La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Les centres de service Samsung Italie visés par une attaque de phishing ciblé
  • Une faille au sein du portail client de Telefonica pourrait avoir compromis des données personnelles
  • Le laboratoire Labcorp victime d’un piratage, les données patients en danger
  • L’Ukraine ciblée par une campagne de cyber espionnage toujours en cours
  • Fuite de données depuis un serveur Amazon S3 : des fichiers d’électeurs américains exposés
  • L’éditeur de jeux vidéos français, Ubisoft, victime d’une attaque DDoS
  • MyEtherWallet, portefeuille électronique de cryptomonnaie Ethereum, à nouveau victime d’un piratage
  • Notre cellule sinophone raconte le démantèlement d’une « école » de piratage clandestine installée dans le Sichuan
  • Notre cellule russophone vous renseigne sur une fuite de données détectée via le moteur de rechercheYandex
  • Focus sur le mode opératoire du groupe à l’origine de la campagne de cyberespionnage Blackgear et sur la nouvelle tactique de reconnaissance du groupe Andariel

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Electronique

Une campagne de cyber espionnage vise la branche italienne de Samsung
La société italienne de sécurité TG Soft aurait détecté une campagne de phishing ciblant les centres de service Samsung Italie dès le 2 avril dernier. Cette campagne de phishing ciblé présenterait des similarités avec de précédentes attaques menées à l’encontre de centres d’assistance technique Samsung situés en Russie et qui avaient été détectées par Fortinet en mars dernier. Les emails de phishing auraient été particulièrement soignés par les pirates, écrits avec un italien maîtrisé et signé par un manager du Service IT de Samsung dont les informations de contact (adresse email, numéro de téléphone) ont été usurpées pour renforcer la crédibilité du message. Les attaquants auraient distribué via ces emails de phishing des documents Excel embarquant une charge malveillante capable de déployer des outils d’administration à distance (njRAT et Netwire notamment) sur la machine de la victime.
En savoir plus

Télécommunications

Faille détectée sur le portail client de Telefonica : des données personnelles potentiellement compromises 
Une importante fuite de données pourrait avoir touché la filiale de la société espagnole de télécommunications Telefonica, Movistar. Un client aurait effectivement détecté une faille de sécurité présente au niveau du portail client conçu par Telefonica. La vulnérabilité en question aurait pu permettre à l’ensemble des utilisateurs Movistar de consulter les factures de chacun d’entre eux à partir d’un unique compte. Il aurait suffi pour cela de modifier l’un des caractères alphanumériques servant d’identifiant dans l’URL du portail en question, pour accéder de manière aléatoire aux factures des abonnés et ainsi à leurs données personnelles (nom, prénom, adresse email et postale, nom du titulaire du compte bancaire débité par Movistar ainsi que l’historique des appels effectués).
Telefonica et l’agence espagnole de protection des données auraient été notifiées de la vulnérabilité par une organisation de consommateurs espagnole. Lundi 16 juillet, la société espagnole aurait corrigé le problème, et aucune information ne permet pour l’instant de savoir si la vulnérabilité a été exploitée à des fins malveillantes.
En savoir plus

Médical

Le laboratoire américain LabCorp piraté 
LabCorp, qui est l’un des plus grands laboratoires américains de tests sanguins, aurait été victime d’un piratage informatique le 14 juillet dernier.  L’attaque aurait temporairement affecté le traitement des tests ainsi que l’accès aux résultats de ces tests par les patients concernés. Le laboratoire aurait immédiatement fermé son réseau informatique à la suite de l’attaque, afin que d’éventuelle faille ou vulnérabilité causées par l’attaque ne soient plus accessibles. Par ailleurs, LabCorp affirme qu’aucune preuve de transfert de données personnelles et médicales n’aurait été décelée suite à cette attaque. Une enquête aurait été ouverte afin de déterminer l’origine et l’ampleur de l’incident. Les systèmes informatiques de la société n’auraient, à ce jour, pas encore été tous relancés, dans la mesure où des experts en informatique évaluent chaque fonctionnalité, afin que le Groupe puisse être en mesure de prouver qu’aucune donnée n’a été dérobée.
En savoir plus

Politique

Une campagne de cyber espionnage visant l’Ukraine serait en cours
Des chercheurs en sécurité d’ESET ont découvert récemment une campagne de cyber espionnage se déroulant actuellement et qui viserait les institutions gouvernementales ukrainiennes. La campagne aurait été repérée pour la première fois en janvier dernier par des experts de PaloAlto Networks. Les attaquants auraient utilisé plusieurs RAT (Remote Access Trojan) afin de voler des documents sensibles : Quasar RAT (Quasar est un RAT open-source, disponible gratuitement sur GitHub), Sobaken RAT (une version modifiée du Quasar RAT) , ainsi qu’un RAT sur mesure baptisé Vermin (une porte dérobée, sur mesure). Les trois souches de logiciels malveillants auraient été utilisées activement contre différentes cibles simultanément. Elles partageraient de plus, des parties de leur infrastructure et se connecteraient aux mêmes serveurs C&C. Cette campagne serait basée sur l’ingénierie sociale : afin de ne cibler que les machines visées et éviter les systèmes d’analyse automatisés, le RAT s’interrompt si aucun clavier russe ou ukrainien n’est installé, si l’adresse IP du système cible est située en-dehors de ces deux pays, ou si elle est enregistrée auprès de l’un des fournisseurs d’anti logiciels malveillants.
En savoir plus

Des milliers de fichiers appartenant aux électeurs américains disponibles en ligne
La société Kromtech Security Center a indiqué le 18 juillet dernier avoir découvert un serveur Amazon Web Service accessible publiquement, appartenant à Robocent, une entité politique basée en Virginie. 2 600 fichiers seraient accessibles et contiendraient les noms, les numéros de téléphone, les adresses, l’âge, l’année de naissance, le sexe, des informations relatives aux compétences, à l’origine ethnique et à l’appartenance politique des électeurs, ainsi que des fichiers audio contenant des messages politiques. Ces données auraient été accessibles et auraient été détectées via le moteur de recherche GrayHatWarfare, un moteur de recherche permettant de lancer des requêtes sur environ 70 000 services Amazon S3 totalisant 180 000 000 millions de fichiers.
En savoir plus

Jeux vidéo

Ubisoft victime d’une attaque par déni de service
Récemment, Ubisoft a révélé avoir été victime d’une attaque massive par déni de service distribué (DDoS). Dans un message publié sur Twitter le 17 juillet, l’éditeur français de jeux vidéo affirme que les attaques se concentreraient sur les serveurs des jeux, tels que Ghost Recon Wildlands, For Honor ou Far Cry 5, et auraient pour conséquence de créer des problèmes de connectivité pour les utilisateurs. En effet, l’attaquant enverrait des multiples requêtes vers les serveurs visés, depuis de très nombreuses sources, ce qui obligerait le serveur à se déconnecter. Ubisoft précise ne pas avoir identifier l’auteur malveillant de ces attaques, ni détenir d’informations sur ses motivations. Par ailleurs, Ubisoft ajoute que rien n’indiquerait que des données aient pu être volées lors de ces attaques car cela supposerait sinon que l’attaquant ait eu le temps d’exploiter une vulnérabilité.
En savoir plus

Cryptomonnaie

MyEtherWallet, victime d’un piratage pour la deuxième fois 
La société MyEtherWallet (MEW) a annoncé le 9 juillet dernier via son compte Twitter, avoir subi une attaque via une extension VPN pour Chrome. MEW a précisé que les utilisateurs qui se connectent à son service par le biais de l’extension Chrome du VPN Hola ont pu potentiellement avoir été victimes de cette attaque. La sécurité de l’extension Chrome du VPN Hola aurait été compromise durant cinq heures, et les utilisateurs ayant effectué des transactions seraient exposés au risque de voir leurs actifs dérobés. MyEtherWallet recommande à tous ceux qui ont utilisé le service VPN durant l’attaque de transférer immédiatement leurs fonds sur un nouveau portefeuille. En février dernier, MEW avait subi une attaque par DNS (Domain Name System) qui avait permis aux pirates de voler plus de 365 000 dollars à ses utilisateurs.
En savoir plus

Ecosystème Régional

Écosystème chinois

Démantèlement d’une « école » de piratage dans le Sichuan
La police chinoise a annoncé avoir procédé à l’arrestation d’un groupe de pirates gravitant autour d’un « professeur » qui aurait organisé des formations de piratage payantes, à distance mais aussi dans un local dédié dans la région de Chengdu (province du Sichuan, centre de la Chine). Ces « cours » impliquaient de réelles opérations de compromission de sites et vol de données. Le groupe avait mis en place tout un écosystème composé d’un site web, d’un forum, et d’un groupe dédié sur la messagerie instantanée QQ. Les autorités auraient découvert environ 300 vidéos de formation sur le site web en question, près de 2 100 outils mis à disposition, et même des vidéos promotionnelles qui auraient permis de recruter d’autres apprentis. Le professeur proposait à ces derniers d’avoir recours à ses contacts pour revendre les informations qu’ils dérobaient, moyennant un partage des gains. Un des disciples interpelés aurait notamment forcé l’accès de 300 sites internet à la recherche de données, dont celui d’un établissement scolaire local, pour lequel il aurait téléchargé près de 60 000 lignes d’informations personnelles concernant les jeunes fréquentant l’établissement (nom de l’élève, numéro de carte d’identité, nom et contact d’un parent).

Écosystème russe

Nouvelle fuite de données détectée sur Yandex
Le 17 juillet 2018 l’expert en SEO (Search Engine Optimisation) Pavel Medvedev aurait détecté une fuite de données personnelles provenant du moteur de recherche russe « Yandex ». Des scans de passeports, des informations relatives à des paiements bancaires, ainsi que les billets d’avion et de train auraient été indexés sur Yandex. La fuite aurait affecté les banques russes telles que Sberbank et VTB, le département de transport de la ville de Moscou, ainsi que le site de tourisme en ligne Trip.com. L’expert affirme que la fuite de données aurait eu lieu en raison de négligence de mesures de sécurité de base par les administrateurs des sites concernés. Ces derniers n’auraient pas appliqué de manière correcte le protocole d’exclusion des robots « robots.txt » qui vise à empêcher des web crawleurs d’avoir accès à tout ou partie d’un site web. Selon la société Yandex, le moteur de recherche référencerait toutes les données auxquelles les administrateurs de sites donneraient accès . Rappelons qu’une autre fuite de données confidentielles aurait été détectée sur Yandex le 4 juillet 2018. Le moteur de recherche aurait référencé ce jour les documents tels que les contacts personnels de fonctionnaires, les données relatives aux électeurs, les futurs projets de contrat entre des entreprises etc., rédigés sur Google Docs.
En savoir plus

Individus & Groupes

Focus sur le mode opératoire du groupe à l’origine de la campagne de cyberespionnage « Blackgear »
« Blackgear » correspond au nom d’une campagne de cyberespionnage de type APT (Advanced Persistent Threat) datée de 2008 et ciblant des organisations stratégiques (télécommunications, hautes technologies etc) localisées au Japon en Corée du Sud ou à Taïwan. Le groupe à l’origine de cette campagne est connu pour être particulièrement furtif dans son mode opératoire néanmoins Trend Micro a indiqué avoir détecté des marqueurs susceptibles d’être reliés au groupe « Blackgear ». Il semblerait que lors de leurs dernières attaques (cible non citée), « Blackgear » aurait utilisé un faux fichier d’installation envoyé par email pour leurrer la victime. Le fichier en question permettrait en réalité d’extraire undownloader appelé Marade qui s’installerait sur la machine à l’exécution du fichier d’installation et communiquerait avec un blog post publié sur un réseau social et contrôlé par « Blackgear » pour transmettre des informations sur la machine de la victime (présence d’un anti virus ou non). Si Marade valide la machine ciblée, le serveur de commande et contrôle (C&C) du groupe téléchargerait une backdoor appelée Protux. L’utilisation d’un premier malware de reconnaissance de cible et de blog post sur des réseaux sociaux pour communiquer permettraient au groupe de ne pas être détectés d’après Trend Micro. Des indicateurs de compromission ont été publiés.

En savoir plus

Nouvelle tactique de reconnaissance pour le groupe « Andariel » 
Le groupe de pirates informatiques « Andariel », lié au groupe « Lazarus », et supposé être en lien avec le gouvernement nord-coréen, aurait mis en place une nouvelle tactique de reconnaissance, ce qui laisserait supposer qu’il chercherait à changer progressivement de cibles, pour l’instant essentiellement sud-coréennes. Jusqu’à présent, « Andariel » était connu pour injecter des scripts sur les sites Web des organismes visés, lui permettant ainsi de récupérer et de contrôler certaines informations, le tout basé sur une faille 0day. Toutefois, des chercheurs en sécurité de TrendMicro auraient récemment découvert que le groupe « Andariel » insérerait un script d’un nouveau genre : le script permettrait aux pirates de collecter de nombreuses informations à partir des fichiers ActiveX, qui sont les fichiers en « .ocx » et qui permettent de transposer un programme en fichier exécutable. Ce script malveillant, découvert le 21 juin par les chercheurs de TrendMicro, chercherait à récolter des informations liées à deux logiciels différents : l’un de gestion de droits numériques d’un fournisseur sud-coréen de sécurité, et le second de conversion de voix, également basé en Corée du Sud.
En savoir plus

Le groupe de cyberpesionnage « TEMP.Periscope » s’attaque au Cambodge
FireEye aurait découvert une campagne d’attaques attribuée au groupe de pirates « TEMP.Periscope » et lancée dans le contexte des élections cambodgiennes censées avoir lieu le 29 juillet prochain. FireEye soupçonne que le groupe agirait pour le compte du gouvernement chinois afin de lui donner toute la visibilité nécessaire sur les événements politiques du pays à venir. Actif depuis au moins 2013, TEMP.Periscope est connu pour avoir ciblé plusieurs secteurs industriels stratégiques (défense, transport maritime, agences gouvernementales, haute technologie notamment). Dans le cadre de cette dernière campagne, le groupe aurait compromis plusieurs entités cambodgiennes associées à l’organisation des futures élections telles que la commission nationale électorale ainsi que plusieurs ministères (celui de l’intérieur, des affaires étrangères, et celui de l’économie et des finances), le Sénat, ainsi que des citoyens (diplomates, avocats des droits humains etc). Des campagnes de phishing ciblé auraient également été lancées par TEMP.Periscope afin de diffuser le malware AIRBREAK aux victimes. D’autres charges malveillantes dont MUKRYTOP et HOMEFRY ainsi que deux nouveaux outils : EVILTECH, un outil d’administration à distance permettant d’exfiltrer de la donnée et DADBOD, un outil de collecte d’identifiants, auraient été déployés par le groupe. L’infrastructure d’attaque utilisée lors de cette opération aurait aussi été exploitée lors d’une attaque contre une société de défense américaine et une société du secteur de la chimie basée en Europe.
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !