La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Une faille exposerait les informations relatives aux participants de la Black Hat USA 2018
  • Les données personnelles de 93 000 membres de l’application Sitter exposées
  • Superdrug : fuite des données personnelles d’environ 20 000 clients
  • Une campagne d’attaques par ransomware cible plusieurs organisations à travers le monde
  • Des produits cloud exposent involontairement les clés privées du certificat TLS d’utilisateurs
  • Un bug dans Chrome permettrait la récupération des données personnelles des utilisateurs
  • Nouvelle campagne  menée par le groupe APT28 avant les élections américaines de mi-mandat
  • La campagne d’attaque « Operation Red Signature » cible des organisations de Corée du Sud
  • Publication d’un TOP 25 des marques les plus usurpées au deuxième semestre 2018
  • Notre cellule sinophone s’est penchée sur le groupe APT-C-35 et son recours au malware mobile 
  • Focus sur le nouveau malware Mac déployé par le Groupe Lazarus, via le piratage d’une plateforme de cryptomonnaie

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Sécurité informatique

Une faille exposerait les informations relatives aux participants de la Black Hat USA 2018
Du 4 au 8 août 2018 s’est tenue la conférence Black Hat à Las Vegas aux Etats-Unis. A l’occasion de ce rassemblement réunissant des professionnels de la sécurité informatique, des badges contenant des informations de contact sur le porteur ont été distribués afin d’identifier les membres et de gérer leurs accès sur le site. En s’interrogeant sur la façon dont une entreprise présente aux stands était parvenue à récupérer son adresse email, l’un des participants à cette convention ayant pour pseudonyme « Ninja Style » aurait découvert une importante faille. Dans un blog post, celui-ci révèle qu’à la lecture du badge via une application (BCard) une URL exposerait les identifiants présents dans le badge. En contactant l’URL en question, le chercheur serait parvenu à récupérer l’ensemble des informations saisies lors de son inscription à la conférence (nom, prénom, adresse email, numéro de téléphone et adresse postale). Par déduction il lui aurait alors été possible de déterminer les identifiants de tous les autres participants et de rejouer chaque URL pour récupérer les informations personnelles de chacun. D’après son analyse, l’ensemble des données relatives aux 18 000 participants pourrait être récupéré en seulement six heures.
En savoir plus

Numérique

Les données personnelles de 93 000 membres de l’application Sitter exposées
Les données personnelles de 93 000 membres de l’application de baby-sitting « Sitter » auraient été exposées de manière temporaire sur Shodan. C’est un chercheur en sécurité informatique qui aurait découvert une base de données MongoDB contenant 2Go de données comprenant les numéros de téléphone, adresses postales, détails de transactions, contacts téléphoniques, numéros partiels de cartes bancaires ainsi que les mots de passe en clair de 93 000 membres. « Sitter » aurait été notifié de la fuite et aurait immédiatement réagi en coupant l’accès Internet à cette base tout en informant les utilisateurs de l’exposition de leurs données personnelles. Il n’y a toutefois pas d’information sur le délai d’exposition de cette base en clair sur Internet ni sur la récupération potentielle par un tiers des informations exposées.
En savoir plus

Santé

Superdrug : fuite des données personnelles d’environ 20 000 clients
La chaîne britannique Superdrug, spécialisée dans les soins de santé et de beauté, a révélé le 23 août dernier avoir été victime d’un piratage qui serait à l’origine du vol des données personnelles de près de 20 000 clients. L’auteur de cette fuite aurait contacté la chaîne britannique afin de prouver l’authenticité de son attaque, et des données dérobées. Ainsi, Superdrug a pu constater que, parmi ces informations, figuraient notamment les noms, adresses emails et postales, ainsi que les numéros de téléphone et date de naissance de nombreux clients. Superdrug précise toutefois qu’aucune information bancaire ou de paiement n’aurait fuitée. La chaîne de magasins a par ailleurs confirmé que 386 comptes auraient d’ores et déjà été compromis, et qu’elle s’efforçait d’en déterminer le nombre exact. L’ensemble des clients concernés aurait déjà reçu un email leur recommandant de modifier leurs informations de connexion (identifiant et mot de passe) dans les plus brefs délais. L’identité du pirate à l’origine de cette intrusion dans les systèmes des Superdrug ne serait pas encore connue.
En savoir plus

Multisectorielle

Une campagne d’attaques par ransomware cible plusieurs organisations à travers le monde
Les chercheurs de Check Point ont identifié une récente campagne d’attaques visant les data center, serveurs de stockage ou ordinateurs de travail de plusieurs organisations à travers le monde dont au moins trois aux Etats-Unis à l’aide du ransomware Ryuk. Les pirates exigeraient à chaque rançon un montant compris entre 15 et 50 bitcoins (soit entre 98 000 et 330 000 dollars) en fonction de la capacité financière de l’entité visée. Les attaques seraient particulièrement ciblées et les pirates auraient utilisé plusieurs portefeuilles électroniques afin de brouiller les pistes. L’analyse du code du malware aurait toutefois permis aux chercheurs d’établir des correspondances avec le ransomwareHERMES (attribué au groupe nord-coréen Lazarus), apparu en octobre 2017 et à l’origine d’une attaque rentable contre la Far Eastern International Bank à Taïwan (voir Threat Landscape du 17 octobre 2017 :https://mailchi.mp/7a6a0a71120e/threat-landscape-by-intrinsec-20171017?e=03af078b09). Pour Check Point, cette similitude soulève deux hypothèses : Lazarus serait également à l’origine de ces attaques, ou alors un autre acteur serait parvenu à obtenir le code source du malware HERMES.
En savoir plus

Cloud

Des produits cloud exposent involontairement les clés privées du certificat TLS d’utilisateurs 
Utilisée notamment par Mozilla et New Relic (un service d’analyse), Traefik est une solution créée et administrée par Containous, société française de logiciels. Elle permet de contrôler l’équilibrage de proxy et de charge en open sourceafin de gérer l’acheminement du trafic vers l’infrastructure informatique de l’entreprise. Pour cela, un panneau de gestion – dashboard – permet de surveiller les configurations de Traefik en direct. Or, le chercheur en sécurité Ed Foudil aurait récemment découvert que l’exposition du dashboard sur Internet et l’activation de son API (interface de programmation) permettrait à un attaquant d’interroger à distance cette API. Les conséquences de cette vulnérabilité seraient assez graves puisque tous les éléments de configuration, y compris les éléments secrets seraient exposés. Par ailleurs, les terminaisons de l’API auraient permis à un attaquant de demander à Traefik des détails sur les paramètres TLS, voire d’extraire une copie de la clé privée du certificat TLS propre à l’entreprise. Cette action aurait notamment laissé la possibilité à l’attaquant de déchiffrer le trafic intercepté ou de chiffrer le trafic Web (HTTPS) de manière à usurper le site officiel de la société visée.
Le bug a finalement été résolu lundi dernier, avec la sortie de la version 1.6.6 de Traefik. Désormais, de plus clairs avertissements apparaîtraient dans le cas où un administrateur active l’API du tableau de bord, indiquant notamment que l’activation de l’API peux exposer leurs données TLS. Il est cependant recommandé aux entreprises de désactiver l’accès public au dashboard Traefik et à son API.
En savoir plus

Numérique

Un bug dans Chrome permettrait la récupération des données personnelles des utilisateurs
La société de Cybersécurité Imperva aurait mis à jour un bug qui affecterait le navigateur Chrome, et permettrait à des tiers malveillant de découvrir les données personnelles des utilisateurs. Ce bug toucherait plus précisément tous les navigateurs qui exécutent le moteur Blink (moteur de rendu HTML) et utilisé par Google Chrome. Par ailleurs, il exploiterait les balises HTML audio/vidéo pour générer des requêtes concernant l’utilisateur du navigateur. Il permettrait par exemple à un pirate de créer des publications Facebook avec restrictions d’audience afin de déterminer l’âge de l’utilisateur en fonction de la volumétrie de la réponse. De la même manière, un attaquant pourrait se baser sur le même procédé pour déterminer le sexe d’un utilisateur, ses goûts et diverses autres informations personnelles. Imperva aurait signalé ce bug à Google en lui faisant une démonstration des différents scripts exécutables grâce à ce dernier, et l’équipe de Chrome affirme avoir corrigé la vulnérabilité dans la version 68.

Politique

Nouvelle campagne menée par le groupe APT28 avant les élections américaines de mi-mandat
L’unité Microsoft des crimes digitaux (DCU) aurait réussi à perturber la campagne de piratage lancée par l’organisation de cybercriminels « APT28 » (présumé associé au service de renseignement militaire russe, GRU), en parallèle des élections américaines de mi-mandat. Egalement connu sous l’appellation Fancy Bear, ce groupe était déjà accusé de diverses tentatives d’influence lors des présidentielles américaines de 2016.
Plus précisément, Microsoft aurait réussi à clore et transférer le contrôle d’une demi-douzaine de domaines Internet créés par le groupe en vue de perpétrer des actions de « spear phishing » (phishing personnalisé) et ce, avant le début de ces opérations de renseignement ciblées. Ainsi, par exemple, « my-iri.org » aurait été enregistré afin d’usurper le domaine de l’Institut Républicain International, défenseur des principes démocratiques. Dans le même esprit, « hudsonorg-my-sharepoint.com » aurait été créé afin d’imiter le Hudson Institute, think tank traitant notamment des questions de cybersécurité électorale. Quatre autres noms de domaine (« senate.group » par exemple), auraient également été enregistrés afin d’imiter l’infrastructure des domaines du Sénat américain.
Depuis 2016, un total de 84 domaines liés aux attaques d’APT28 auraient ainsi été saisis grâce à des décisions de justice. Cependant, d’autres actions malveillantes auraient été lancées, requérant notamment l’intervention du FBI en mai dernier. Ce dernier a en effet attriobué à APT28 le malware VPNFilter (à l’origine de la création d’un botnet de routeurs).
En savoir plus

Campagne d’attaques

La campagne d’attaque « Operation Red Signature » cible des organisation de Corée du Sud 
Trend Micro aurait récemment découvert une vaste campagne d’attaque, intitulée « Operation Red Signature », et qui aurait eu pour but de diffuser un Cheval de Troie d’accès à distance (RAT) afin de voler des informations sensibles aux victimes ciblées. Les auteurs de cette campagne seraient parvenus à compromettre le serveur de mise à jour d’un fournisseur sud-coréen de solutions d’assistance à distance, leur permettant ainsi d’infecter les victimes via la backdoor RAT 9002. Le code malveillant injecté aux victimes via ce fournisseur aurait été signé avec un certificat numérique valide, mais probablement dérobé au mois d’avril 2018. Les attaquants auraient, en outre, réussi à modifier la configuration de serveur de sauvegarde du fournisseur en question, afin de ne livrer le logiciel malveillant qu’aux organisations sud-coréennes dans une plage d’adresses IPs bien spécifique. Par la suite, les pirates auraient utilisé le même logiciel malveillant, ainsi que la même backdoor pour récupérer les informations sensibles présentes sur les serveurs compromis.
En savoir plus

Bonus

Publication d’un TOP 25 des marques les plus usurpées au deuxième semestre 2018
Vade Secure, acteur de la lutte contre les menaces relatives aux messageries électroniques, a récemment publié un rapport intitulé « Phisher’s Favorites », classant les 25 marques les plus usurpées par les cybercriminels en vue de mener des attaques de phishing. Afin d’établir cette liste, la société française a étudié le nombre de nouvelles URL dephishing analysées et détectées chaque jour par son moteur de recherche, sur la période du deuxième semestre 2018. L’évolution du classement par trimestre est également disponible.
Plus précisément, la première marche du podium revient à Microsoft, avec une hausse de 57% du nombre d’URL dephishing créés, détrônant ainsi l’habituel premier, Facebook. Par ailleurs, les enseignes françaises Orange, Crédit Agricole ou encore Banque Populaire feraient parties du top 15.
En savoir plus

Écosystème sinophone

APT-C-35 cible la région du Kashmir avec un malware mobile
Les chercheurs chinois de 360 Helios Team ont récemment publié une analyse d’un groupe de pirates référencé sous le numéro APT-C-35, et baptisée en chinois « Dunao Chong » (« 肚脑虫 », littéralement « Stomach & Brain Worm »). Actif depuis au moins avril 2016, ce groupe vise principalement le Pakistan à des fins d’espionnage en ciblant des agences gouvernementales, et aurait jusqu’à présent lancé pas moins de quatre campagnes d’attaques contre ce pays. Le groupe a été détecté pour la première fois en mars 2017 par ces mêmes chercheurs, puis remarqué une nouvelle fois en juin 2017. Pour les experts chinois, le malware « EHDevel » analysé en septembre 2017 par BitDefender, puis le groupe « Donot Team » et son malware « yty » décrits par la société Asert en mars 2018, seraient des émanations d’APT-C-35. Enfin, très récemment en juin 2018, 360 Helios a découvert qu’APT-C-35 aurait désormais recours à un malwareAndroid, délivré de manière encore non identifiée (probablement via un email de phishing ou un SMS), pour à nouveau s’en prendre aux pays de la région du Kashmir. Mi-août, les experts chinois estimaient que l’attaque était toujours en cours.
En savoir plus ici ou ici.
Rapports des autres sociétés de cybersécurité ici et ici.

Individus & Groupes

Le groupe Lazarus déploie son premier malware Mac via le piratage d’une plateforme de cryptomonnaie
Selon Kaspersky Lab, le groupe Lazarus, composé de pirates qui seraient liés à la Corée du Nord, aurait développé son premier malware se déployant via des ordinateurs Mac. Il serait parvenu à pénétrer les systèmes informatiques d’une plateforme d’échanges de cryptomonnaie basée en Asie, dont le nom n’a pas été dévoilé à ce jour. Le piratage aurait eu lieu après qu’un employé de la plateforme d’échanges aurait téléchargé une application de développement de logiciels de cryptomonnaie, d’apparence légitime, mais en réalité malveillante. Sous Windows, l’application aurait déjà infecté des utilisateurs via le Trojan Fallchill, déployé en 2016. Toutefois, dans ce cas-ci, les pirates informatiques auraient également inclus un programme malveillant à destination des Mac, qui ne serait cependant invisible dans l’application corrompue, le logiciel malveillant étant configuré de sorte qu’il se télécharge ultérieurement. Par ailleurs , les chercheurs de Kaspersky tentent toujours de découvrir comment le logiciel malveillant a pu être signé par un certificat numérique considéré comme valide, le rendant ainsi indécelable par les utilisateurs de Mac infectés. L’hypothèse actuelle est que Lazarus aurait pu aller jusqu’à enregistrer une fausse entreprise pour parvenir à ses fins.
En savoir plus
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Inscrivez – vous à la Newsletter >>>ici<<<