La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Un bug dans le logiciel Live Update ayant infecté des milliers de PC serait corrigé par ASUS
  • Gustuff : le malware qui s’attaque aux crypto-monnaies
  • Les clients de plusieurs banques sud-coréennes ciblés par une campagne d’usurpation
  • 2 millions d’emails liés aux services sociaux de l’état d’Oregon seraient exposés
  • L’agence fédérale des situations d’urgence américaine serait victime d’une fuite de données
  • Deux campagnes d’attaques par point d’eau cibleraient des sites Web pakistanais et tibétains
  • Des sites sous Magento seraient utilisés pour tester la validité des cartes bancaires
  • Toyota annonce avoir été victime d’une fuite de données
  • Notre analyste arabophone s’intéresse au groupe APT33, soupçonné d’avoir des liens avec l’Iran et ciblerait plusieurs organisations saoudiennes et américaines
  • Notre analyste sinophone s’intéresse à un cheval de Troie, caché dans un logiciel chinois
  • Focus sur le groupe « Lucky Elephant«  » 
Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous ! Si vous ne l’êtes pas encore, abonnez-vous à notre newsletter Menaces Sectorielles

Numérique

Un bug dans le logiciel Live Update ayant infecté des milliers de PC serait corrigé par ASUS Une attaque de type « supply chain » baptisée « Operation ShadowHammer » aurait été découverte par Kaspersky en janvier dernier. Au cours de la campagne, les attaquants auraient compromis des serveurs de mise à jour d’Asus pour distribuer une version malveillante de l’outil Live Update. Selon les chercheurs de Kaspersky, la compagne se serait déroulée de juin à novembre 2018. Ils soupçonnent notamment l’APT BARIUM d’avoir déployé la backdoor. Un groupe probablement soutenu par la Chine. ASUS a confirmé cet incident en déclarant que seule la version de Live Update utilisée pour les ordinateurs portables avait été affectée. Par ailleurs, Asus a publié un correctif dans la dernière version du logiciel (ver. 3.6.8). En savoir plus

Finance

Un trojan bancaire sous Android ciblant plus de 100 applications bancaires mondiales, de cryptographie et de marketplaces découvert par le Group-IB La société internationale spécialisée dans la prévention des cyberattaques Group-IB a détecté l’activité d’un trojan sous Android nommé « Gustuff ». Gustuff infecterait les smartphones sous Android à l’aide d’un SMS contenant un lien vers le package (apk) de l’application malveillante. Le trojan se propage à travers la liste de contacts de l’appareil infecté ou à travers la base de données du serveur qui le commande. Ce qui caractérise ce trojan est l’utilisation de l’Automatic Transfer Systems (ATS), une fonction qui permet de remplir les champs dans les applications bancaires mobiles légitimes, les portefeuilles de crypto-monnaies et d’autres applications. Cette fonction serait mise en œuvre par le malware avec l’aide du service accessibilité, outil destiné aux personnes handicapées, pour interagir avec les éléments des fenêtres d’autres applications, comme les applications bancaires. Le logiciel malveillant serait capable d’envoyer des informations sur l’appareil infecté au serveur de commande et contrôle (C&C), de lire/envoyer des SMS, d’envoyer des requêtes USSD, de lancer SOCKS5 proxy, de suivre des liens, de transférer des fichiers au serveur C&C et de remettre l’appareil aux paramètres par défaut. En savoir plus

Une campagne d’usurpation cible les clients de banques coréennes Des chercheurs de 360 Threat Intelligence Center ont récemment annoncé avoir découvert une attaque ciblant les utilisateurs sud-coréens de services bancaires mobiles. Les pirates utiliseraient de fausses applications de banques sud-coréennes et contrôleraient ensuite leurs smartphones, connectés directement aux banques. Les chercheurs auraient repéré 55 types de malware. Dans l’échantillon analysé, une page de phishing qui imite la « banque nationale » apparaît et incite les utilisateurs à entrer des informations personnelles. Le malware récupère ensuite le carnet d’adresses de l’utilisateur, ainsi que le contenu des SMS. Il peut également contrôler à distance le smartphone ciblé et pourra être associé aux banques sud-coréennes et à d’autres banques du secteur financier. Ainsi, les pirates pourront transférer les appels afin de contourner l’authentification à deux facteurs des banques. En savoir plus

Services public

La fuite de données des services sociaux de l’Etat d’Oregon exposerait potentiellement plus de 2 millions d’emails Le Département des Services Sociaux (DHS) de l’Oregon, Etats-Unis, aurait annoncé que près de 2 millions d’emails contenant des Informations Protégées de Santé (PHI) seraient potentiellement exposés. En effet, après la compromission de 9 boites email d’employés suite à une campagne de phishing ciblé, ce sont plus de 350 000 clients qui pourraient voir leurs données personnelles fuiter. Les informations en question seraient le prénom et le nom, l’adresse, la date de naissance, le numéro de sécurité sociale, le numéro de dossier et d’autres renseignements utilisés par le DHS. D’après les analyses réalisées par des équipes spécialisées en cyber sécurité, les boites email auraient été compromises le 28 janvier 2019. Plusieurs individus non autorisés auraient donc pu y avoir accès. En savoir plus

l’Agence fédérale des situations d’urgence victime d’une fuite de données  Selon un rapport publié le 22 mars dernier par le département américain de la sécurité intérieure, l’Agence fédérale des situations d’urgence (FEMA) n’aurait pas correctement protégé les informations personnelles de 2,3 millions de personnes, victimes de catastrophes naturelles. Suite aux ouragans Harvey, Irma, Maria et les incendies ayant touché la Californie en 2017, l’Agence fédérale des situations d’urgence proposait aux victimes un programme visant à leur fournir un abri. Selon le département de la sécurité intérieure, la FEMA aurait, dans le cadre de ce programme, enfreint la loi sur la protection des renseignements personnels de 1974 en fournissant ces informations personnelles à un prestataire. Le rapport précise également que la FEMA aurait fourni des informations comme l’adresse et la ville du demandeur ainsi que des informations bancaires exposant ce dernier à des cas de fraude, de phishing ou de vol d’identité. Dans un communiqué, la FEMA a déclaré avoir ouvert une enquête et déployé des mesures de cybersécurité afin de déterminer si ces données auraient pu être exposées. En savoir plus

Politique

Des sites Web pakistanais et tibétains compromis dans le cadre d’une attaque potentiellement menée par la Chine Deux campagnes d’attaques par point d’eau menée à l’aide de Scanbox et visant des sites Web gouvernementaux tibétains et pakistanais ont été détectées par Recorded Future en mars 2019. Scanbox est un logiciel malveillant capable de traquer les utilisateurs d’un site Web compromis, d’enregistrer les frappes du clavier, de collecter des données et de déployer des charges malveillantes sur les hôtes visés. Le code malveillant de cet outil aurait été injecté dans les sites Web de la Direction générale de l’immigration et des passeports pakistanaise et du Bureau central de l’administration tibétaine, afin de rediriger les utilisateurs vers une infrastructure contrôlée par les attaquants usurpant les sites légitimes. D’après Recorded Future, cette campagne aurait été lancée par des attaquants chinois car Scanbox serait utilisé par les groupes chinois tels que APT40 (aka Leviathan), LuckyMouse, APT10 et APT3. En savoir plus

E-commerce

Une fonctionnalité des sites e-commerce sous Magento utilisée pour tester la validité des numéros de cartes de débit et de crédit volées Des sites-Web tournants sous Magento et qui supportent l’intégration de PayPal Payflow Pro seraient utilisés pour tester la validité des numéros de cartes bancaires. La technique consisterait en une tentative d’initiation de transaction à hauteur de 0 dollar afin de voir si elle renvoie des erreurs en utilisant des cartes de paiement volées, dans le but de vérifier leurs validités . Selon Magento, deux versions du CMS seraient vulnérables: la version open source auto-hébergée et les offres commerciales Magento sur site en cloud. L’équipe de Magento ajoute que les versions 2.3.x pourraient être également vulnérables et recommande de mettre en place un pare-feu d’application pour protéger les sites e-commerce contre de tels abus. En savoir plus

Automobile

Toyota annonce avoir été victime d’une deuxième fuite de données au cours des 5 dernières semaines Le constructeur automobile japonais Toyota a annoncé le 29 mars avoir été victime d’une nouvelle fuite de données, 5 semaines après une première cyberattaque ayant affecté sa filiale australienne. Des pirates auraient réussi à pénétrer les systèmes informatiques du groupe japonais et auraient ainsi pu avoir accès à des données appartenant à plusieurs filiales. Les informations de vente de près de 3,1 millions de clients auraient notamment été compromises. Cette fuite de données intervient après une première attaque qui avait perturbé les activités de la filiale australienne de Toyota en février, attribuée au groupe APT32 selon certains experts. En savoir plus

Écosystème Moyen-Oriental

Plusieurs organisations saoudiennes et américaines victimes du groupe APT33 Le 27 mars dernier, la société américaine spécialisée dans les logiciels informatique Symantec a publié une analyse portant sur le groupe APT33 aka Elfin suspecté d’être à l’origine de la vague d’attaques Shamoon. Selon ce rapport, le groupe serait entré en activité à la fin de l’année 2015 et aurait ciblé au moins 50 organisations situées en Arabie Saoudite, aux Etats-Unis, en Belgique, en Jordanie et au Royaume-Uni. Le groupe Elfin semble cibler des entreprises issues de secteurs stratégiques type recherche, chimie, télécommunication ou encore santé. Le groupe aurait d’ailleurs tenté d’exploiter la récente vulnérabilité ayant affecté WinRAR contre une cible issue du secteur de la chimie en Arabie Saoudite. En savoir plus

Écosystème sinophone

Un cheval de Troie, caché dans un logiciel chinois, à la manœuvre pour contrôler des appareils à distance La société chinoise Qihoo 360 spécialisée dans les logiciels a découvert un cheval de Troie inséré dans un logiciel d’impression appartenant à la société chinoise « Nanchong City Qingda Trading Co., Ltd. » (南充市庆达商贸有限公司). Après le téléchargement et le lancement du logiciel infecté, le cheval de Troie alors déchiffré, a la capacité de contrôler les workflows du cloud d’un appareil, tout en contournant les antivirus qui lui font obstacle. Le cheval de Troie est alors en mesure d’installer à distance des portes dérobées, à travers des modules DLL chargés en mémoire, afin de contrôler à distance la machine en question (processus RCE, ou « Remote Code Execution »). Ce processus permet in fine de libérer de nombreux fichiers malveillants portant des extensions qui semblent pourtant légitimes (schedule.exe, temp.exe, burgpt.log,…). D’après les informations recueillies par Qihoo 360, l’auteur du cheval de Troie serait identifié (un certain Monsieur « Li »), mais ses informations ne sont pas divulguées au public. Originaire de la ville de « Wuxi » (province du Jiangsu), il résiderait aujourd’hui à Nanchong (province du Sichuan), et aurait notamment obtenu la signature digitale de la société chinoise en toute légalité. Aucune sanction pénale dont ferait l’objet l’auteur du cheval de Troie n’est évoquée dans l’article. En savoir plus

Individus & Groupes

Lucky Elephant

Le 6 mars, le FBI aurait alerté l’éditeur de logiciels Citrix, dont les produits sont très utilisés par les services militaires et gouvernementaux, d’une fuite de données provenant potentiellement d’une infiltration au sein de ses serveurs internes. Citrix se serait ainsi fait voler entre 6 à 10 TB de données. Selon des chercheurs de l’entreprise Resecurity, le vol massif de données aurait été le résultat d’une opération menée par le groupe iranien IRIDIUM. L’attaque aurait d’ailleurs visé plusieurs services gouvernementaux tels que le FBI, la NASA ou encore l’Agence des Communications de la Maison Blanche. D’après Resecurity, les pirates auraient infiltré le réseau interne de Citrix il y a près de 10 ans. Les pirates auraient notamment utilisé la tactique du « password spraying », c’est-à-dire le fait d’exploiter de faibles mots de passe pour obtenir un accès limité au réseau et ensuite contourner les autres systèmes de sécurité. En savoir plus ici et

 
Cette newsletter est émise par la cellule de Threat Intelligence. Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations. Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<