La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Reddit, victime d’un piratage ayant entraîné l’exposition des données personnelles de ses membres
  • Une nouvelle version du spyware AZORult disponible
  • 145 applications du Google Play Store supprimées après plus d’un an d’existence sur la plateforme
  • Une sénatrice démocrate, cible du groupe de pirates APT28
  • La plateforme KICKICO victime d’un piratage : 7,7 millions de dollars dérobés
  • Le malware Coinhive s’attaque à près de 170 000 routeurs Mikrotik
  • Une vaste campagne de phishing prend pour cibles les entreprises du secteur industriel
  • Amnesty International victime d’une tentative de cyberespionnage 
  • Notre cellule arabophone s’est penchée sur le piratage d’une chaîne de télévision israélienne
  • Focus sur le nouveau groupe de pirates « Leafminer » détecté par Symantec

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Réseau social

Reddit, victime d’un piratage ayant entrainé l’exposition des données personnelles de ses membres
Dans un communiqué publié le 2 août dernier, la plateforme communautaire Reddit a fait état d’un piratage qui aurait permis le vol et l’exposition des données personnelles des membres de la plateforme. Le piratage aurait eu lieu au mois de juin 2018, et aurait été rendu possible par l’interception de messages d’authentification SMS. Les pirates, une fois introduits dans le système du forum, auraient dérobé les adresses emails de membres récemment inscrits sur le forum, ainsi qu’une base de données contenant les données personnelles des membres les plus anciens et inscrits entre 2005 et 2007 sur la plateforme. Cette base de données comprendrait les noms d’utilisateurs, adresses email, ainsi que les messages publics et privés des internautes. En outre, les pirates auraient également été en mesure de récupérer des données de backup, le code source du forum, ainsi que d’autres données récupérées directement auprès de fournisseurs d’hébergement du site Web. Reddit recommande à tous ses utilisateurs de réinitialiser leurs mots de passe, et de privilégier l’authentification à double facteur.
En savoir plus

Multisectorielle

Apparition d’une nouvelle version du malware espion AZORult
Des chercheurs en sécurité de Proofpoint auraient récemment découvert une nouvelle version du spyware AZORult. Selon eux, le malware serait apparu sur différents forums du Dark Web et aurait été impliqué dans une vaste campagne de phishing qui se serait déroulée le 18 juillet dernier. Les pirates auraient envoyé des milliers d’email à destination d’utilisateurs nord-américains, avec en objet la mention « about a role » ou bien « Job application ». Les emails en question contiendraient un fichier en pièce jointe, qui, une fois téléchargé, aurait permis l’installation puis la propagation du malware sur les postes infectés. La nouvelle version d’AZORult serait plus résistante aux antivirus conçus pour contrer les version précédentes, et serait en mesure de voler les historiques des navigateurs (à l’exception d’Internet Explorer et Edge).
En savoir plus

Numérique

145 applications du Google Play Store supprimées après plus d’un an d’existence sur la plateforme
Des chercheurs de Palo Alto Networks auraient identifié 145 applications disponibles sur le Google Play Store et infectées par des exécutables Microsoft Windows malveillants. Ces fichiers correspondraient à des keyloggers Windows, par conséquent, les utilisateurs Android ayant téléchargé les applications infectées n’auraient pas pu être impactés. Le scénario d’infection envisagé par Palo Networks serait que les développeurs de chacune de ces applications auraient été ciblés par un malware configuré de telle sorte qu’une copie du code malveillant aurait été injectée dans le code source des applications. Les chercheurs ont en effet remarqué que les 145 applications infectées avaient été mises en ligne sur le Google Play Store entre octobre et novembre 2017. L’ensemble des applications infectées n’auraient que peu de téléchargements à leur actif et auraient été depuis supprimées du Google Play Store.
En savoir plus

Politique

Une sénatrice démocrate américaine cible d’un groupe de pirates russes
Selon un rapport du Daily Beast publié le 26 juillet dernier, le groupe Fancy Ours (alias APT28) aurait ciblé en 2017, mais sans succès, la sénatrice démocrate Claire McCaskill, élue dans l’état du Missouri. Les pirates auraient lancé des emails de phishing contenant de fausses notifications relatives à un changement de mot de passe à effectuer sur Microsoft Exchange. Une source interne au sein de Microsoft, aurait indiqué, la semaine dernière, que APT28 aurait visé au moins trois élus américains. La sénatrice démocrate du Missouri a publiquement réagi suite à la tentative d’attaque d’APT28, en pointant du doigt la Russie et en indiquant que celle-ci ,  « continue à livrer une cyber-guerre contre la démocratie américaine ». Le secrétaire à la Défense, James Mattis, a déclaré vendredi 03 août, que les Etats-Unis prenaient les mesures nécessaires afin d’empêcher toute tentative d’autres Etats d’influer sur l’électorat américain, dans la perspective des élections de mi-mandat.
En savoir plus

Cryptomonnaie

7,7 millions de dollars, dérobés de KickICO
KickICO, une plateforme d’offre de pièces de monnaie (ICO), a déclaré avoir été victime d’un piratage le 27 juillet dernier, perdant ainsi plus de 70 millions de jetons KICK, l’équivalent de 7,7 millions de dollars. Ce piratage serait unique en son genre puisque les pirates auraient pu accéder directement au contrat intelligent du réseau blockchain KickICO en obtenant la clé privée du contrat, contrairement aux méthodes connues jusque-là et qui consistaient à dérober des fonds en récupérant les accès d’un administrateur. Les pirates auraient détruit 40 comptes sur KickICO et en auraient créé 40 nouveaux, avec des montants identiques à ceux des comptes supprimés. Quelques heures après l’incident, l’équipe KickICO affirme avoir pu retrouver l’accès à son contrat intelligent et remplacer la clé privée compromise par une clé privée, afin de protéger le réseau et les fonds restants des utilisateurs.
En savoir plus

Télécommunications

Plus d’une centaine de milliers de routeurs Mikrotik ciblés par Coinhive
Une campagne de cryptojacking massive ciblant des routeurs Mikrotik aurait été détectée le 31 juillet dernier par un chercheur en sécurité informatique. La campagne aurait débuté au Brésil mais se serait rapidement propagée à d’autres pays dans lesquels des routeurs Mikrotik auraient été détectés. Les pirates auraient exploité une vulnérabilité identifiée le 23 avril dernier (et corrigée par Mikrotik le jour suivant) présente sur les routeurs qui n’ont pas appliqué le correctif pour injecter le cryptomalware Coinhive. Au total, près de 170 000 routeurs Mikrotik auraient été infectés par Coinhive sur le million qui serait exposé sur Internet.

Industrie

Une campagne de phishing vise les compagnies industrielles utilisant TeamViewer et RMS
Des experts du Kaspersky Lab auraient récemment découvert l’existence de nouvelles vagues de campagnes de phishing, qui cibleraient cette fois-ci les entreprises et les organisations liées à la production industrielle. Les emails de phishing prendraient l’aspect de propositions commerciales et seraient principalement envoyés à des entreprises basées en Russie. Selon les experts, ces attaques auraient débuté en novembre 2017 et seraient toujours en cours. Le malware contenu dans les emails de phishing serait conçu pour installer automatiquement les logiciels de commande à distance TeamViewer et RMS. Le malware injecterait par la suite du code malveillant dans le processus d’installation du logiciel. Cela permettrait ainsi aux pirates de prendre le contrôle des systèmes infectés par le malware, et de s’introduire dans les systèmes d’informations des entreprises ciblées.
En savoir plus

ONG

Amnesty International victime d’une tentative de cyberespionnage 
L’organisation non gouvernementale (ONG) Amnesty International a annoncé avoir été la cible d’une tentative de cyberespionnage. En juin dernier un collaborateur de l’ONG aurait reçu un message WhatsApp malveillant rédigé en arabe et invitant le destinataire à soutenir la tenue d’une manifestation à Whingston contre l’Arabie Saoudite en cliquant sur un lien. Le message en question aurait été transmis à l’équipe technique qui aurait indiqué, après investigation, que le domaine hébergeant le lien appartiendrait à une infrastructure d’au moins 600 sites Web malveillants et affiliés à la société israélienne NSO Group Technologies. D’après Amnesty International, l’exécution du lien aurait pu aboutir au téléchargement du virus Pegasus sur le téléphone du collaborateur en question et dont le développement serait attribué à cette société. Le virus en question serait capable de prendre le contrôle de la caméra et du microphone d’un téléphone, d’enregistrer les frappes, ou encore d’accéder à la liste des contacts.
En savoir plus

Ecosystème Régional

Écosystème Moyen-Orientale 

La chaîne 10 de la télévision israélienne victime d’un piratage
Un groupe de pirates yéménite, connu sous le nom « La cyber-armée yéménite » aurait piraté la chaîne 10 de la télévision israélienne en diffusant sur le site Web de la chaîne en question, l’image d’un enfant yéménite tué lors de frappes saoudiennes. La diffusion du direct de chaîne 10 aurait été perturbée pendant quelques minutes, et des images sur la situation politique au Yémen auraient été diffusées. Par ailleurs, les pirates auraient diffusé la phrase « La cyber-armée yéménite a piraté l’unité 8.200 de l’armée israélienne » sur le site Web de la chaine.
En savoir plus

Individus & Groupes

« Leafminer », un groupe de pirates iranien vise le Moyen-Orient dans le cadre d’une campagne de cyberespionnage
Des chercheurs de Symantec ont affirmé, le 25 juillet dernier, avoir découvert un nouveau groupe de pirates qui viserait des états et des institutions au Moyen-Orient. Baptisé « Leafminer », le groupe serait particulièrement intéressé parà les institutions étatiques, les entreprises du secteur de l’énergie, de la pétrochimie, des transports, des télécommunications et de la finance. Le groupe ciblerait des organisations en Arabie Saoudite, aux Emirats Arabes Unis, au Qatar, au Liban, au Koweït, au Bahreïn, en Égypte et en Afghanistan. Le directeur technique de Symantec a déclaré que « Leafminer » était actif depuis le début de l’année 2017, mais qu’il avait “intensifié” son activité entre la fin de l’année dernière et le début de 2018. Les chercheurs auraient réussi à se procurer une liste de plus de 800 cibles identifiées par les pirates. Cette liste est rédigée en farsi, ce qui laisse supposer que le groupe de pirates est d’origine iranienne . Les chercheurs ont précisé également que le groupe chercherait à infiltrer des réseaux ciblés au travers de trois principaux vecteurs d’intrusion : les sites de point d’eau, les recherches de vulnérabilité de services réseaux et les tentatives de connexion en brute force. Les chercheurs précisent également que le groupe serait à la recherche de données de messagerie et serveurs de bases de données sur les systèmes compromis. Symantec a noté également que le groupe utiliserait des techniques de piratage qui ont déjà été utilisées par d’autres groupes.
En savoir plus
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Inscrivez – vous à la Newsletter >>>ici<<<