La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Les campagnes de ransomware toujours à l’oeuvre
  • Une nouvelle technique d’infection détectée
  • Finance : le malware QakBot et le groupe Cobalt refont surface
  • La sécurité des appareils Android menacée par un malware sur le Google Play Store
  • Des caméras connectées d’un fabricant chinois vulnérables
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises
  • Focus sur les groupes APT19 et Turla

 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Les menaces sectorielles

Multisectorielle

Dans l’ombre de WannaCry, deux campagnes de ransomware ont été lancées
Deux campagnes d’attaques par ransomware ont été observées par la société Trustwave au même moment que l’infection WannaCry. Ces deux campagnes plus discrètes auraient distribué le ransomware FakeGlobe et Cerber. Truswave a précisé qu’il ne s’agissait pas de campagnes massives mais qu’environ 31 000 emails ont été distribués depuis un botnet inconnu opérant principalement depuis le Vietnam, l’Inde et le Laos. Des indicateurs de compromission ont été publiés.
En savoir plus

Une nouvelle technique de Social Engineering pour infecter les utilisateurs via des documents PowerPoint
Deux sociétés de cybersécurité, SentinelOne et Dodge This Security ont détecté un nouveau type de document Microsoft Office malveillant. Il s’agirait d’un document PowerPoint qui exécuterait une commande PowerShell au passage du curseur de la souris sur un lien hypertexte. Cette technique permet aux acteurs malveillants de contourner la vigilance des utilisateurs qui ont désactivé les macros dans leurs paramètres Microsoft Office. La société SentinelOne a baptisé le malware actuellement distribué via cette technique Zusy. Des indicateurs de compromission ont été publiés.
En savoir plus ici et .

Finance

Le malware bancaire QakBot de retour dans une campagne d’attaques

Le malware bancaire Qakbot connu pour être actif depuis au moins 2009 a récemment été détecté dans une nouvelle campagne d’attaques par IBM. Les experts d’IBM ont observé au cours de cette dernière campagne que les comptes utilisateur de l’Active Directory, service Microsoft qui permet aux administrateurs d’avoir le contrôle sur le réseau de l’entreprise, se retrouvaient verrouillés à leur insu. Le malware Qakbot est réputé pour cibler des entreprises et leurs comptes bancaires et est capable de s’auto-répliquer via les disques durs partagés ou des supports amovibles. Qakbot aurait principalement visé des entreprises américaines affiliées au secteur bancaire.
En savoir plusLe groupe Cobalt continue de s’attaquer aux organisations associées au secteur de la finance
Ce mois de mai, Proofpoint a détecté une campagne d’attaques menée par le groupe Cobalt, connu pour viser les organisations du secteur financier. D’après Proofpoint, le groupe se serait servi d’une version à jour de l’outil de création de documents Microsoft Word malveillants, Microsoft Word Intruder, qui intégrerait la CVE-2017-0199, pour distribuer ses charges malveillantes. Cette campagne du groupe Cobalt aurait visé des banques, des fabricants de logiciels bancaires ainsi que de logiciels ou de pièces pour distributeur automatique de billet.
En savoir plus

Numérique

La sécurité des appareils Android menacée, un malware était présent sur le Google Play Store

Un nouveau malware Android a été détecté par Kaspersky. Il a été baptisé Dvmap et était disponible sur le Google Play Store jusqu’au retrait récent de l’application au sein de laquelle il se cachait. L’application en question, un jeu de puzzle appelé « colourblock » aurait été téléchargée 50 000 fois. Ce trojan serait capable d’obtenir des droits d’accès root sur la machine infectée voire d’en prendre le contrôle en injectant du code malveillant dans certaines bibliothèques système.
En savoir plus

Technologie

Des vulnérabilités détectées dans les caméras connectées d’un fabriquant chinois
La société F-Secure a identifié 18 vulnérabilités différentes au sein de caméras connectées fabriquées par un vendeur chinois, Foscam. Si celles-ci sont exploitées par un attaquant, elles pourraient permettre de prendre le contrôle de la caméra et par conséquent, de voir et de télécharger ce qu’elle observe. 14 grandes marques proposeraient les modèles de caméras concernés. F-Secure a publié un rapport détaillant les vulnérabilités, les modèles affectés et les marques associées à ces produits. Les Etats-Unis et l’Europe de l’Ouest apparaissent comme les plus importants utilisateurs de ces modèles.
En savoir plus

Automobile

10 millions de numéros d’identification de véhicules en accès libre
Les spécialistes de Kromtech Security ont détecté une base de données non protégée, contenant plus de 10 millions de numéros d’identification d’automobiles. Selon les experts, la base de données aurait été exposée en accès libre en ligne sans authentification pendant 137 jours et aurait été développée à des fins marketing. Cette base de données contient trois set de données : les données personnelles des clients (noms, prénoms, adresses physiques, numéros de téléphones professionnels et personnels, dates de naissance, le sexe, ainsi que des données sur le nombre d’enfants de plus 12 ans), l’information sur le véhicule (le numéro d’identification entre autres) et des informations de paiement. Le numéro d’identification des véhicules est particulièrement prisé des voleurs pour effectuer du « car cloning » : faire passer une voiture volée pour régulière en lui conférant un numéro d’identification légitime. Les automobilistes pourront vérifier si leurs données figurent dans la base à partir du site « Have I been pwned? ».
En savoir plus

Écosystème régional

Écosystème chinois

Les données de clients Apple volées, puis revendues
Vingt-deux suspects, dont vingt employés du magasin Apple, ont été arrêtés pour avoir revendu les informations personnelles des clients de la marque. Les données étaient trouvées directement sur les serveurs de la firme et revendus plus de 50 millions de yuan au total, soit plus de 6.5 millions d’euros.
Source

 

Écosystème moyen-oriental

Les systèmes de la chaîne de télévision Al-Jazeera, cibles d’une attaque sans précédent
La chaîne de télévision qatarie Al-Jazeera a indiqué jeudi 9 juin avoir lutté contre une vaste cyberattaque ciblant tous ses systèmes, ses sites Internet et ses plateformes sur tous les réseaux sociaux. Ces tentatives de piratage ont été qualifiées par la chaîne comme systématiques, continues et avec des formes variées. Cependant les plateformes n’ont pas été compromises. Le site de la télévision nationale qatarie a également dû être fermé à cause d’une autre cyberattaque.
Source

L’ambassadeur des Émirats Arabes Unis à Washington, victime de piratage 
Plusieurs emails de l’ambassadeur des Émirats Arabes Unis à Washington ont fuité le 3 juin dans plusieurs médias américains, dont The Intercept, le Huffington Post et The Daily Beast. La boite de messagerie de l’ambassadeur a été piratée par le groupe « GlobalLeaks ». Le piratage a été confirmé par la porte-parole de l’ambassade des Émirats Arabes Unis à The Daily Beast, qui affirme que la boîte de messagerie appartient bien à l’ambassadeur Youssef Al Otaiba.
Les courriels auxquels ont eu accès les médias, montrent des échanges entre l’ambassadeur et la Fondation pour la Défense des Démocraties (FDD) sur les moyens d’isoler le Qatar de la diplomatie américaine, et les pressions à exercer sur les grandes entreprises pour éviter les échanges économiques avec l’Iran. Le groupe « GlobalLeaks », est probablement affilié à DCLeaks, un site web qui avait auparavant publié des courriels du parti démocrate américain. Il a affirmé dans des déclarations accordées au Huffington Post, qu’ils « cherchaient à exposer les efforts des EAU à manipuler le gouvernement américain ».
Source

 

Individus et Groupes

APT19
La société FireEye a détecté en mai et juin 2017 une campagne de phishing menée par le groupe APT19 qui aurait visé au moins 7 sociétés d’investissement ou cabinets d’avocats internationaux. Le groupe aurait diffusé des documents RTF ou Excel malveillants pour déployer ses premières charges. FireEye a publié une liste d’indicateurs de compromission. Le groupe est soupçonné de posséder des liens avec le gouvernement chinois.
En savoir plus
Turla
D’après la société ESET, Turla, un groupe de pirates soupçonnés d’être affilié au gouvernement russe, aurait maquillé une backdoor en extension Firefox diffusée via un site suisse compromis. Avec cette extension, Turla se serait ensuite servi de commentaires postés sur une photo spécifique du compte Instagram de Britney Spears pour atteindre un des serveurs C&C du groupe.
En savoir plus
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !