La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Les malware Cardinal RAT et EVILNUM à l’assaut de Fintech israéliennes
  • Des plateformes e-commerce spécialisées dans la literie victimes des attaques du groupe « Magecart »
  • Des activités malveillantes détectées à l’approche des élections européennes de 2019
  • Une attaque par ransomware vise la Fédération de la Police britannique 
  • Une variante du botnet Mirai ciblerait les objets connectés appartenant aux entreprises
  • Plusieurs comptes Office 365 et G Suite compromis dans le cadre d’attaques massives
  • Vigilance face aux campagnes de sextorsion en cours
  • Notre analyste sinophone s’intéresse à deux groupes APT baptisés « Golden Mouse » et « Patting Bear »
  • Flashpoint révèle des informations inédites sur les nouveaux outils d’attaques du groupe « FIN7 »
  • De nouvelles preuves démontreraient une collaboration entre le groupe « WIZARD SPIDER » et le groupe « LUNAR SPIDER »

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous ! Si vous ne l’êtes pas encore, abonnez-vous à notre newsletter Menaces Sectorielles

Finance

Des FinTech israéliennes visées par les malware Cardinal RAT et EVILNUM En 2017, l’unité 42 de Palo Alto a découvert une famille de malware baptisée Cardinal RAT. De récentes découvertes de cette même équipe de chercheurs indiquent qu’une nouvelle version de ce malware aurait été utilisée pour attaquer des sociétés implantées en Israël et spécialisées dans l’industrie technologique financière (FinTech). Le malware pourrait permettre aux attaquants de collecter des informations sur la machine de la victime, d’exécuter des commandes, de récupérer des mots de passe, de télécharger et d’exécuter des fichiers sur le poste, d’enregistrer les frappes du clavier, de prendre des captures d’écran etc. Les pirates auraient mis à jour leur malware en y intégrant des techniques d’obfuscation. Par ailleurs, les chercheurs de Palo Alto ont remarqué que des échantillons du malware EVILNUM (connu pour viser le secteur de la finance) auraient été téléchargés en même temps que ceux de Cardinal RAT sur Virus Total. Même si plusieurs différences ont été observées entre les campagnes EVILNUM et Cardinal RAT (notamment dans la géographie des pays ciblés), il est possible que les deux malware aient été utilisés par un seul même attaquant pour compromettre des FinTech. En savoir plus

Retail

Deux sites Web e-commerce spécialisés dans la literie victimes du groupe « Magecart » Après avoir couvert déjà plusieurs attaques suspectées du groupe « Magecart » (British Airways, Ticketmaster, Newegg), RiskIQ est revenu la semaine dernière sur la compromission possible de deux sites e-commerce appartenant à des sociétés américaines spécialisées dans la literie : My Pillow et Amerisleep. D’après les experts, « Magecart » aurait enregistré en octobre 2018 deux domaines typosquattés usurpant la société MyPillow et son service de support par chat afin d’y injecter du code malveillant et récupérer les informations bancaires des clients. Amerisleep aurait été compromis dès décembre 2016 et « Magecart » aurait maintenu sa présence sur le site e-commerce de la société jusqu’en octobre 2017, suivant le même objectif de collecter les informations bancaires des utilisateurs du site Web. En décembre 2018, les pirates auraient renouvelé leur attaque visant Amerisleep en s’appuyant sur des domaines et un compte Github usurpant l’identité de la société. En savoir plus

Politique

Recrudescence d’activités malveillantes de groupes russes en amont des élections européennes de 2019 À l’approche des élections européennes se déroulant en mai prochain, FireEye a indiqué avoir observé un redoublement d’activités malveillantes des groupes russes « APT28 » et « Sandworm Team ». Soupçonnés d’agir pour le compte de la Russie, ces deux groupes auraient ciblé des officiels, des organes de presse en France et en Allemagne, des groupes politiques d’opposition en Russie et des organisations LGBT ayant des liens avec la Russie. Les pirates auraient recours à du phishing ciblé afin de distribuer des emails contenant un lien ou un fichier malveillant. Ce dernier redirigerait les victimes vers un faux site Web utilisé pour voler des mots de passe. Afin de réussir ce genre d’attaques, les attaquants enregistreraient des noms de domaines semblables à ceux utilisés par leurs victimes, trompant leur vigilance. Cette campagne d’attaque aurait été lancée à des fins de cyberespionnage. En savoir plus

Service public

La fédération de la Police britannique confirme avoir été victime d’une cyberattaque par le biais d’un ransomware Dans un communiqué publié sur Twitter le 21 mars, la Police Federation of England and Wales (aka PFEW) a confirmé avoir été victime d’une cyberattaque détectée par leurs systèmes de sécurité le samedi 9 mars. L’organisation (une association professionnelle qui représente environ 120 000 policiers), a décrit la cyberattaque comme étant l’œuvre d’un ransomware. Celui-ci aurait frappé plusieurs ordinateurs du siège social de la fédération à Surrey, ce qui aurait eu pour conséquence de chiffrer plusieurs bases de données et systèmes de courriers électroniques, entraînant de fait une certaine perturbation du service. Selon l’Agence Nationale contre le Crime (NCA) britannique, la fédération de la Police britannique n’était pas visée de manière explicite par ce ransomware, et celui-ci semblerait s’inscrire dans une campagne beaucoup plus large. En savoir plus ici et

Multisectorielle

Une nouvelle variante du botnet Mirai ciblerait les objets connectés appartenant aux entreprises Les chercheurs de la société Palo Alto auraient récemment découvert une variante du fameux malware Mirai. Apparu en 2016, ce logiciel malveillant avait réussi à créer un réseau massif d’objets connectés, impactant l’ensemble des continents. Or, depuis la diffusion en ligne du code source de ce botnet, de nombreuses variantes seraient apparues : près d’une dizaine rien que pour l’année 2018. Récemment, la version utilisée par les pirates serait destinée à compromettre des services embarqués tels que des routeurs, des périphériques de stockage en réseau, des caméras IP et autres objets connectés utilisés dans l’univers professionnel. Cette nouvelle variante délivrerait sa charge malveillante par l’intermédiaire de 27 exploits, dont 11 seraient nouveaux selon les chercheurs. Par ailleurs, le malware serait capable de cibler les vulnérabilités propres aux entreprises, de manière à obtenir davantage de bande passante afin de réaliser des attaques DDoS d’envergure. En savoir plus Des attaques massives contourneraient l’authentification multifacteurs sur les comptes Office 365 et G suite D’après Proofpoint, des attaques auraient été lancées contre des applications cloud Office 365 et G Suite entre septembre 2018 et février 2019, à l’aide du protocole IMAP utilisé pour contourner l’authentification multifacteurs. D’après les observations des chercheurs, les attaques par pulvérisation de mot de passe visant les serveurs IMAP constitueraient la technique privilégiée des pirates pour compromettre les comptes Microsoft Office 365 et G Suite visés. Les attaquants auraient utilisé un réseau de machines compromises composé de milliers de périphériques réseau (routeurs, serveurs, etc.) pour lancer ces attaques depuis des adresses IP principalement localisées au Nigéria et en Chine. Les experts ont par ailleurs remarqué une hausse des attaques par bruteforce suite à la publication du dump Collection1#. En savoir plus Une nouvelle campagne de sextorsion utilisant une enquête de la CIA comme intimidation détectée la semaine dernière  La semaine dernière, une nouvelle campagne de sextorsion prétendant provenir de la CIA a été détectée et serait toujours en cours. Les expéditeurs prétendraient agir dans la cadre d’une enquête diligentée par la CIA et affirmeraient être en possession d’éléments prouvant que le destinataire est impliqué dans la distribution et la possession de contenu pédopornographique. Les attaquants exigeraient alors 10 000 dollars en bitcoin en échange de la suppression de ces éléments tout en précisant qu’en cas de refus, le destinataire sera arrêté le 8 avril 2019 dans le cadre d’une opération de police internationale. Ces courriels proviendraient d’adresses utilisant la dénomination « .gov » ainsi que le terme « cia » pour essayer de piéger les destinataires. Il semblerait toutefois que cette campagne ne soit pas d’une grande efficacité. Le prix élevé réclamé par les attaquants et l’attribution à la CIA (jugée improbable par une majorité de destinataires) ont sans doute contribué à son inefficacité. En savoir plus

Ecosystème sinophone

« Golden Mouse » et « Patting Bear » : deux APT actifs au Moyen-Orient Deux équipes de Qihoo 360 ont fait cette semaine des découvertes concernant des pirates dont les activités semblent liées aux affrontements actuels au Moyen-Orient. Ils auraient mis à jour les activités d’un nouveau groupe, qu’ils ont baptisé « Patting Bear » (ou « APT-C-37 »), et qui serait l’auteur d’attaques contre, a minima deux médias de l’Etat islamique, respectivement en mars et septembre 2017. Les pays impactés par les activités de « Patting Bear » seraient la France, le Maroc, la Tunisie, la Turquie, l’Irak, l’Iran, la Syrie, la Jordanie et l’Egypte. La distribution de ces pays cibles s’expliquerait par les motivations et le fréquent recours à des attaques par point d’eau. Ce dernier constat serait un des nombreux points communs entre « Patting Bear » et « Golden Mouse » (aka « Golden Hamster » ou « APT-C-27 »), un autre groupe mentionné pour la première fois par Qihoo 360 début 2018. Les deux APT manient tous deux la langue arabe, passent aussi bien par des systèmes Windows qu’Android, utilisent une grande variété de RAT (remote access trojans) différents et maîtrisent les attaques par point d’eau. Les deux groupes auraient même utilisé des serveurs de commande et contrôle (C&C) situés sur le même réseau à deux reprises, en octobre 2015 et en février 2019. En parallèle, une nouvelle attaque ciblée de « Golden Mouse » aurait été découverte. Celle-ci impliquerait un email faisant allusion à des activités terroristes pour inciter à l’ouverture d’une archive en pièce jointe. Une vulnérabilité WinRAR (CVE-2018-20250) est alors exploitée pour installer une backdoor à partir d’un fichier « Telegram Desktop.exe ». En savoir plus ici et Individus & Groupes

FIN7

Le Département américain de la Justice estime que le groupe « FIN7 » aurait infiltré au moins 6 500 terminaux de points de vente au sein d’au moins 3 600 commerces (casinos, restaurants et hôtels). Malgré l’arrestation de trois membres présumés en janvier 2018, le groupe serait toujours actif et aurait même fait évoluer ses techniques d’attaques. D’après Flashpoint, « FIN7 » s’infiltrerait sur le poste de la victime via une campagne de phishing diffusant des emails contenant des pièces jointes malveillantes. L’un des documents malveillants embarquerait un malware jusqu’ici inconnu, SQLRAT, qui serait capable de télécharger et d’exécuter des scripts SQL sur le poste de la victime. Les équipes de Flashpoint précisent avoir détecté un autre malware associé au groupe. Il s’agirait d’une backdoor multiprotocole (fonctionnant à travers DNS mais capable de fonctionner avec HTTPS ou SSL) baptisée DNSbot et utilisée pour exfiltrer des données et exécuter des commandes. « FIN7 » superviserait ses campagnes d’attaques via un nouveau panel d’administration nommé Astra, écrit en PHP et installé sur des serveurs Windows équipés de Microsoft SQL. Des indicateurs de compromission associés au panel Astra et aux malwares SQLRAT et DNSbot sont disponibles. En savoir plus

WIZARD SPIDER/LUNAR SPIDER

Le 17 mars 2019, les équipes de CrowdStrike Intelligence ont détecté l’utilisation simultanée d’un nouveau module proxy BokBot, développé et exploité par « LUNAR SPIDER », ainsi qu’un TrickBot, développé et exploité par « WIZARD SPIDER ». Ce « partenariat » entre les deux groupes pourrait permettre à « WIZARD SPIDER » de développer des outils supplémentaires destinés au vol d’informations sensibles. Le groupe « WIZARD SPIDER » aurait ainsi commencé à utiliser un nouveau module shaDll pour son malware bancaire. Selon CrowdStrike Intelligence, l’analyse de ce nouveau module aurait révélé une similarité de 81% avec le module proxy BokBot de « LUNAR SPIDER ». Ce TrickBot shaDll aurait pour objectif d’opérer des attaques de type man-in-the-middle contre des navigateurs Web en installant des certificats SSL illégitimes. Cette coopération n’est toutefois pas une nouveauté, en février dernier, les mêmes équipes de CrowdStrike Intelligence avaient ainsi détecté une campagne menée par « LUNAR SPIDER » visant à distribuer un logiciel malveillant développé par « WIZAR SPIDER ». En savoir plus

 
 
 
 
 
 
 
Cette newsletter est émise par la cellule de Threat Intelligence. Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations. Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
 
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<

Retrouvez toutes les Threat Landscape des semaines précédentes ici : https://www.intrinsec.com/threat-landscape/