La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.
Au programme cette semaine :
- Campagne de ransomware : Gibon distribué dans plusieurs pays
- Le malware bancaire CoreBot est de retour
- Deux malwares pour voler les identifiants bancaires
- Secteur énérgitique: des nouvelles révélations sur les attaques APT
- Sécurité Android : un million d’utilisateurs victimes d’une fausse application WhatsApp
- 2.7 millions de données personnelles fuitent au Canada
- Des informations sur des menaces informatiques provenant de nos sources chinoises
- Focus sur les groupes « KeyBoy » et « Sowbug«
Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligence, contactez-nous !
Menaces Sectorielles
Multisectorielle
Le ransomware Gibon à l’origine d’une campagne d’attaques
En savoir plus
Finance
Le retour du malware bancaire CoreBot
En savoir plus
Qakbot et Emotet, les malwares qui volent les identifiants bancaires
En savoir plus
Energie
De nouvelles révélations sur les attaques APT contre le secteur énergétique
En savoir plus
Numérique
Un million d’utilisateurs Android ont téléchargé une fausse version de WhatsApp
En savoir plus
VerticalScope : piraté pour la deuxième fois
En savoir plus
Ecosystème Régional
Ecosystème chinois
Une agence de voyage hongkongaise piratée : toutes les données clients potentiellement exposées
L’agence de voyages hongkongaise WWPKG Holdings, spécialisée dans les séjours au Japon, a déposé lundi 6 novembre 2017 une plainte à la police locale suite à un piratage. D’après les informations disponibles, les attaquants se seraient connectés à la base de données clients, qui contient des informations personnelles telles que noms, téléphone et adresses mail/postale pour les trois dernières années, ainsi que les numéros de cartes bancaires et numéros de documents d’identité pour l’année passée. Environ 200 000 clients seraient référencés dans la base. Par ailleurs, les postes de travail de collaborateurs (majoritairement senior) ont été compromis à l’aide de Bitlocker, à la fois au niveau du siège et des filiales de la société. WWPKG Holdings auraient refusé de payer la rançon demandée, soit une somme « à sept chiffres » en dollars hongkongais (1 million de dollar hongkongais équivaut à environ 110 000 euros).
Source
Un établissement scolaire hongkongais visé par le ransomware Arena
Un établissement scolaire de niveau secondaire du district de Sha Tin à Hong Kong a contacté les autorités mercredi 8 novembre après-midi après s’être aperçu que ses systèmes étaient inaccessibles. Des attaquants auraient pris le contrôle des machines grâce au protocole RDP, puis utilisé la variante du ransomware Crysis/Dharma apparue cet été (l’extension de tous les fichiers du système devient « .arena ») pour les verrouiller. Une équipe spéciale a été dépêchée sur place pour aider à résoudre l’incident. Aucun lien n’a à ce stade été établi avec le piratage de WWKPG Holdings.
Source
Individus et Groupes
« KeyBoy «
D’après les chercheurs PwC, le groupe de pirates KeyBoy, qui opèrerait depuis la Chine, refait surface après un an de silence. Alors qu’il avait auparavant ciblé Taiwan, le Tibet et les Philippines, il s’en prendrait désormais à des entités américaines et européennes à des fins d’espionnage industriel. Le cas analysé par le cabinet de conseil montre que KeyBoy envoie un document Word qui utilise le protocole DDE (Dynamic Data Exchange) pour inciter l’utilisateur à mettre à jour le document en incluant des fichiers référencés comme liés à celui-ci. Cela déclenche l’installation d’une fausse bibliothèque logicielle Dynamic Link Library à l’aide de PowerShell, et supprime la bibliothèque originale sans que la victime s’en aperçoive. Une fois le malware installé, il offre de nombreuses fonctionnalités telles que prendre des captures d’écran, capturer les frappes clavier, rechercher des fichiers sur le système, éteindre la machine, etc. PwC a mis à disposition des indicateurs de compromission.
En savoir plus
« Sowbug »
La société de cybersécurité Symantec a indiqué mardi 7 novembre avoir détecté un groupe de pirates baptisé Sowbug. Le groupe a réussi à s’infiltrer, grâce à des attaques très ciblées, dans des institutions gouvernementales en Amérique du Sud et en Asie du Sud-Est afin de voler des documents confidentiels. Les attaques ont été repérées en Argentine, au Brésil, en Equateur, au Pérou, au Brunei et en Malaisie. Sowbug est capable d’infiltrer plusieurs cibles simultanément et en dehors des heures de travail des organisations, ce qui rend sa détection difficile. L’une des tactiques qu’il utilise pour éviter d’attirer l’attention est d’usurper l’identité des logiciels couramment utilisés tels que Windows ou Adobe Reader. Symantec n’a pas encore détecté le mode d’infection.
En savoir plus
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour en savoir plus… Cliquez ici !