La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • Une trentaine de pays ciblés, plus de 80 organisations touchées : retour sur l’opération Sharpshooter
    • Les données personnelles de 120 millions de citoyens brésiliens exposées
    • Détection d’une mystérieuse base de données MongoDB contenant des informations sur 66 millions d’individus
    • Un botnet composé de 20 000 sites WordPress s’attaque à d’autres sites WordPress
    • Un nouveau malware visant les utilisateurs Mac détecté
    • Le service « Ariane » du Ministère français des Affaires étrangères piraté
    • Plus d’une centaine d’organisations touchées par la dernière campagne du groupe Seedworm
    • Notre analyse des attaques Anonymous lancées suite au mouvement des gilets jaunes

    Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Multisectorielle

« Opération Sharpshooter » : les secteurs d’infrastructures critiques pris pour cible
Les chercheurs de McAfee ont publié le 12 décembre dernier un rapport détaillant leur recherche sur une nouvelle campagne baptisée « Opération Sharpshooter » visant les entreprises des secteurs de la défense, de l’énergie, du nucléaire et de la finance. Les pirates enverraient un courrier de phishing ciblé pour compromettre leurs cibles et y déployer une backdoor nommée « Rising Sun » qui leur permettrait d’effectuer une reconnaissance sur le réseau de la victime. Les pirates obtiendraient ainsi l’accès aux informations sensibles relatives à la machine visée, y compris la configuration du réseau, les paramètres du système, ou encore les documents et les noms d’utilisateur de la victime. Ces données seraient ensuite envoyées à un serveur de commande et contrôle pour être exploitées par les acteurs malveillants, qui pourraient ainsi déterminer les étapes suivantes de l’attaque. L’opération Sharpshooter aurait frappé 87 organisations dans le monde entier, organisations majoritairement anglophones et principalement dans les secteurs de la défense et des télécommunications.
En savoir plus

Numérique

Les données personnelles de 120 millions de brésiliens exposées
Des chercheurs de la société de sécurité informatique InfoArmor auraient découvert une base de données ouverte et exposée sur Internet, qui contiendrait les données personnelles de près de 120 millions de brésiliens. Parmi ces données fuitées, on retrouverait, en plus de leur numéro CPF (numéro d’enregistrement fiscal brésilien), les noms et prénoms, l’historique et les données bancaires, les adresses postales et email, ainsi que la fonction, le montant du salaire de l’ensemble de ces victimes. L’exposition de cette base de données aurait été rendue possible via un fichier de sauvegarde non protégé, stocké sur le cloud et intitulé « index.html_bkp ». Selon les ingénieurs d’InfoArmor, il est probable que ces données aient été récupérées et revendues sur le Dark Web à des fins malveillantes.
En savoir plus
Une base de données MongoDB expose les données de 66 millions d’individus
Des informations, appartenant à plus de 66 millions d’individus, auraient été détectées sur une base de données MongoDB, non chiffrée et exposée sur Internet. Aucune information n’aurait permis de déterminer l’identité du propriétaire de cette base de données. En revanche, il apparaîtrait que les éléments disponibles au sein de cette base de données soient des données collectées sur LinkedIn. Au total, ce serait les noms, les adresses emails personnelles et professionnelles, les coordonnées téléphoniques et postales, ainsi que les antécédent professionnels de plus de 66 millions d’individus qui auraient été exposés. La base de données ne serait désormais plus accessible publiquement.
En savoir plusDes experts de la société Wordfence ont découvert un Botnet de 20 000 sites WordPress
Defiant, la société à l’origine du plugin Wordfence, un système de pare-feu pour les sites WordPress, aurait détecté plus de cinq millions de tentatives de connexion au cours du dernier mois à partir de sites infectés, vers d’autres sites WordPress non infectés. Il s’agirait d’ »attaques par dictionnaire » : des tentatives de connexion au cours desquelles des pirates testent des combinaisons de noms d’utilisateur et de mots de passe. Les enquêteurs auraient découvert quatre serveurs de commande et contrôle (C&C) qui indiqueraient des cibles (sites propres) aux sites infectés. Ces quatre serveurs auraient envoyé, via un réseau de plus de 14.000 serveurs proxy russes, des instructions d’attaques, et auraient par la suite relayé les instructions à des scripts malveillants placés dans les sites WordPress déjà infectés. Les quatre serveurs à l’origine du botnet n’auraient pas pu être démantelés car ils seraient hébergés chez HostSailor, une société qui aurait la réputation de refuser les demandes de retrait. Ce botnet WordPress serait toujours en activité. Defiant conseillerait de se doter d’un plugin de sécurité afin de bloquer les attaques par force brute ou par dictionnaires sur le service XML-RPC.
En savoir plus

Informatique

Un nouveau malware à destination des Mac combinerait une backdoor à un cryptomineur
Des chercheurs de Malwarebytes ont annoncé avoir détecté une application malveillante usurpant le logiciel Adobe Zii, ciblant les utilisateurs des Mac et combinant la backdoor « EmPyre », et le cryptomineur « XMRig ». La fausse application serait un script shell malveillant, baptisé OSX.DarthMiner par les chercheurs de Malwarebytes. Le script shell exécuterait un script Python obfusqué qui, à son tour, téléchargerait les codes sources des deux programmes open source : « EmPyre » et « XMRig ». Le script Python permettrait également une connexion au serveur « EmPyre » et serait capable de transmettre des commandes arbitraires à l’appareil infecté. Les chercheurs ont précisé que la porte dérobée « EmPyre » pourrait être utilisée pour installer d’autres programmes malveillants, et que le script contiendrait un code capable de télécharger et d’installer un logiciel qui permettrait d’intercepter tout le trafic Web, y compris le trafic https chiffré. Cependant, cette portion de code serait commentée et donc inactive à ce jour.
En savoir plus

Politique

Le Ministère français des Affaires Etrangères piraté
Le 13 décembre dernier, le Ministère français de l’Europe et des Affaires étrangères a indiqué dans un communiqué officiel que le service « Ariane » aurait été victime d’un piratage. « Ariane » est un service qui permet aux citoyens français de désigner une « personne à prévenir » en cas de difficultés rencontrées lors d’un déplacement à l’étranger. Le piratage en question aurait donc compromis les données renseignées auprès de cette plateforme telles que les noms, prénoms, numéros de téléphone et adresses email. Le Ministère a communiqué auprès des utilisateurs impactés (540 563 personnes pourraient être concernées) en précisant qu’il n’était pas exclu que ces informations puissent être réutilisées à des fins malveillantes (phishing, tentative d’escroquerie etc). Il n’y a pour l’instant aucune information sur l’origine de cette fuite de données.
En savoir plus

Individus & Groupes

Seedworm (MuddyWater)

Plus d’une centaines d’organisations touchées par la dernière campagne du groupe Seedworm

Symantec a publié le 10 décembre dernier un article sur la dernière campagne du groupe Seedworm (aka MuddyWater), connu depuis 2017 pour s’attaquer à des secteurs stratégiques au Moyen-Orient, en Europe et aux Etats-Unis et ce, à des fins de cyberespionnage. Cette dernière campagne aurait ciblé entre fin septembre et mi-novembre 2018, 131 organisations principalement implantées au Moyen-Orient et appartenant aux secteurs des télécommunications (25%), aux branches IT d’agences gouvernementales (16%) ou à l’industrie pétrolière et gazière (14%). Le groupe aurait déployé une variante de sa backdoor « Powermud » (ou « Powmuddy ») ainsi que des outils d’attaques open source, connue pour compromettre ses cibles et collecter de l’information sur ces dernières. Symantec affirme avoir identifié des comptes Github et Twitter affiliés à ce groupe de pirates.
En savoir plus

Anonymous

Plusieurs bases de données partagées par la communauté Anonymous

La direction générale de la sécurité intérieure (DGSI) enquêterait actuellement sur la diffusion, le 9 décembre dernier, d’un fichier comprenant des informations sur près de 500 policiers. Ce fichier, diffusé sur des sites de partages d’informations se revendiquant de la mouvance Anonymous, comprendrait les noms, les adresses email et les affectations des policiers ciblés. La fuite du fichier serait due au piratage d’un forum du syndicat de police Alliance. Ce piratage survient après la publication de deux autres bases de données, par le groupe Anonymous. L’une d’elles aurait été présentée comme une liste du personnel du Ministère de la Défense, et contiendrait les noms, les adresses email, les numéros de téléphones et les fonctions de plus de trois mille personnes. La deuxième base, diffusée avec le mot-clé #OpFrance, proviendrait de l’un des sites Web de l’Ecole nationale de l’administration pénitentiaire (ENAP), et contiendrait les noms, les prénoms, et les adresses email de 1 600 clients. Ces piratages n’auraient pas forcément un lien avec le mouvement gilets jaunes, car plusieurs indicateurs laissent penser que la liste du personnel du Ministère de la Défense serait le fruit d’un ancien piratage (plusieurs données datent des années 2000, et seraient donc obsolètes). Les consignes de mobilisation de l’opération Anonymous #OpFrance donneraient des indications sur les motivations des pirates : « s’attaquer directement au gouvernement », « bloquer les serveurs des divers banques » et « lancer des DDoS massifs et simultanés sur les médias ».
.
.
 
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<