• romain
• 7 janvier 2024

Matinale cyber du 07 janvier 2024

La UNE

• riot, owned by chinese megacorporation tencent, now requires vanguard (windows kernel mode rootkit) to play league of legends.
• [Thread] Comment certains liens sur X/Twitter semblent venir d'un site officiel mais vous redirige vers un site d'arnaque ? Sur cette capture, l'image vient du site du Monde, le titre est bien celui d'un article du monde ET surtout sous l'image, c'est écrit "De lemonde . fr" !!! Mais en cliquand, on arrive sur un faux site reproduisant le site du Monde et vendant un service de crypto-monnaie/finances.
• comment compromettre un AD depuis le cloud
• Qu'est ce que le HTML Smuggling ?
• The definition of open-source LLMs.

Annonces

• Google Groups va arrêter le support Usenet le 22 février 2024 afin de lutter contre le spam.
• Steam a arrêté le support pour Windows 7 et Windows 8 pour des raisons de sécurité.
• Microsoft a annoncé Windows Protected Print Mode (WPP), une version plus sécurisée de la fonction d'impression Windows pour prendre en charge les imprimantes modernes.
• La Cox Media Group peut écouter les conversations des clients à proximité grâce à la fonctionnalité Active Listening, afin d'améliorer la diffusion des annonces.
• Plusieurs instances Mastodon sont confrontées à une vague importante de comptes spam.
• Le GAO a publié un rapport sur la cybersécurité des appareils médicaux et recommande à CISA et à la FDA de mettre à jour leur accord de collaboration.

Annonces- 2

• Les autorités européennes ont convenu d'une forme de Cyber Solidarity Act pour favoriser le partage d'informations sur les cyberattaques de grande envergure.
• CISA conseille aux développeurs d'arrêter d'utiliser des mots de passe par défaut statiques pour leurs produits.
• 512 enquêtes liées au ransomware ont été menées en France en 2023 et SentinelOne et Guidepoint ont publié des rapports sur les développements récents du ransomware.
• Campagne de malvertising qui utilise des annonces Google pour livrer des charges utiles telles que PikaBot, HiroshimaNukes et FakeBat.
• Un ancien membre du gang ransomware DarkSide passe à la malvertising pour livrer des applications Trojan dans des annonces publicitaires.
• Tobias Mueller de SRLabs a développé un décrypter gratuit pour le ransomware Black Basta, permettant aux victimes de récupérer leurs fichiers de novembre 2022 à décembre 2023.
• Examen des plateformes de malware russes (BatLoader et FakeBat) qui exploitent les annonces Google.

Annonces- 3

• CISA publie des avis techniques sur les rançongiciels Play et AlphV, AlphV ayant demandé 500 millions de dollars et en ayant reçu 300 millions.
• Une campagne de rançongiciel-en-service nommée Kuiper a été annoncée sur les forums clandestins depuis septembre.
• L'agence de cybersécurité allemande BSI a publié une analyse de sécurité de l'utilitaire de gestion de pilote Windows 10 Device Setup Manager Service (DsmSvc).
• Le Washington Post a stoppé la publication de sa newsletter de cybersécurité suite à des licenciements récents.
• Okta, fournisseur d'identité, acquiert la start-up israélienne de cybersécurité Spera pour au moins 100 millions de dollars.

Attaques et piratages

Arrestations

• Attaque de cybersécurité subie par la Loterie de l'Ohio qui empêche certains gagnants de réclamer leurs prix.
• Un acteur malveillant a volé 1,2 million de dollars en tokens du projet Telcoin.
• L'armée informatique ukrainienne revendique des attaques DDoS qui ont mis hors service Bitrix24, le plus grand fournisseur russe de CRM.
• Un tribunal polonais confirme que le service de télévision polonais TVP a utilisé des messages SMS manipulés volés à un leader de l'opposition à l'aide du logiciel espion Pegasus.
• Arrestation d'un groupe de rançonneurs chinois qui a utilisé le logiciel ChatGPT pour chiffrer des serveurs d'entreprise et exiger 20 000 $ de rançon.
• Un membre du groupe de piratage Anonymous Colombia a été condamné à 3 ans et 5 mois de prison.

Arrestations- 2

• Membre du groupe Lapsus$ condamné à un ordre hospitalier indéfini en raison de son autisme sévère et impliqué dans des infractions chez Nvidia, BT/EE et Rockstar Games.
• Le créateur du malware FruitFly, Phillip Durachinsky, a été reconnu incompétent pour le procès en raison de son trouble du spectre autistique.
• Interpol a arrêté plus de 3 500 suspects et saisi près de 300 millions de dollars dans le cadre d'une lutte contre des groupes de cybercriminalité dans le cadre de l'opération Haechi IV.
• Campagne de digital skimming interrompue, 443 magasins en ligne identifiés et informés par Europol et Group-IB.
• Fermeture du marché noir Kingdom Market proposant des drogues, des outils de piratage et des faux identifiants.
• Le FBI a démantelé le groupe de rançongiciels AlphV (BlackCat) et a récupéré 500 clés d'encryptage et un décrypter pour ses victimes.
• 4 suspects détenus et inculpés pour leur rôle dans un système d'investissement cryptographique qui leur a permis de gagner 80 millions de dollars.

Arrestations- 3

• Shakeeb Ahmed, un ancien employé d'Amazon, a plaidé coupable d'avoir piraté le contrat intelligent de Nirvana Finance et volé 12,3 millions de dollars à l'entreprise et à ses utilisateurs.
• Microsoft a interrompu le serveur de Storm-1152, un acteur de menace qui a fourni des accès à plus de 750 millions de comptes Microsoft et qui proposait un service pour contourner les outils CAPTCHA.
• Brian Krebs poursuit sa recherche de l'auteur de l'attaque à la cible connue sous le nom de Rescator.
• Les chercheurs de Sophos étudient comment les gangs de rançongiciels utilisent et interagissent avec les journalistes dans le cadre de leurs campagnes d'extorsion.

Industrie

Articles

Vulnérabilités

• Analyse de la technologie de suivi des utilisateurs Privacy Sandbox Protected Audience API qui est actuellement disponible sur Chrome.
• Un nouveau ransomware nommé TISAK a été découvert par les chercheurs Symantec.
• Des extensions Chrome et Edge malveillantes sont déguisées en outils VPN et volent des données utilisateurs.
• CISA a mis à jour sa base de données KEV avec deux vulnérabilités exploitées par des botnets Mirai et InfectedSlurs.
• Campagne d'exploitation d'une vulnérabilité RCE d'Excel datant de 2017 pour infecter les utilisateurs avec le vol de données Agent Tesla.
• Les chercheurs Logpoint ont publié un rapport technique sur le ransomware Rhysida, un RaaS qui a débuté en mai 2023.

Vulnérabilités- 2

• Plusieurs développeurs de malware ont trouvé une nouvelle faille qui leur permet de réactiver les cookies expirés de Google et d'accéder aux comptes même après que les utilisateurs aient changé leurs mots de passe.
• Juniper a publié une mise à jour de sécurité pour corriger 18 vulnérabilités dans sa série JSA (Juniper Secure Analytics).
• Une vulnérabilité non corrigée a été trouvée sur l'utilitaire de gestion de réseau D-Link D-View, entraînant une fuite de mots de passe.
• Une mise à jour de sécurité a été publiée pour le module Perl Spreadsheet::ParseExcel exploité lors des récentes attaques contre les appliances Barracuda ESG.
• Vulnérabilité d'authentification dans les serveurs Apache OfBiz (CVE-2023-51467).
• Une vulnérabilité d'exécution de code à distance a été trouvée et patchée dans le module de journalisation Fluent Bit de Google Kubernetes Engine.
• 18 vulnérabilités ont été trouvées dans PandoraFMS, une application de surveillance et de gestion réseau à l'échelle des entreprises.

Vulnérabilités- 3

• Trail of Bits a découvert une vulnérabilité de traitement dans les bibliothèques qui prennent en charge la fonctionnalité de traitement binaire Ethereum ABI.
• Nouvelle vulnérabilité 0-day découverte dans les appareils Barracuda ESG, attribuée à l'acteur UNC4841.
• Google a publié une mise à jour de sécurité pour Chrome pour corriger une vulnérabilité activement exploitée (CVE-2023-7024).
• Des chercheurs de NSLabs ont trouvé trois vulnérabilités dans les routeurs VPN Buffalo VR-S1000.
• Ivanti a publié des correctifs pour 20 vulnérabilités dans son produit Avalanche MDM.
• Une faille de contournement de l'authentification à deux facteurs a été découverte dans le plugin Roundcube Webmail.
• En 2023, moins de 1% des vulnérabilités signalées ont été exploitées en milieu naturel.

Vulnérabilités- 4

• Zoom a lancé VISS, un nouveau système de notation des impacts des vulnérabilités.
• L'attaque cryptographique Marvin impacte l'implémentation de RSA de Rust.
• Les navigateurs mobiles d'Opera sont vulnérables à des attaques d'usurpation de barre d'adresse.
• Les chercheurs en sécurité BCK ont trouvé et corrigé un contournement du AWS WAF.
• Une vulnérabilité non corrigée depuis 8 ans a été détectée dans le framework Google Web Toolkit.
• Une vulnérabilité non patchée de Google OAuth permet aux anciens employés d'accéder aux applications professionnelles même après leur départ.
• Microsoft a identifié 4 vulnérabilités dans Perforce Helix Core Server, dont une RCE non authentifiée.

Vulnérabilités- 5

• Quatre vulnérabilités non patchées dans les routeurs KingConnect, dont une permettant un accès distant non autorisé.
• 16 vulnérabilités ont été découvertes dans le kit d'outils de surveillance à distance Nagios XI.
• Des vulnérabilités Outlook (CVE-2023-35384 et CVE-2023-36710) peuvent être combinées pour des attaques à distance de code (RCE) sur des instances Outlook.
• SEC Consult a publié des informations sur le SMTP Smuggling, une nouvelle technique pour contrefaire des e-mails sans rompre les contrôles SPF.
• La vulnérabilité Log4Shell, dévoilée il y a deux ans, est présente sur très peu de systèmes.

Hacking Web

Hacking Windows

Campagne et Exploitations

• Campagne de hameçonnage menée par l'acteur BattleRoyal qui conduit les victimes vers des sites Web hébergeant des schémas de mise à jour de navigateur truqués et infectant avec les malwares DarkGate et NetSupport.
• Une nouvelle vague de campagnes de phishing BazarCall a été détectée.
• Campagne de spear-phishing UAC-0099 ciblant des fonctionnaires ukrainiens utilisant CVE-2023-38831, une ancienne faille zero-day dans l'application WinRAR.

Data Leaks

• Fuite de données de plus de 20 millions d'utilisateurs de SnappFood, l'application de livraison de nourriture iranienne la plus grande, par le groupe de piratage IR Leaks.
• Fuite de données, affectant 82000 personnes, à National Amusements, la société derrière CBS et Paramount, découverte en décembre 2022.
• Fuite de données chez Mint Mobile.
• Des vidéos privées provenant de chambres, vestiaires, toilettes et salons de massage au Vietnam ont été piratées et mises en vente en ligne.
• Une fuite de code source de GTA V a été publiée par un membre du groupe de piratage Lapsus$.
• La fuite de données de 14,7 millions de clients de la compagnie de prêt Mr. Cooper a été causée par une attaque par ransomware.

Data Leaks- 2

• Hackers prétendent avoir volé les données personnelles de plus de 300 000 clients du fournisseur de distributeur automatique de Bitcoin Coin Cloud, dont plus de 70 000 images.
• Une fuite de données a été signalée chez MongoDB et a exposé des données de clients.
• La FCC établit de nouvelles règles de notification en cas de fuite de données pour les télécommunications aux États-Unis.
• Plus de 71,4 millions de détails de carte ont été mis en vente sur des magasins souterrains en 2023 et plus de 48 millions de détails de carte ont été postés gratuitement en ligne.

Géopolitique

• Les partisans de Firefox et de la vie privée sont en colère à cause de la haute rémunération du PDG de Mozilla de 7 millions de dollars l'année dernière.
• L'édition russe de Wikipedia a été fermée après que le rédacteur en chef ait été désigné comme un 'agent étranger'.
• Weibo conseille aux utilisateurs de faire attention à leurs propos en ligne.
• Les autorités sud-coréennes ont imposé des sanctions contre le chef des espions nord-coréens.
• Moldova a mis en place une agence de cybersécurité avec l'aide des officiels estoniens
• Les partenaires de l'Ukraine ont activé le mécanisme de Tallinn, un nouveau système pour fournir une aide cyber et militaire au pays assiégé.

Géopolitique- 2

• Le gouvernement israélien interdit aux médias israéliens de rapporter les attaques cybernétiques contre le gouvernement ou les opérations cybernétiques menées par le gouvernement contre Hamas.
• Le PDG du NCSC, l'agence de cybersécurité du Royaume-Uni, quitte son poste pour un poste diplomatique.
• Le gouvernement chinois développe un système à quatre niveaux pour classer les incidents de cybersécurité.
• Le ministère chinois de la Sécurité d'État a découvert des portes dérobées dans le logiciel de géolocalisation à l'étranger.
• Les agences gouvernementales et les entreprises contrôlées par l'État chinois imposent un bannissement des iPhone à leurs employés.
• Le rapport du ODNI révèle une interférence étrangère lors des élections de 2022 aux États-Unis avec une forte focalisation des efforts russes sur le Parti démocrate et son soutien à l'Ukraine.
• Le Sénat des États-Unis confirme le lieutenant-général Timothy Haugh à la tête de la NSA et de US Cyber Command.

Géopolitique- 3

• Le Kremlin envoie des spams aux Ukrainiens à l'étranger, dans le but d'expulser les «Satanistes Américains» du «territoire principalement russe» de l'Ukraine.
• Réseau de comptes YouTube chinois diffusant des discours pro-chinois et anti-américains avec des vidéos générées par l'intelligence artificielle.
• Campagne d'opérations d'information chinoise en cours visant à attaquer les partis pro-indépendance et à propager la propagande pro-chinoise en Taïwan avant les élections de janvier 2024.
• Une nouvelle campagne d'opérations d'information chinoise est en cours pour promouvoir des narrations pro-chinoises et anti-américaines.

Threat Intel

Menaces

• Une unité de hacking liée au service de renseignement militaire russe GRU a été attribuée à l'attaque ayant paralysé Kyivstar, le plus grand opérateur téléphonique ukrainien.
• Microsoft a désactivé le protocole ms-appinstaller par défaut suite à des abus de groupes tels que Storm-0569, Storm-1113, Storm-1674 et Sangria Tempest.
• La NSA publie son rapport annuel sur la cybersécurité.
• Cisco Talos a publié une histoire des vendeurs de logiciels espions Intellexa et Cytrox.
• Le groupe Smishing Triad est à l'origine de nouvelles campagnes de smishing selon Resecurity.
• Les chercheurs en sécurité ont détecté une activité renouvelée du botnet Qakbot, qui a été perturbé par les autorités américaines et européennes en août.

Menaces- 2

• Recherche sur le groupe de ransomware Wazawaka et ses affiliés, identifiés par les autorités américaines comme des citoyens russes.
• UNC2975 est l'un des plus grands groupes d'activité malicieuse aujourd'hui selon le service de veille de Google, Mandiant.
• Plus d'un million de domaines stockés susceptibles d'être utilisés pour de futures campagnes malveillantes.
• Un nouvel acteur de menace, GambleForce, utilise des attaques d'injection SQL pour compromettre des sites gouvernementaux et de jeux d'argent dans la région APAC.
• AhnLab a publié une analyse des récentes opérations Kimsuky qui ont utilisé le malware macOS AppleSeed.
• Opération Triangulation visant des officiels gouvernementaux russes, des diplomates étrangers et des employés de Kaspersky, utilisant une fonctionnalité secrète d'iOS pour contourner les protections basées sur le matériel (CVE-2023-38606).
• Vlad Pasca détaille le fonctionnement de Menorah, une backdoor utilisée par le groupe d'espionnage iranien OilRig (APT34).

Menaces- 3

• Les chercheurs d'AhnLab ont publié une analyse du malware AppleSeed sur macOS, utilisé par le groupe de piratage nord-coréen Kimsuky.
• L'équipe CERT de l'Ukraine découvre une nouvelle campagne de ciblage par hameçonnage UAC-0050 visant des organisations ukrainiennes.
• ESET a découvert quatre nouveaux téléchargeurs d'OilRig : SampleCheck5000, OilCheck, ODAgent et OilBooster.
• La campagne MuddyWater (Seedworm) cible des télécommunications en Egypte, au Soudan et en Tanzanie.
• Le Gaza Cybergang a utilisé la nouvelle backdoor Pierogi++ dans ses campagnes menées en 2022 et 2023 visant l'opposition palestinienne.
• Qihoo 360 analyse les attaques de l'APT Kasablanka contre la région du Haut-Karabakh avec des charges utiles VenomRAT.
• L'organisation nord-coréenne NISOS étudie les personnages en ligne utilisés par les agents de la Corée du Nord pour obtenir des emplois à distance frauduleux aux États-Unis.

Menaces- 4

• Ukraine CERT publie des IOC pour le groupe d'attaquant UAC-0177 (JokerDPR) qui a affirmé avoir piraté la plateforme de communication militaire Delta de l'Ukraine.
• Sekoia a identifié l'individu russe Andrey Korinets comme membre de l'APT Calisto, récemment sanctionné par le Royaume-Uni et accusé par les États-Unis.
• Lumen a lié le nouveau KV-botnet au groupe d'espionnage chinois Volt Typhoon qui se compose de dispositifs Cisco, Netgear et Fortinet non patchés.
• Google publie un rapport sur les opérations d'influence sur ses sites web, impliquant principalement la Chine et la Russie.
• TikTok a publié un rapport sur les opérations d'influence repérées sur son site, dont 6 liées à l'invasion russe de l'Ukraine.

Logiciels malveillants

Outils

• Panne majeure de Keybase après expiration d'un certificat après 10 ans qui n'avait pas été remarqué.
• La norme WiFi 7 devrait arriver en 2024 avec le support de multi-lien (MLO).
• Let's Encrypt a déclaré que ses certificats sont maintenant utilisés sur plus de 360 millions de sites web, soit 40 millions de plus que l'année précédente.
• Google a annoncé le lancement de la fonctionnalité Safety Check qui analyse en continu les mots de passe compromis.
• L'organisme allemand BSI a publié une analyse technique de la nouvelle fonction de contrôle des applications intelligentes dans Windows 11.
• Apple lance une nouvelle fonctionnalité iOS qui demande aux utilisateurs d'authentifier leurs appareils avec Face ID ou Touch ID et ajoute un retard de 1 heure avant l'application des modifications.

Outils- 2

• Mozilla a publié Firefox 121 avec des nouvelles fonctionnalités et des corrections de sécurité, y compris l'activation par défaut du support de Wayland sur Linux et une option pour souligner tous les liens.
• La détection de l'outil de vol de données Lumma a explosé selon le rapport de menace d'ESET pour H2 2023.
• McAfee a publié un rapport sur Xamalicious, une nouvelle porte dérobée Android codée avec Xamarin, un cadre open source permettant de créer des applications Android et iOS avec .NET et C#.
• Les vidéos des conférences de sécurité 37C3 sont disponibles sur YouTube.
• GroundSec a lancé SecButler, une collection d'outils pour les tests d'intrusion et les chasseurs de bugs.
• Un nouvel outil, Domainim, a été publié pour le balayage des réseaux d'organisations.
• EDRSilencer est un nouvel outil qui permet de réduire les fonctionnalités des solutions EDR pour empêcher les rapports d'événements de sécurité.

Outils- 3

• Un nouvel outil, Honeydet, a été publié pour détecter les honeypots en ligne.
• Crissy Field a publié Troll-A, un outil pour extraire des mots de passe, clés API et jetons des fichiers WARC.
• Eilay Yosfan de Security Joes a publié AuthLogParser, un puissant outil DFIR conçu spécifiquement pour analyser les journaux d'authentification Linux.
• Un nouvel outil, Shadow-Pulse, a été publié par StrangerealIntel pour fournir des informations détaillées sur les principales opérations de rançongiciel.
• Ollie Legg a publié SigmaToARM, un outil qui convertit les règles Sigma en modèles Azure ARM.
• Un chercheur en sécurité a publié un outil open-source nommé Ghidriff, un moteur de différence binaire pour Ghidra.
• La NSA a publié la version 11 de son outil de reverse engineering Ghidra, avec une prise en charge initiale des binaires Rust.

Outils- 4

• La société MITRE a lancé EMB3D, un modèle de menace spécifiquement conçu pour les appareils intégrés.
• Florian Roth a lancé un nouvel outil nommé YARA-Forge qui facilite le processus de recherche, de standardisation et d'optimisation des règles YARA.
• François Michel, étudiant belge en doctorat, a publié en open-source le protocole SSH3 basé sur HTTP/3, QUIC et TLS 1.3.

Data Sécu

• Google a modifié la façon dont son application Maps stocke les données de géolocalisation en les stockant directement sur l'appareil de l'utilisateur.
• Dropbox intègre une fonctionnalité 'AI' qui partage les fichiers des utilisateurs avec OpenAI sans leur consentement.
• Meta s'est donné le droit de collecter les données des utilisateurs et de suivre leurs activités une fois que Threads et les instances Mastodon seront interconnectés.
• La FTC des États-Unis a proposé une série de mises à jour visant à renforcer la Loi sur la protection de la vie privée des enfants en ligne (COPPA) et à imposer de nouvelles restrictions à la collecte et à l'utilisation des données des enfants.

APTs

• Amnesty International confirme que le logiciel espion Pegasus a été utilisé dans des attaques contre des journalistes indiens et que des responsables gouvernementaux ont tenté d'influencer Apple pour changer le ton de ses avertissements.
• Le groupe d'attaques APT28 a lancé de nouvelles opérations de phishing ciblées contre des cibles ukrainiennes, avec des charges utiles de différents malwares.
• Le groupe iranien de piratage Peach Sandstorm (APT33, Holmium) cible les entreprises de défense du monde entier pour déployer un nouveau cheval de Troie nommé FalseFont.
• L'entreprise de sécurité russe FACCT a publié un rapport sur les attaques d'un groupe APT appelé Cloud Atlas contre des entreprises russes.
• Les chercheurs de CyFirma analysent l'arsenal de logiciels malveillants macro de Sidewinder, un groupe APT suspecté d'être Pakistanais.
• Attaque APT29 active qui exploite une vulnérabilité (CVE-2023-42793) dans les serveurs JetBrains TeamCity pour accéder aux systèmes corporatifs et gouvernementaux.

APTs- 2

• L'ANSSI a publié une alerte de sécurité pour avertir des attaques ciblant le secteur des télécommunications.

Des échanges de cryptoactifs piratés ?

• Un hacker a volé 82 millions de dollars de crypto-actifs dans l'échange Orbit Bridge le dernier jour de 2023.
• Greg Solano a payé un hacker une prime de 120 ETH (275 000 $) pour récupérer 36 Bored Ape Yacht Club (BAYC) et 18 Mutant Ape Yacht Club (MAYC) NFT volées durant une attaque sur la plateforme NFT Trader en début décembre.
• Un acteur malveillant a volé 2,7 millions de dollars en actifs cryptographiques à OKX après avoir obtenu l'accès à une des clés de contrat intelligent de la plateforme.
• La plateforme d'échange de cryptomonnaie Aurory a été piratée, avec une perte d'actifs estimée à 1,2 million de dollars.
• Un acteur menaçant a exploité une vulnérabilité dans la plateforme NFT Trader et a volé 3 millions de dollars de NFTs.
• Plus de 300 millions de dollars en crypto-monnaies volés à plus de 320 000 victimes l'année dernière.

WTF

A TRIER

• Attaque informatique ciblant le réseau du parlement et du plus grand opérateur téléphonique albanais le 25 décembre sans attribution formelle.
• Une armée informatique ukrainienne a revendiqué une attaque qui a mis hors service les caisses enregistreuses en ligne d'Evotor, une entreprise russe.
• Groupe de hacktivistes biélorusses a piraté et effacé le réseau de l'agence de presse d'état BELTA.
• Attaque par ransomware contre l'entreprise publique serbe EPS au moment des fêtes de fin d'année.
• EasyPark, le plus grand opérateur d'application de stationnement en Europe, a annoncé une violation de sécurité.
• Une faille exploitée par des pirates informatiques lors de l'incident Downfall, qui a permis l'insertion de malware dans le jeu mod Steam.

A TRIER- 2

• Piratage de Levana Protocol qui a permis aux pirates d'obtenir des actifs d'une valeur de 1,1 million de dollars.
• Le groupe BlackJack a piraté et détruit l'infrastructure informatique de Rosvodokanal, une grande entreprise russe d'approvisionnement en eau, en réponse à l'attaque cybernétique russe sur la téléphonie mobile ukrainienne Kyivstar.
• VF Corp a subi une incident de cybersécurité, mais n'a pas confirmé si c'était une attaque de rançon.
• Première attaque contre First American, deuxième plus grande compagnie d'assurance titre des États-Unis, après une attaque par le gang AlphV contre Fidelity National, le plus grand assureur titre des États-Unis.
• Un acteur de menace prétend avoir piraté et volé plus de 900 Go de données de Ubisoft.
• Attaque cyber sur des stations-service iraniennes par le groupe hacktiviste Predatory Sparrow qui a bloqué les systèmes de paiement et touché plus de 2 000 pompes (~ 70 % de l'ensemble des pompes).
• Une attaque a compromis un compte npm d'un ancien employé de Ledger et a ajouté du code malveillant à un SDK de Ledger destiné à connecter des applications Web au backend de Ledger, ce qui a entraîné des pertes estimées à environ 600 000 $.

A TRIER- 3

• Une faille de CitrixBleed a été exploitée pour accéder à un système Comcast et voler les informations personnelles de près de 36 millions de clients.
• Depuis le 7 octobre, 15 groupes de piratage liés à l'Iran, au Hezbollah ou à Hamas ont attaqué Israël.
• Cyber Toufan mène une campagne de réinitialisation des données qui a affecté plus de 100 organisations, principalement situées en Israël.
• Campagne de phishing et d'effacement de données en cours menée par des hackers iraniens qui se font passer pour F5.
• Redline reste le malware le plus analysé sur la plate-forme ANY.RUN en 2023.
• Patrick Wardle a publié un examen des souches de logiciels malveillants les plus courantes sur macOS l'année dernière.
• Des attaquants ont utilisé Google et Twitter pour lancer des campagnes de phishing visant à voler des clés de portefeuille de crypto-monnaies.

A TRIER- 4

• Malware trouvé sur le portail PyPI qui utilise GitHub Gists pour émettre des commandes via des messages de commit Git.
• Le malware du gang Carbanak a été repéré dans des attaques qui se sont terminées par des attaques de rançongiciel en Novembre 2023, selon le NCC Group.
• Une hausse des attaques ciblant les systèmes Atlassian est détectée par le service de scan GreyNoise.
• Campagne de phishing qui se propage avec un backdoor Nim au nom du gouvernement népalais.
• Zimperium a publié son rapport annuel sur les malwares bancaires mobiles avec 29 familles de malwares ciblant plus de 1 800 applications bancaires dans 61 pays, le plus ciblé étant les États-Unis.
• Des chercheurs de Sansec ont documenté des attaques contre la fonction liste de souhaits des sites e-commerce Magento 2.
• OLVX est une nouvelle boutique de cybercriminalité qui vend des accès aux serveurs piratés via des shells, RDP, SSH, SMTP, Webmail, cPanel, et autres.

A TRIER- 5

• Le groupe 8220 exploite la vulnérabilité CVE-2020-14883 dans les serveurs Oracle WebLogic pour voler des cryptomonnaies.
• Les analystes de malware de HackerHouse ont réussi à reconstruire le code source incomplet du framework Marble à l'aide d'outils d'IA/ML.
• Fortinet analyse l'activité récente du gang ransomware 8base.
• Analyse du malware MetaStealer par le chercheur RussianPanda, qui incorpore le code du logiciel Redline Stealer.
• Analyse d'un nouvel infostealer, Pure Logs Stealer, qui n'a pas impressionné le chercheur.
• JaskaGO, nouveau malware ciblant macOS et Windows écrit en Go.
• Fortinet a analysé le mécanisme de C&C de Bandook, un cheval de Troie qui est utilisé dans des attaques depuis 2007.

A TRIER- 6

• Les chercheurs de Sophos ont publié un rapport sur les tactiques et les indicateurs de compromis (IOC) utilisés par le groupe de rançongiciels Akira.
• Une nouvelle version du cheval de Troie Android Chameleon désactive les fonctions de scan biométrique pour prendre le contrôle des appareils.
• Opération HamsaUpdate : campagne de phishing ciblant des entreprises israéliennes avec des e-mails prétendant être envoyés par le fournisseur d'équipement de réseau F5.
• Kaspersky a identifié un nouveau botnet ciblant les systèmes Linux et utilisant le protocole NKN pour sa chaîne de commande et de contrôle.
• Le botnet InfectedSlurs s'attaque aux dispositifs QNAP VioStor NVR à l'aide de CVE-2023-47565.
• YOROI a publié un rapport technique sur le Vetta Loader, un nouveau type de malware qui se propage par le biais de périphériques USB infectés.
• Check Point a publié un aperçu technique du logiciel malveillant Rhadamanthys avec des fonctionnalités d'espionnage supplémentaires et un système de plugins.

A TRIER- 7

• IBM X-Force a découvert un nouveau cheval de Troie bancaire, potentiellement lié à DanaBot, qui cible plus de 40 banques à travers le monde.
• OALABS a publié des Indicateurs d'Opérations et de Compromission (IOCs) récents sur le logiciel malveillant DanaBot.
• Cryptax a publié une analyse du trojan bancaire BianLian pour Android.
• Une nouvelle méthode de hijacking de DLL qui exploite le dossier WinSxS a été découverte.
• Trois chercheurs en sécurité ont réussi à jailbreaker le système Autopilot d'une Tesla et à activer une fonctionnalité inconnue nommée Elon Mode.
• Kaspersky partage une liste de cinq exploits utilisés dans le pilote Windows Common Log File System (CLFS) par les gangs de ransomware.
• Une attaque AitM, appelée Terrapin, a été découverte et affecte les clients SSH tels que SUSE et PuTTY.

A TRIER- 8

• Méthode permettant aux attaquants de faire appel à des liens tel:// dans des SMS pour tromper les utilisateurs en activant le transfert d'appel non autorisé sur leurs appareils.
• Cisco a acquis la start-up de sécurité multi-cloud Isovalent, connue pour ses produits open-source Tetragon, eBPF et Cilium.

OSEF (USA)

• Google a réglé le procès de 5 milliards de dollars pour le suivi des utilisateurs même en mode privé sur Chrome.
• Les données des voitures ne sont pas protégées par les 4e Amendements des États-Unis, ce qui permet aux policiers d'y accéder sans mandat.
• La DOJ et la FTC ont conclu un accord avec XCast Labs concernant leurs liens avec des firmes qui ne respectent pas les lois sur la télémarketing.
• La bataille juridique entre Apple et Corellium a été résolue, les termes du règlement n'ont pas été révélés.
• Plus de 100 éditeurs de Substack demandent la suppression des newsletters de suprématie blanche et nazie hébergées sur la plateforme.
• Apple exige des mandats pour accéder aux données de notifications push des utilisateurs.

OSEF (USA)- 2

• La Cour suprême de l'Utah a statué que les suspects peuvent refuser de donner leur code d'accès à la police lors d'une enquête, protégé par le Cinquième Amendement de la Constitution des États-Unis.
• ONG demande des dommages et intérêts à Adobe pour avoir utilisé des cookies pour traquer l'activité web des citoyens néerlandais.
• L'UE a ouvert une enquête sur Twitter pour vérifier sa capacité à supprimer la désinformation, le contenu illégal et autres contenus illicites.
• Le Congrès des États-Unis a renouvelé provisoirement la surveillance de la section 702 du FISA jusqu'au 19 avril 2024 pour donner plus de temps aux négociations.
• L'exécutif de la société russe de cybersécurité FACCT va être extradé en Russie.