La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • 157 Go de données sensibles d’entreprises manufacturières, accessibles publiquement
  • Plusieurs systèmes de Cosco sont hors-service après une cyberattaque par ransomware
  • Le malware bancaire Kronos, refait surface avec une nouvelle version
  • EXOBOT: un malware qui s’attaque aux comptes bancaires
  • Le site de téléchargement Mega victime d’une fuite de données
  • Nouveaux éléments sur Calisto: un trojan visant macOS
  • SingHealth, victime d’une importante fuite de données
  • Notre cellule arabophone vous renseigne sur une tentative de piratage visant une banque algérienne
  • Focus sur le mode opératoire du groupe TA505 

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Automobile

47 00 documents sensibles d’entreprises manufacturières, accessibles publiquement
Les chercheurs de la société de sécurité informatique UpGuard ont révélé le 20 juillet dernier avoir découvert des documents sensibles appartenant à plus de 100 entreprises du secteur automobile, dont General Motors, Fiat Chrysler, Ford, Tesla, Toyota, ThyssenKrupp et Volkswagen. Les documents sensibles auraient été localisés sur un serveur accessible publiquement et appartenant à « Level One Robotics », une entreprise canadienne fournissant des services d’automatisation industrielle. Les données ont été découvert le 1er juillet dernier, avec 47 00 documents accessibles, qui contiendraient notamment des secrets commerciaux et d’autres données sensibles appartenant à des constructeurs automobile, des scans de passeports, des permis de conduire, des factures, des données bancaires, des accords de confidentialité, ainsi que des configurations robotiques. Selon les chercheurs, les données auraient été exposées via rsync, un protocole de transfert de fichier utilisé pour sauvegarder des données.
En savoir plus

Transport maritime

La société de transport maritime COSCO, victime d’une attaque par ransomware
La société de transport maritime COSCO, basée à Shanghaï, a annoncé avoir été victime d’une cyberattaque mardi 24 juillet 2018. Un porte-parole de COSCO a confirmé que la société avait été la cible d’un ransomware visant les opérations du groupe aux Etats-Unis, et plus précisément le Terminal de Long Beach. Howard Finkel, le vice-président du Groupe, spécifie que les communications entre les opérations américaines du transporteur et ses clients ont été également impactées, et peuvent s’effectuer pour l’instant uniquement par voie téléphonique. En revanche, les opérations logistiques américaines ainsi que l’ensemble des opérations extérieures aux Etats-Unis ne seraient pas affectées par cette attaque. Les investigations sont toujours en cours pour connaître l’étendue des conséquences de cette attaque, et le niveau de compromission des systèmes du Groupe.
En savoir plus

Banque

Le malware bancaire Kronos est de retour, et il vise plusieurs pays
Les chercheurs de Proofpoint ont annoncé le 24 juillet avoir découvert une nouvelle version du trojan Kronos. Descendant du malware bancaire Zeus, et découvert pour la première fois en 2014, une nouvelle variante serait désormais active, avec au moins trois campagnes distinctes ciblant respectivement l’Allemagne, le Japon et la Pologne. Par rapport à la version de 2014 de Kronos, le mécanisme de commande et contrôle aurait été modifié pour utiliser le réseau Tor.
En savoir plus

Le code source du malware bancair Exobot est accessible
Des chercheurs en cybersécurité de TripWire ont annoncé que le code source du malware bancaire Exobot serait disponible sur le darknet. Exobot cible les utilisateurs d’Android via des applications malveillantes, dont certaines sont disponibles depuis le Google Play Store. Après l’installation, les applications malveillantes chargeraient Exobot, et utiliseraient des attaques de superposition chaque fois que la victime naviguerait sur un site bancaire. Cette technique permettrait aux pirates de voler les informations bancaires des utilisateurs, ainsi que les fonds présents sur les comptes bancaires piratés. Des chercheurs en sécurité de ThreatFabric, ont déclaré à Bleeping Computer, que le code était pour la version 2.5 du malware, autrement connu sous le nom de « Trump Edition », et ont confirmé plus tard que quelqu’un avait divulgué le code source de cette variante au mois de mai. Actuellement, le code source du malware aurait été publié sur plusieurs forums du darkweb.
En savoir plus

Numérique

Des milliers d’identifiants de compte Mega accessibles publiquement
Le site de téléchargement de fichier Mega, basé en Nouvelle-Zélande, aurait été victime d’une fuite de données, selon des chercheurs en sécurité de ZDNet. Il s’agirait d’un fichier contenant des informations de connexion, ainsi que la liste des fichiers téléchargés de près de 15 000 utilisateurs du site, qui aurait été détecté sur le site de VirusTotal par Patrick Wardle, chercheur en sécurité chez Digital Security. Les experts de ZD Net affirment avoir réalisé des investigations directement auprès des personnes dont les données se seraient retrouvées exposées, afin d’en certifier l’authenticité. Les données fuitées dateraient pour la plupart de 2013, date du lancement du site. Par ailleurs, bien qu’aucune indication sur l’origine de cette fuite ne soit disponible, le président du site Mega assure qu’il s’agirait de données récupérées parcredentials stuffing (réutilisation d’identifiants volés sur un autre site Web), et non à la suite d’une intrusion malveillante dans les systèmes. De plus, des experts, en partenariat avec le site I Have Been Pwned, affirment que 98% de ces données se seraient déjà retrouvées exposées dans d’autres bases de données fuitées.
En savoir plus

Une souche de malware visant des produits MacOS découverte après deux ans d’existence
Des chercheurs de Kaspersky Lab auraient découvert une souche de malware baptisée Calisto et visant le système d’exploitation MacOS. Le code malveillant de cette backdoor aurait été développé en 2016 et appartiendrait à la famille du malware macOS Proton qui avait été découvert en mars 2017. La méthode de propagation serait similaire aux deux malwares : Proton était injecté au sein d’applications légitimes, Calisto suivrait la même méthode et serait embarqué au sein d’un fichier d’installation de la solution de sécurité pour Mac, Intego. Le malware permettrait ensuite aux attaquants de se connecter à distance sur la machine infectée puis de partager l’écran, de configurer des accès à des utilisateurs distants, de récupérer de la donnée depuis les répertoires utilisateur et de s’autodétruire. Cependant, le malware ayant été codé avant la mise en place de la fonction de sécurité SIP (System Integrity Protection), il ne serait pas en mesure de la contourner. Bien que Calisto ait été analysé sur le site VirusTotal dès 2016, il serait resté inconnu jusqu’en mai 2018 et aurait été entre-temps abandonné par ses créateurs.
En savoir plus

Médical

Singapour : un malware permet le vol de données d’1,5 million de patients
Le Ministère de la Santé de l’Etat de Singapour aurait récemment annoncé dans un communiqué une fuite de données massive au sein du groupement d’établissements de santé publics / privés SingHealth, qui aurait permis l’exfiltration de données à caractère personnel de 1,5 million de patients. La compromission d’un ordinateur du système informatique de l’un des 18 établissements que compte le Groupe serait à l’origine de cette fuite de données. Ce poste aurait servi de point d’entrée aux attaquants, qui, grâce à un logiciel agissant comme un cheval de Troie, auraient été en mesure de récupérer les informations de connexion (couple identifiants et mot de passe) d’un quart de la population singapourienne. L’attaque, repérée le 4 juillet dernier, aurait démarré le 27 juin. Le Ministère de la Santé précise que seules les données administratives des patients auraient été volées, à savoir les noms, prénoms, dates de naissance, adresses, numéros de sécurité sociale, sexes et origines raciales. Toutefois, aucune donnée (administrative ou médicale) n’aurait été modifiée au sein de la base de données à laquelle les attaquants ont eu accès. Aucune information sur les auteurs de cette attaque n’est pour l’instant connue.
En savoir plus

Ecosystème Régional

Écosystème Moyen-Orientale 

Les systèmes de la banque AGB ont été la cible de 49 tentatives d’intrusion en une seule soirée
L’équipe algérienne de lutte contre les crimes électroniques aurait arrêté un pirate essayant de compromettre les systèmes de la banque AGB (Algeria Gulf Bank). Le pirate, un expert en informatique âgé de 30 ans, aurait ciblé la banque avec 49 tentatives d’intrusion en une seule soirée. Le pirate aurait eu pour objectif d’accéder aux comptes des clients et de détourner d’importantes sommes d’argent, mais il ne serait finalement pas arrivé à ses fins . La brigade de lutte contre la cybercriminalité a procédé à l’arrestation du pirate. Devant le juge, l’inculpé a reconnu les faits, niant toutefois toute intention de détournement d’argent. Le ministère public a requis, le 25 juillet, une peine d’un an d’emprisonnement et 364 euros d’amende.

Individus & Groupes

Focus sur une nouvelle technique d’attaque du groupe TA505
La société de sécurité Proofpoint aurait détecté le 16 juillet dernier une campagne de spam diffusant l’outil d’administration à distance (RAT, Remote Administration Tool) FlawedAmmyy. La charge malveillante aurait été déployée via des fichiers « .settingcontent-ms » (un fichier Windows qui permet à l’utilisateur de créer un raccourci) embarqués dans un fichier PDF. D’après Proofpoint, c’est la première fois que des pirates insèreraient ce type de fichier dans un document PDF. La backdoor FlawedAmmyy permettrait aux attaquants de gérer les fichiers sur la machine infectée, de prendre des captures d’écran, de contrôler le poste à distance notamment dans le but de collecter des identifiants de connexion. Les chercheurs de Proofpoint ont attribué cette campagne à l’acteur TA505.
En savoir plus
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Inscrivez – vous à la Newsletter >>>ici<<<