trains Newag qui affichaient des erreurs fausses et bloquaient le train lorsqu'il était réparé dans des ateliers tiers.

Logiciels malveillants

• Analyse des chercheurs Zscaler sur le malware DarkGate qui a connu une augmentation en septembre et octobre 2020.
• Elastic a analysé les versions récentes de GuLoader, un vieux service de logiciel en tant que service.
• Analyse du nouveau RAT Csharp-streamer par Michael Zimmer de G DATA.
• Les chercheurs ShadowStackRE ont analysé le chiffreur ESXi utilisé par le gang de rançongiciels Qilin.
• Kaspersky a détecté un cheval de Troie proxy qui cible les utilisateurs macOS sous forme de logiciel macOS piraté.
• Un nouveau botnet P2PInfect ciblant les périphériques MIPS a été découvert.
• Attaque par ransomware BlueSky déployée sur les réseaux à la suite d'attaques par force brute sur les bases de données MSSQL.

Logiciels malveillants - 2

• Des chercheurs OALABS ont publié des indices d'opérations et les techniques, tactiques et procédures pour le malware DanaBot.
• ESET a découvert une famille d'applications de type logiciel espion cachées sous la forme d'applications de prêt, téléchargées plus de 12 millions de fois principalement en Asie du Sud-Est, en Afrique et en Amérique latine.
• Le groupe nord-coréen Lazarus a adopté un nouveau malware codé en langage D.

Outils

• WhatsApp a ajouté une fonctionnalité permettant aux messages vocaux d'expirer après un certain temps.
• Discord a ajouté le support des clés de sécurité et des passkeys.
• Meta a commencé à activer les conversations de chiffrement de bout en bout (E2EE) pour tous les utilisateurs de Facebook Messenger, sous le nouveau protocole Labyrinth.
• Google a publié la version 120 de Chrome avec de nouvelles fonctionnalités, dont le déclassement des cookies tiers et le choix du moteur de recherche par défaut pour l'UE.
• Cloudflare a publié son rapport annuel, révélant que 1,7% du trafic TLS 1.3 utilise une chiffrement post-quantum.
• L'Armée informatique ukrainienne a publié un nouveau kit d'outils DDoS pour ses membres.

Outils- 2

• Le RAT Android Spyro1d est commercialisé en ligne et le voleur d'informations Windows Laze est disponible sur GitHub.
• Trend Micro a publié un rapport sur la nouvelle technique d'injection de code d'AsyncRAT.
• Krasue : nouveau malware Linux en circulation depuis 2021 qui utilise le protocole RTSP et un rootkit pour s'installer et exécuter des opérations malveillantes.
• Mozilla publie un audit de sécurité de son produit VPN.
• Les chercheurs de DirectDefense ont développé un jailbreak pour les appareils Chromecast qui permet d'exécuter du code utilisateur.
• CelesteBlue a publié PsFree, un exploit basé sur WebKit pour rooter les systèmes PlayStation 4 et 5.
• Une technique qui permet de tromper les utilisateurs en leur faisant croire qu'ils ont activé le mode verrouillage sur leur iPhone.

Outils- 3

• Le cabinet de sécurité BishopFix a publié un nouvel outil nommé Swagger Jacker pour l'audit des fichiers de définition OpenAPI.
• CISA a publié un nouvel outil open-source, ScubaGoggles, destiné à évaluer les environnements Google Workspace.
• La base de données Have I Been Pwned fête ses 10 ans avec 731 bases de données et 12,8 milliards de comptes.
• IBM's X-Force a publié un outil open-source appelé ADOKit pour attaquer Azure DevOps Services en exploitant l'API REST disponible.
• Bart Blaze a publié FARA, un référentiel de règles Yara intentionnellement erronées, conçu comme un outil de formation pour les jeunes professionnels de la sécurité.
• Praetorian a publié un outil pour jailbreaker et décrypter les appareils de pare-feu virtuels Sonicwall NSv.

Data Sécu

• L'ancien directeur de la sécurité de Twitter poursuit l'entreprise pour licenciement abusif et pour avoir été invité à fermer des logiciels qui permettent de partager des données avec des agences de l'application de la loi.
• YouTube ajoute un identifiant de suivi à ses liens de partage qu'il est préférable de supprimer.

APTs

• Splunk publie un rapport sur PlugX, un malware utilisé par plusieurs APTs chinois.
• APT Sandman lié à une activité chinoise suspectée.
• Opération ITG05/APT28 exploitant la guerre Israël-Hamas pour livrer le backdoor Headlace.
• Unit42 de PAN a identifié les campagnes d'APT28 ciblant une vulnérabilité Outlook CVE-2023-23397 qui a été utilisée pour cibler 30 organisations dans 14 pays en 20 mois.
• Doppelganger, un groupe d'attaquants russes, a utilisé des citations attribuées à des célébrités pour propager une propagande anti-Ukraine.
• PwC publie un rapport sur SnappyTCP, un shell inversé Linux utilisé par l'APT Teal Kurma.

APTs- 2

• Campagne d'APT28 en cours qui exploite une faille 0-day dans Outlook et utilise des attaques de pulvérisation de mots de passe pour accéder aux serveurs Exchange et voler le contenu des boîtes mail.

Des échanges de cryptoactifs piratés ?

WTF

• Meta poursuit la FTC et conteste sa constitutionnalité, soutenant que les entreprises ont plus de droits que les humains.
• Le gouvernement américain envisage de ne plus supporter le navigateur Firefox sur ses sites web car il est peu utilisé par les visiteurs.