La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Des documents militaires volés et mis en vente sur le Dark Web
  • L’application Timehop victime d’un piratage entraînant une fuite de données massive
  • Ticketmaster : RiskkIQ publie des éléments complémentaires sur la fuite de données
  • Plusieurs versions piratées du malware LokiBot disponibles à la vente
  • Le botnet HNS IoT gagne en performance et vise de nouveaux appareils
  • La plateforme d’échanges décentralisés Bancor victime d’un piratage de 23 millions de dollars
  • Des informations sur l’écosystème chinois 
  • Focus sur les groupes « Cybergang de Gaza » et « TEMP.Periscope »

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Défense

Des documents militaires volés et mis en vente sur le Dark Web
Dans un rapport publié par la société de cybersécurité Recorded Future, des chercheurs affirment avoir découvert qu’un pirate informatique aurait mis en vente, sur le Dark Web, des documents militaires américains contenant des données très sensibles. Selon les experts, le pirate aurait localisé sur Shodan puis exploité une vulnérabilité connue depuis 2016, et qui affecterait les routeurs Netgear. Le militaire à qui ces documents auraient été volés n’aurait pas changé le mot de passe par défaut du serveur FTP où ils étaient stockés. Les documents volés, considérés comme authentiques par des analystes et des experts de Insikt Group, concerneraient les plans de constructions et de stockage du drone Reaper. Par ailleurs, des manuels de tactique pour les pelotons de chars, la liste des employés du site consacré au drone Reaper, ainsi que des manuels d’entretien des drones auraient également été mis en vente. Recorded Future assure avoir prévenu la DHS mi-juin, à la découverte de cette vente frauduleuse, mais de son côté, le Département américain de la Défense estime qu’il n’est pas encore possible d’affirmer que ces documents soient authentiques.
En savoir plus

Réseaux sociaux

Timehop victime d’une piratage entraînant une fuite massive de données 
L’application Timehop qui, une fois connectée à d’autres réseaux sociaux, comme Twitter ou Facebook, rappelle quotidiennement aux usagers des souvenirs en se basant sur les photos ou les messages publiés, aurait été piratée le 4 juillet dernier. Les pirates auraient réussi à mettre la main sur les données personnelles de 21 millions de comptes, tels que les noms complets, les adresses email, ainsi que les numéros de téléphone de près de 5 millions d’utilisateurs. Le piratage aurait pu être réalisé suite à une négligence des administrateurs du site, qui n’auraient pas protégé les tokens d’accès aux réseaux sociaux, qui permettent à l’application d’obtenir l’accès aux comptes Facebook ou Twitter des utilisateurs. Ces tokens n’auraient pas disposé d’une authentification à plusieurs facteurs, ce qui aurait permis aux pirates informatiques de d’accéder plus facilement à la base de données de Timehop. Timehop recommande à l’ensemble de ses usagers de changer les mots de passe de leurs comptes.
En savoir plus

Numérique

Update : RiskIQ publie des éléments complémentaires sur la fuite de données Ticketmaster
La semaine dernière nous avons évoqué le cas de Ticketmaster, ce service de billetterie en ligne victime d’une fuite de données via la compromission d’un de ses fournisseurs tiers nommé Inbenta. Un récent rapport publié par RiskIQ à ce sujet met en lumière de nouveaux éléments. L’attaque a été attribuée au groupe d’attaquants connu sous le nom de « Magecart », et spécialisé dans la compromission de sites e-commerce. Les pirates auraient inséré un code Javascript malveillant opérant à la manière d’un skimmer (dispositif capable de collecter les données bancaires depuis des distributeurs automatiques de billets) dans un script déployé par Inbenta pour le compte de Ticketmaster. Pour les experts de RiskIQ, Ticketmaster serait loin d’être la seule victime de « Magecart », actif depuis au moins 2016 et dont les activités seraient en réalité beaucoup plus étendues : ainsi, près de 800 sites Web pourraient avoir été compromis par le logiciel de collecte de données bancaires de « Magecart ». Des marqueurs relevés par RiskIQ laissent également supposer que d’autres fournisseurs tiers auraient été compromis par les pirates parmi lesquels, Pushassist (un service d’analytique censé être utilisé par plus de 10 000 sites Web), Annex Cloud ou encore Clarity Connect.
En savoir plus

Multisectorielle

Plusieurs versions piratées du malware LokiBot disponibles à la vente
Le chercheur en sécurité informatique, connu sous le pseudonyme de « d00rt » sur le réseau social Twitter, a annoncé avoir découvert des versions modifiées du malware LokiBot. Actif depuis 2015, ce malware est capable de simuler un écran d’application bancaire, ainsi que les interfaces de WhatsApp, Skype et Outlook en affichant des notifications qui viennent supposément de ces applications. Il peut également ouvrir un navigateur, naviguer sur des pages Web spécifiques et même utiliser un appareil infecté pour envoyer des spams. LokiBot se transforme aussi en ransomware dans le cas où la victime potentielle refuse les droits d’administrateurs. Selon le chercheur « d00rt », LokiBot a été développé et vendu en ligne par un pirate connu sous le pseudonyme « lokistov ». Le code malveillant aurait été initialement annoncé sur de nombreux forums pour un montant allant jusqu’à 300 dollars. Dans un second temps, d’autres pirates l’auraient mis à disposition pour moins de 80 dollars. Un pirate aurait été capable de détourner le malware original sans avoir un accès direct au code source. L’expert détaille que n’importe quel internaute, avec un nouvel échantillon de LokiBot, pourrait utiliser un simple éditeur HEX pour modifier le programme et ajouter ses URL personnalisées afin de recevoir les données volées. L’auteur du malware LokiBot, a lancé une nouvelle version 2.0, disponible sur de nombreux forums.
En savoir plus ici et
Le bontnet HNS IoT gagne en performance, et vise des nouveaux appareils 
HNS IoT (Hide and Seek), un botnet IoT connu pour infecter les routeurs domestiques, les caméras IP et les enregistreurs vidéo numériques, aurait récemment commencé à compromettre les serveurs des bases de données NoSQL. HNS a été découvert par des chercheurs de Bitdefender en janvier dernier et se distingue des autres botnet IoT en raison de son utilisation des communications peer-to-peer et de sa tentative de gagner en persistance sur les appareils infectés. Les créateurs de HNS amélioreraient continuellement leurs logiciels malveillants. Selon une nouvelle étude de l’équipe Netlab de Qihoo 360, le botnet aurait récemment ajouté de nouveaux exploits d’exécution de code à son arsenal pour les webcams AVTECH, les routeurs Linksys, le serveur Web Java AUGUR (JAWS), Apache CouchDB et OrientDB.
En savoir plus

Cryptomonnaie

La plateforme d’échanges décentralisés Bancor victime d’un piratage de 23 millions de dollars
La plateforme suisse d’échanges décentralisés (DEX) de cryptomonnaie Bancor, pourtant réputée comme étant plus sûre que les plateformes de cryptomonnaie classiques, aurait été victime d’une faille de sécurité. Bancor utilise un mécanisme complexe basé sur du « smart contract », qui garantirait la faillibilité et l’externalisation des échanges. La faille de sécurité aurait été causée par un wallet compromis, et qui aurait été utilisé pour retirer des ETH (une devise de cryptomonnaie) du smart contract BNT (Bancor) d’une valeur de 23 millions de dollars. Les administrateurs du site ont immédiatement suspendu le site, afin que cette faille ne se propage pas à l’ensemble des wallet des usagers. Ils auraient par ailleurs gelé les avoirs BNT volés, et travailleraient en collaboration avec les autres plateformes décentralisées pour empêcher les pirates d’écouler les fonds dérobés. Bancor assure que les wallet des usagers n’auraient pas été impactés par ce piratage et qu’il s’agirait d’une problème uniquement interne.
En savoir plus

Ecosystème Régional

Écosystème chinois

Un acteur du textile chinois commandite une attaque contre son concurrent
La police de la ville de Nantong (province du Jiangsu, Est de la Chine) a procédé cette semaine à l’arrestation d’une douzaine de suspects impliqués dans une attaque par déni de service ayant eu lieu en décembre 2017. Celle-ci avait rendu indisponible une plateforme d’e-commerce spécialisée dans le textile pendant près de deux semaines, engendrant de lourdes pertes économiques pour la société et ses utilisateurs. Le Bureau de la Sécurité publique aurait découvert que les auteurs de l’attaque avaient été embauchés par une société du même secteur pour maximiser ses bénéfices sur cette période de pic d’achats. Les commanditaires seraient passés par des groupes spécialisés sur la messagerie instantanée QQ, où les pirates peuvent répondre aux « annonces » postées. Les autorités de Nantong affirment avoir déjà traité une affaire similaire en janvier de cette année : une plateforme de jeux d’échecs en ligne locale aurait en effet vu ses activités perturbées par un DDoS ordonné par un site concurrent.

Individus & Groupes

Tick Group

Focus sur le mode opératoire original du groupe d’attaquants « Tick »
Les chercheurs de Palo Alto ont publié récemment les résultats d’une analyse d’un groupe d’attaquants nommé « Tick », ciblant des organisations localisées au Japon et en Corée du Sud. Bien que les chercheurs n’aient pas identifié le vecteur initial de l’infection, leurs observations donnent un aperçu du mode opératoire du groupe : Tick déploierait un malware baptisé SymonLoader (développé probablement en 2012) via un fichier malveillant utilisé comme dropper et embarqué dans un fichier de mise à jour d’un logiciel légitime. SymonLoader, qui ne s’attaquerait qu’à des machines fonctionnant sous Windows XP ou Windows Server 2003 serait capable de détecter la connexion d’un périphérique USB à la machine compromise. D’après Palo Alto, le groupe ciblerait spécifiquement un périphérique USB conçu par une entreprise de défense sud-coréenne. Si la présence de ce périphérique USB est détectée par le malware, celui-ci téléchargerait alors une charge malveillante (inconnue) supplémentaire sur la machine. Ce mode opératoire laisserait supposer que le groupe Tick s’intéresse aux systèmes air-gap, ces systèmes informatiques souvent critiques, isolés de tout réseau informatique public pour des mesures de sécurité.
En savoir plus

Lazarus APT

Le retour du groupe « Cybergang de Gaza » 
Selon les experts de la société de cyber-sécurité Check Point, une campagne spear phishing visant l’autorité palestinienne aurait été détectée. Cette attaque, qui aurait débuté en mars dernier, utiliserait le logiciel Micropsia infostealer, un logiciel malveillant basé sur Delphi qui contiendrait de nombreuses chaînes de caractères référençant les personnages des émissions télévisées Big Bang Theory et Game Of Thrones. Selon les experts de Check Point, le groupe responsable de cette attaque serait de retour, avec un nouveau malware codé en C ++. Ce nouveau malware disposerait d’une porte dérobée améliorée pour infecter la machine de la victime, collecter l’empreinte digitale de son poste de travail, puis collecter les noms de documents en .doc, .odt, .xls, .ppt et .pdf et envoyer ces informations au serveur de l’attaquant. Lorsque l’attaquant détecterait un hôte « précieux », d’autres modules seraient téléchargés pour effectuer d’autres tâches. Les chercheurs estiment que ce nouveau malware serait en capacité de supporter 13 modules différents. Check Point suppose que le groupe derrière ces attaques serait le groupe Cybergang de Gaza, connu également sous le nom de Gaza Hackers Team ou Molerats, et soupçonné d’être lié au mouvement palestinien du Hamas.
En savoir plus ici et

Le groupe de cyberpesionnage « TEMP.Periscope » s’attaque au Cambodge
FireEye aurait découvert une campagne d’attaques attribuée au groupe de pirates « TEMP.Periscope » et lancée dans le contexte des élections cambodgiennes censées avoir lieu le 29 juillet prochain. FireEye soupçonne que le groupe agirait pour le compte du gouvernement chinois afin de lui donner toute la visibilité nécessaire sur les événements politiques du pays à venir. Actif depuis au moins 2013, TEMP.Periscope est connu pour avoir ciblé plusieurs secteurs industriels stratégiques (défense, transport maritime, agences gouvernementales, haute technologie notamment). Dans le cadre de cette dernière campagne, le groupe aurait compromis plusieurs entités cambodgiennes associées à l’organisation des futures élections telles que la commission nationale électorale ainsi que plusieurs ministères (celui de l’intérieur, des affaires étrangères, et celui de l’économie et des finances), le Sénat, ainsi que des citoyens (diplomates, avocats des droits humains etc). Des campagnes de phishing ciblé auraient également été lancées par TEMP.Periscope afin de diffuser le malware AIRBREAK aux victimes. D’autres charges malveillantes dont MUKRYTOP et HOMEFRY ainsi que deux nouveaux outils : EVILTECH, un outil d’administration à distance permettant d’exfiltrer de la donnée et DADBOD, un outil de collecte d’identifiants, auraient été déployés par le groupe. L’infrastructure d’attaque utilisée lors de cette opération aurait aussi été exploitée lors d’une attaque contre une société de défense américaine et une société du secteur de la chimie basée en Europe.
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !