La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Energie : Le réseau électrique irlandais victime d’une attaque de phishing
  • Sécurité Android : GhostCtrl menace les utilisateurs
  • Katyusha Scanner : un nouveau scanner de vulnérabilité SQLi
  • Highrise : l’outil de la CIA pour espionner les sms
  • Hackshit : la platforme pour lancer des campagnes de phishing
  • Fuite de données : 2,2 millions de clients de Dow Jones voient leurs données personnelles exposées
  • Parityp et CoinDash : victimes de vol de millions d’euros 
  • AlphaBay et Hansa market : les plus grands marchés noirs du Dark Web fermés
  • Des informations sur des menaces informatiques provenant de nos sources arabesrusses et chinoises 
  • Focus sur le groupe « DarkHotel » 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

 

Menaces Sectorielles

Energie

Le réseau électrique irlandais ciblé par une attaque de phishing

D’après The Times, le réseau électrique irlandais a été ciblé par des messages de phishing. Un acteur malveillant russe, soutenu par l’Etat, pourrait être à l’origine de cette attaque.  D’après le journal, les ingénieurs réseaux ont reçu des mails sur leurs comptes professionnels avec un code malveillant. L’attaque aurait pu avoir comme conséquence une panne du courant en Irlande et au Royaume-Uni.  Les services de sécurité informatique du pays, qui mènent une enquête sur l’incident, font actuellement deux hypothèses : soit le pirate visait Facebook et Apple qui ont leurs sièges techniques en Irlande, soit il voulait tester le système de sécurité afin de préparer une attaque ultérieure. Les médias russes nient l’implication de Russie dans cet incident.

En savoir plus

 

Numérique

GhostCtrl, le malware Android qui prend le contrôle total des appareils     

Les chercheurs de Trend Micro viennent de découvrir un malware baptisé GhostCtrl, capable de prendre le contrôle d’un smartphone, voler ses données, télécharger des fichiers,  intercepter les messages, lancer des commandes, contacter des numéros de téléphone, enregistrer les appels vocaux et les transmettre vers un serveur, et de se transformer en ransomware pour chiffrer les fichiers et bloquer la machine. Il survient lors du téléchargement de versions non certifiées d’applications comme Pokémon Go et WhatsApp, ou celles dont le nom comprend des termes comme App et MMS. Une fois l’application  installée, elle demande à l’utilisateur d’ajouter un nouvel APK par le biais d’une pop-up qui réapparaît en boucle et qui ne disparaîtra qu’une fois la demande acceptée.  

GhostCtrl est lié au malware Windows RETADUP.A, découvert par Trend Micro lors d’une tentative de piratage d’hôpitaux israéliens fin juin. (voir Threat Landscape du 11 juillet).

En savoir plus

Katyusha Scanner, le nouvel outil des pirates

Les experts de la société Recorded Future, ont découvert un nouveau scanner de vulnérabilité SQLi. D’après eux, le scanner, développé par des pirates russes, a été présenté en avril 2017 sur un forum du Dark Web. Le prix initial de la version Pro était 500 dollars, la version Light coutait 250 dollars, et récemment les pirates ont proposé un abonnement pour 200 dollars par mois. Ce scanner permet aux personnes malveillantes de télécharger une liste de sites web cibles et de lancer simultanément plusieurs attaques (le nom Katyusha faisant référence à un lanceur de roquettes soviétique qui lançait plusieurs roquettes en même temps). La version Pro elle permet en plus de pénétrer les serveurs et de lancer des extractions de données automatiquement.

En savoir plus

Highrise, l’outil de la CIA pour espionner les sms

Le site de Wikileaks.org a publié le 13 juillet, de nouvelles données dans le cadre de la campagne Vault 7. Les dernières informations divulguées par le site concernent un malware baptisé Highrise qui aurait été utilisé par la CIA pour intercepter des messages textes, et les transmettre aux serveurs de l’agence. Le smartphone ou la tablette de la victime doit au préalable être piraté, HighRise s’accompagne ainsi d’une procédure de démarrage automatisée dès le lancement de l’appareil infecté. Il fonctionne au travers d’un processus en arrière-plan afin de ne pas alerter la victime. Il fonctionne uniquement sous les versions 4.0 et 4.3 d’Android.

En savoir plus

Hackshit, la platforme pour lancer des campagnes de phishing

Les chercheurs de Netskope Threat Research Labs ont découvert une plateforme surnommée Hackshit qui est une plateforme de Phishing-as-a-Service offrant une solution automatisée à bas prix pour lancer une campagne de phishing. Elle propose plusieurs services de phishing, ainsi qu’un marché noir pour acheter et vendre d’autres produits frauduleux. Comme l’a expliqué Ashwin Vamshi, expert de Netskope, un attaquant peut générer une page de phishing à partir d’une liste de sites proposés, se connecter au mail de la victime, pour voir tous les contacts et leur envoyer des courriels avec des liens de phishing. Hackshit peut générer des fausses pages imitant de nombreux services populaires tels que Yahoo!, Facebook et Gmail.

En savoir plus

 

Finance

Nouvelle fuite de données depuis le Cloud Amazon : les données d’au moins 2,2 millions de clients de la société américaine Dow Jones exposées

La société UpGuard a de nouveau détecté une fuite de données qui a touché la société américaine Dow Jones depuis le Cloud Amazon. Cette dernière a confirmé que les données personnelles (noms, informations sur le compte, adresses email et physiques et les 4 derniers chiffres de la carte bancaire) d’au moins 2,2 millions de ses clients ont été exposées (UpGuard indique que le total pourrait s’élever à 4 millions). En cause : un service Cloud chez Amazon AWS (Amazon Web Services, service de stockage S3) sur lequel les données étaient stockées et configuré de telle sorte que n’importe qui disposant d’un compte AWS pouvait accéder à ces données.

En savoir plus

CoinDash, plus de 7 millions d’euros d’Ether dérobés

CoinDash, la plateforme d’échange de monnaies virtuelles s’est faite dérober l’équivalent de 6 millions d’euros en Ethereum, une monnaie virtuelle similaire au bitcoin. CoinDash a lancé le lundi 17 juillet un événement TokenSale, où les investisseurs intéressés par la plateforme pouvaient financer le développement d’application sur la plateforme contre des parts dans les applications concernées, en envoyant des Ethers vers l’adresse indiquée par CoinDash, et espérer ainsi un retour sur investissement. Un pirate est parvenu à pirater le site de CoinDash, et à modifier l’adresse du porte-monnaie Ethereum indiqué sur le site pour récolter les fonds. Le détournement n’a duré que trois minutes avant que les administrateurs du site ne s’aperçoivent de la fraude et modifient les liens de transfert. Dans un communiqué officiel, CoinDash assure que les sommes versées par les contributeurs donneront lieu à des Ethers reflétant leur contribution, et promet que le projet reste d’actualité.

En savoir plus

Parity Wallet, 27 millions d’euros en Ether détournés par des pirates

Dans la nuit de mercredi à jeudi, des pirates ont profité d’une faille de sécurité du portefeuille à multiples signatures proposés par la société britannique Parityp pour dérober 153 000 ethers, soit l’équivalent de plus de 27 millions d’euros, avant qu’une équipe de « white hat hackers » intervienne et empêche l’opération de prendre de l’ampleur. Les trois portefeuilles dérobés appartenaient à trois sociétés opérant dans les technologies liées à l’écosystème Ethereum : æternity, Swarm City et Edgeless.  Les développeurs des portefeuilles ont posté un message d’avertissement à destination de leurs utilisateurs, suivi d’un patch correctif.

En savoir plus

 

DarkWeb

AlphaBay et Hansa market, les plus grands marchés noirs du Dark Web fermés

Les polices américaine et européennes ont annoncé jeudi 20 juillet avoir fermé AlphaBay et Hansa, les deux plus grands marchés noirs du réseau Tor. Ces deux marchés offraient la possibilité à des vendeurs de passer des annonces pour vendre tout type de produits illégaux (drogues, armes, cartes bancaires, bases de données piratées, malwares et produits contrefaits, etc.).

Selon les autorités américaines, Alphabay a été créé par un citoyen canadien résidant en Thaïlande, Alexandre Cazes, connu sur Alphabay sous les pseudonymes d’ « Alpha02 » et d’ « Admin ». Le procès-verbal publié par les autorités américaines explique que l’adresse Hotmail de l’administrateur apparaissait par erreur dans certains mails envoyés par Alphabay aux utilisateurs, ce qui a permis aux enquêteurs de procéder à son arrestation le 4 juillet. Les utilisateurs d’ Alphabay ont migré vers Hansa Market, sauf que le site était infiltré par les autorités néerlandaises depuis le 20 juin. Pendant un mois et jusqu’à la fermeture annoncée jeudi 20 juillet, les autorités ont donc pu facilement collecter les messages, informations et adresses des utilisateurs d’Hansa. Alexandre Cazes a été retrouvé mort dans sa cellule en début de semaine en Thaïlande. Le département de la justice des États-Unis privilège la piste du suicide.

En savoir plus

 

Ecosystème Régional

Ecosystème moyen-oriental

Le Qatar accuse les Emirats d’avoir piraté QNA, et déclencher une crise sans précédent

Le Qatar a accusé lundi 17 juillet les Émirats arabes unis d’avoir été à l’origine du piratage de son agence de presse officielle (QNA) au mois de mai, (voir Threat Landscape du 30 mai), qui a provoqué une profonde crise diplomatique et commerciale au Golfe depuis un mois et demi. Le Washington Post a rapporté dimanche 16 juillet cette information, citant un agent du renseignement américain sous couvert d’anonymat, qui a déclaré que des hauts fonctionnaires émiratis auraient discuté de ce plan le 23 mai, veille de la révélation du scandale. Les autorités qataries ont confirmé les révélations du Washington Post, tandis que les émiraties nient ces propos.

Source

 

Ecosystème russe

Le portail des services publics russes piratés

Les experts de Doctor Web ont identifié sur le site gosuslugi.ru, le portail des services publics russes, un code malveillant qui peut infecter les postes des utilisateurs et voler des informations personnelles. Le code malveillant lie le navigateur d’un utilisateur avec des fausses pages de saisie d’informations personnelles qui comprend le nom, le prénom, l’adresse et les identifiants bancaires. La majorité des certificats de sécurité de ces sites a expiré ou ne contient pas de code malveillant, mais rien n’empêche les propriétaires de domaine de mettre à jour à tout moment les certificats et d’y injecter le code malveillant. Au moins 5 noms de domaine sont enregistrés aux Pays-Bas.

Source

 

Ecosystème chinois

Du phishing visant le secteur du bâtiment et de l’immobilier via la messagerie QQ

La société spécialisée en cyber sécurité 360QVM a annoncé cette semaine avoir découvert qu’un petit groupe malveillant (14 IPs) était à l’origine d’une vague de phishing visant à récupérer des identifiants de connexion QQ de personnes travaillant dans le secteur du bâtiment et de l’immobilier, en passant par l’envoi de pièce jointe contenant un trojan. En date du 17 juillet, 3 000 logs auraient été récupérés.

QQ est régulièrement la cible de « chenilles » (nianchong), surnom donné en Chine aux malwares ayant pour but de dérober les identifiants et mots de passe de manière déguisée.

Source

 

 

Individus et Groupes

« DarkHotel « 

BitDefender a publié une analyse sur le groupe DarkHotel connu pour infiltrer les réseaux Wifi d’hôtels et distribuer des exploits via des campagnes de spear-phishing. Habituellement, le groupe vise les départements recherche et développement d’entreprises de tout secteur afin de collecter des informations stratégiques (prototype, code source de logiciel, propriété intellectuelle). Désormais le groupe aurait intégré le malware Inexsmar dans son mode opératoire et s’appuierait sur du social engineering plutôt que des exploits pour compromettre des cibles plus politiques. Quelques indicateurs de compromission ont été publiés.

En savoir plus

 

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !