La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Dark Web : démantèlement de « Black Hand », l’un des forums francophones les plus actifs
  • Sport : des campagnes de phishing surfent sur le lancement de la Coupe du Monde de la FIFA
  • Cryptomonnaies : piratage de la plateforme sud-coréenne Bithumb
  • Une nouvelle version du spyware Mirage identifiée
  • « Olympic Destroyer » un malware visant l’Europe et la Russie
  • Le logiciel Docker Hub utilisé pour miner de la cryptomonnaie
  • Une stratégie de phishing usurperait l’extension MetaMask
  • Le Mylobot, un botnet qui prend pour cibles d’autres botnets
  • Des informations issues de nos sources chinoises et arabophones
  • Thrip, le groupe qui cible les satellites, les télécoms et les compagnies de défense

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Dark Web

Démantèlement de « Black Hand », l’un  forums francophones les plus actifs du Dark Web
Le Ministre français des Comptes Publics, Gérald Darmanin, a récemment annoncé la fermeture de l’une des plus grandes plateformes illégales du Dark Web en France. Le forum, intitulé « Black Hand », proposait différents produits illicites à la vente, comme de la drogue, des armes, des données bancaires ou encore des faux-papiers. L’opération montée par les services français des Douanes aurait ainsi permis d’arrêter quatre protagonistes, suspectés d’être les administrateurs du réseau, dont la tête pensante serait une jeune mère de famille âgée de 28 ans. Les enquêteurs affirment qu’à partir du serveur du site saisi lors de sa fermeture, ils auraient pu récupérer la base de données du site, et ainsi être en mesure d’avoir des informations concernant les 3000 inscrits actifs du forum. Des sommes d’argent en liquide et sous forme de cryptomonnaie auraient par ailleurs également été récupérées, pour un montant total avoisinant les 26 000 euros.
En savoir plus

Sport 

Des campagnes de phishing surfent sur le lancement de la Coupe du Monde de la FIFA
Les évènements à résonance médiatique mondiale sont souvent synonymes d’inventivité pour les individus malveillants. Ainsi, depuis fin mai, des campagnes de phishing adaptées au sport et aux marques partenaires infecteraient de nombreux systèmes. Proposant un lien de téléchargement vers un calendrier des matchs de la Coupe du Monde et un tracker de résultats, un des emails frauduleux détecté par des chercheurs comporterait en pièce jointe un programme appelé « DownloaderGuide », lequel autoriserait l’installation de programmes potentiellement indésirables (PUP), de logiciels publicitaires ou encore d’optimiseurs de système. Au total, neuf fichiers différents circuleraient dans ce type d’emails, avec en objet « World_Cup_2018_Schedule_and_Scoresheet_V1.86_CB-DL-Manager ». Un autre type de courriel ciblerait les clients de l’équipementier Adidas, en utilisant la technique d’usurpation de domaines de messagerie et de web par du « punycode ». Dans le cas reporté, le « i » d’Adidas aurait été remplacé par une ligne verticale pour tromper l’utilisateur et lui faire cliquer sur un lien promettant une réduction de 50 dollars par mois sur les chaussures vendues par la marque.
En savoir plus

Cryptomonnaies

Piratage de la plateforme sud-coréenne Bithumb
Suite à la récente attaque sur Coinrail, la plateforme sud-coréenne d’échanges de cryptomonnaies Bithumb aurait annoncé avoir été victime d’une cyberattaque le 19 juin 2018. Les pirates auraient dérobé des cryptomonnaies équivalentes à 35 milliards de wons (environ 27 millions d’euros). En réponse à l’incident, la plateforme aurait placé tous les fonds au sein de portefeuilles « froids » (cold wallets) et aurait temporairement cessé tous les dépôts et retraits des utilisateurs. Aucune information relative au type de monnaies volées n’aurait été communiquée par la plateforme. Bithumb est l’une des plus grandes plateformes d’échanges de monnaies virtuelles au monde et comporte 37 cryptomonnaies. Rappelons que ce serait la deuxième attaque ciblant Bithumb : en juillet 2017, des pirates auraient dérobé plus d’un million de dollars en cryptomonnaies Bitcoin et Ether.
En savoir plus

Multisectorielle 

Une nouvelle version du spyware Mirage identifiée
Un rapport de la société Intezer ferait état de la découverte récente d’un nouveau spyware développé par le groupe « APT15 », connu pour son affiliation au gouvernement chinois. Surnommé « MirageFox », ce spyware aurait été détecté lors des recherches sur Mirage, l’un des plus anciens spywares créés par APT15 pour ses campagnes de cyber espionnage en 2012. Similairement à son prédécesseur Mirage, MirageFox aurait été identifié comme un RAT (Remote Administration Tool), soit un logiciel permettant la prise de contrôle à distance d’un ordinateur. Ce spyware collecterait des informations sur le système ciblé, telles que les identifiants d’utilisateurs ou l’architecture du système, pour ensuite envoyer ces informations à un serveur de commande et contrôle (C&C) et ouvrir une porte dérobée pour exécuter des commandes issues de ce serveur. Selon Intezer, le malware aurait exploité un binaire légitime de McAfee pour télécharger des processus malveillants via la technique de détournement de DLL.
En savoir plus

Malware

Le Malware Olympic Destroyer vise l’Europe et la Russie
Des experts de Kaspersky Lab auraient affirmé que le groupe de pirates, paralysant en février 2018 l’ouverture des Jeux Olympiques d’hiver à P’yongch’ang, serait de nouveau à la tête des nouvelles attaques. Cette fois-ci, les pirates cibleraient des entités financières en Russie ainsi que des organismes de protection contre les menaces chimiques et biologiques en Ukraine et en Europe. Le logiciel malveillant serait diffusé par le biais de documents d’hameçonnage qui auraient plusieurs points communs avec les documents infectés utilisés dans le cadre des attaques ayant eu lieu lors des Jeux Olympiques. Les documents, dont certains comportaient des expressions en langues russe et allemande, auraient été conçus expressément pour avoir accès aux ordinateurs infectés. D’après les chercheurs, les attaquants utiliseraient des serveurs Web légitimes infectés afin d’héberger et de piloter le malware.
En savoir plus

Innovation

Le Mylobot, un botnet qui prend pour cibles d’autres botnets
Des chercheurs de « Deep Instinct » ont identifié un botnet, baptisé « Mylobot », qui se caractériserait par une structure très sophistiquée ainsi que par une fonctionnalité inhabituelle : chercher et désactiver tous les autres malwares présents au sein des systèmes ciblés. Une fois les systèmes-victimes infectés, le botnet mettrait fin à tout processus exécuté à partir du dossier Application Data, où se situent en règle générale les logiciels malveillants, et supprimerait également les dossiers appartenant à d’autres botnets. Le botnet se connecterait à 1404 domaines différents et son serveur de commande et contrôle (C&C) aurait préalablement été utilisé pour d’autres campagnes de malware : selon Deep Instinct, ces éléments indiquent que les auteurs du botnet, pour l’instant inconnus, posséderaient de vastes ressources financières et seraient impliqués dans de nombreuses autres activités de cybercriminalité.
En savoir plus

Numérique

Le logiciel Docker Hub utilisé pour miner de la cryptomonnaie
Des chercheurs en sécurité de la société Kromtech ont récemment confirmé avoir découvert des images malveillantes, qui auraient été stockées au sein du logiciel de conteneurs en ligne Docker Hub. Les experts ont dénombré près de 17 images, qui auraient été placées dans l’entrepôt « 123321 », entrepôt qui serait ouvert et accessible depuis un an. Durant toute cette période, ces images, contenant du code malveillant, auraient permis aux pirates à l’origine de leur installation de miner de la cryptomonnaie, et de récolter près de 545 Monero, soit environ 60 000 euros. Kromtech rappelle cependant que plusieurs alertes concernant une faille dans la sécurité de Docker Hub avaient été émises par Fortinet et Sysdig, tous deux spécialistes de la sécurité et la supervision des conteneurs. La société Krometch recommande aux développeurs de la chaîne logistique du logiciel de ne pas réutiliser du code exposé sur GitHub, et d’effectuer des analyses récurrentes des conteneurs en cours de développement, afin de détecter les problèmes de configuration malveillantes.
En savoir plus
Campagne de phishing
Une nouvelle stratégie de phishing usurpant l’extension MetaMask 
MetaMask est une extension permettant aux propriétaires de portefeuilles de cryptomonnaies d’interagir avec des sites compatibles avec l’Ethereum, sans toutefois disposer d’un nœud Ethereum complet. Pour sécuriser au maximum ses fonds, et rendre l’utilisateur responsable de la sécurité de son compte, une liste de douze mots lui est communiquée lors de l’inscription. Bien qu’avantageuse en termes de sécurité, cette méthode présente néanmoins des risques relatifs à un nouveau schéma de phishing. Ainsi, récemment, un certain nombre de sites Web auraient affiché une fausse interface MetaMask, qui « poperait » dans le coin supérieur droit de la page Web, faisant croire à l’utilisation normale de l’extension. Une fois les mots-clés saisis dans l’interface par l’utilisateur, un transfert s’opérerait vers un serveur privé, puis le compte de la victime serait vidé de ses fonds. Pour le moment, seuls quelques sites infectés par ce « scam » auraient été recensés. Parmi eux, des gestionnaires de bitcoin, des plateformes de jeux ainsi que « Trakt TV ». Le point commun entre tous les sites affectés serait l’usage des serveurs DNS de Cloudflare. Cela semble être le vecteur d’attaque pour rediriger vers les sites imposteurs. En effet, Cloudflare ayant une API très permissive, les webmasters de ces sites pourraient avoir installé des plugins infectés ayant pour but de modifier les enregistrements DNS.
En savoir plus

Ecosystème Régional

Écosystème chinois

Une partie des résultats du bac chinois inaccessibles à cause d’un piratage
La division provinciale du Ministère de l’Education en charge de la province du Heilongjiang (nord-est de la Chine) a annoncé avoir été victime d’une attaque informatique le 24 juin 2018. Celle-ci est survenue le jour de la publication des résultats du gaokao, équivalent chinois du baccalauréat. Les étudiants ont ainsi d’abord cru à un problème technique lié à l’affluence sur le site officiel de l’examen, jusqu’à ce que les autorités expliquent qu’il s’agissait d’un acte malveillant visant à le rendre inaccessible. Aucune information n’a été communiquée sur les motivations des attaquants. Un service d’urgence de communication des examens par téléphone a été mis en place en attendant que les résultats soient à nouveau consultables par Internet.
En savoir plus

Écosystème arabe

En plein mondial, une chaîne saoudienne pirate et diffuse les matchs 
La chaîne qatarie beIN Sports a annoncé être victime d’un piratage de grande ampleur depuis des mois. Il s’agit du réseau pirate beOutQ, qui détournerait la marque beIN, et utiliserait un signal d’Arabsat, opérateur majoritairement saoudien, pour retransmettre illégalement depuis octobre 2017 des programmes du groupe qatari. La chaîne beOutQ diffuserait en effet les mêmes programmes que beIN avec un léger retard de dix secondes et le logo beOutQ superposé. Sans citer l’Arabie Saoudite, la FIFA a publié un communiqué dans lequel elle indique qu’une chaîne pirate nommée beOutQ aurait distribué illégalement les premiers matchs de la Coupe du monde 2018 au Moyen-Orient. Au-delà de cette action de piratage, le Qatar voit dans cette manœuvre comme une attaque de l’Arabie Saoudite dans le contexte du conflit qui l’oppose à son voisin depuis l’été 2017 et de la rupture totale des relations diplomatiques entre les deux pays. Développé en Chine, le récepteur saoudien beOutQ est commercialisé au Moyen-Orient et en Afrique du Nord à partir de 50 euros. L’UEFA et la Formula One Management ont également condamné la chaîne pirate saoudienne.
En savoir plus

Individus & Groupes

Lazarus APT injecte la vulnérabilité « zero-day » sur le site d’un think-tank sud-coréen
Des chercheurs en cyber sécurité de la société « AlienVault » auraient attribué la vulnérabilité « zero-day », relative au logiciel « ActiveX » et qui aurait été détectée en mai 2018 sur le site Web d’un think-tank sud-coréen, au groupe de cyber criminels de Corée du Nord baptisé « Lazarus APT ». Pour rappel, le think-tank en question baptisé « Sejong Institute » mènerait de recherches sur les questions de sécurité nationale. Concernant « ActiveX », il s’agit d’un logiciel utilisé par Internet Explorer sur certains sites Web. Les experts estimeraient que la Corée du Sud serait une cible facile pour ce type d’attaques en raison du Gouvernement qui exigerait que « ActiveX » soit activé sur toutes les machines connectées à « Sejong Institut ». Les experts indiquent également que la première étape de compromission de « ActiveX » serait l’injection d’un script de profilage utilisé pour récupérer des informations sur des cibles potentielles (une technique déjà utilisée par « Lazarus APT »). Des scripts supplémentaires seraient ensuite déployés afin de collecter des informations supplémentaires et de livrer l’exploit « ActiveX ».
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !