La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • La base de données « Trick Spam » expose des millions d’adresses email
  • Une fuite de données massive détectée chez Dixons Carphone
  • Facebook : un bug à l’origine de l’exposition des posts privés de 14 millions d’utilisateurs
  • Android : la fonction ADB rend vulnérable les appareils et IoT
  • Weight Watcher : un serveur critique expose des données internes
  • Le spyware InvisiMole cible des utilisateurs russes et ukrainiens
  • Le malware KillDisk de plus en plus utilisé dans les attaques ciblant le secteur bancaire
  • Des informations sur l’écosystème chinois
  • Focus sur les méthodes du Lazarus APT

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Fuites de données 
La base de données « Trick Spam » expose plus de 43 millions d’adresses email
Un chercheur en cyber sécurité de « Vertek Corporation » a récemment découvert une base de données contenant des millions d’adresses email exposées, et qui proviendraient du serveur de commande et contrôle (C&C) du botnet « Trick Spam ». Basé en Russie, ce serveur aurait été mal configuré, de telle sorte que le chercheur en question aurait pu en extraire le contenu. En effet, aucune authentification préalable à l’accès à la base de données n’aurait été requise. Le chercheur aurait pu y accéder directement depuis l’adresse IP du serveur C&C. D’après lui, les identifiants présents dans cette base de données auraient été utilisés pour plusieurs campagnes de diffusion de malwares. Les propriétaires du serveur utiliseraient notamment le trojan Trik pour infecter des systèmes, qu’ils mettraient ensuite à disposition d’autres acteurs malveillants.
En savoir plus
Une fuite de données massive détectée chez Dixons Carphone
L’enseigne de téléphonie mobile Dixons Carphone annonce avoir découvert un accès non autorisé au système de la franchise PC World (également appelé « Curry’s PC World ») et par conséquent, aux données client qu’elle détient. En 2015, un incident avait déjà exposé les données bancaires de 90 000 clients de la firme Dixons. Cette fois, les pirates auraient tenté de compromettre 5,9 millions de cartes bancaire et 1,2 million de données personnelles (noms, adresses postales, adresses email). Selon un communiqué publié par la compagnie, seulement 105 000 des 5,9 millions de cartes bancaires exposées seraient réellement compromises. L’origine de l’intrusion n’est pas encore connue mais une enquête est en cours afin de déterminer la date de l’attaque et le chemin emprunté par les pirates.
En savoir plus
Réseaux Sociaux 
Un bug à l’origine de l’exposition de posts privés de 14 millions d’utilisateurs du réseau social Facebook
Facebook a récemment annoncé avoir identifié sur sa plateforme un bug qui aurait affecté les paramètres de confidentialité des comptes de plus de 14 millions utilisateurs. Ce bug aurait automatiquement configuré les posts rédigés par les internautes, de sorte qu’ils soient publics par défaut. Ainsi, de nombreux posts privés d’utilisateurs auraient été accessibles publiquement sur le réseau social entre le 18 et le 27 mai, soit une période correspondante à la mise en œuvre d’une nouvelle fonctionnalité du partage d’images et de vidéos sur la plateforme. Selon le porte-parole technique de Facebook, le bug aurait été corrigé le 22 mai dernier.
En savoir plus
Numérique
Android : la fonction ADB rend vulnérable des milliers d’appareils et IoT
Les appareils Android mal configurés, pour lesquels la fonction Android Debug Bridge (ADB) resterait activée, seraient devenus une cible attrayantes pour les pirates informatiques. En effet, selon les chercheurs à l’origine de cette affirmation, les pirates utiliseraient la mauvaise configuration par défaut pour installer des logiciels malveillants de cryptojacking sur des appareils IoT reliés au système Android par exemple. Cette faille pourrait concerner des systèmes informatiques maritimes, des téléviseurs, des lecteurs numériques, ainsi que certains modèles de téléphonie mobile. ADB est une fonction de développement du système d’expoitation Android, et, lorsqu’elle est activée, permet à des utilisateurs distants d’effectuer une maintenance du périphérique concerné. Selon le chercheur Kevin Beaumont, plusieurs milliers d’appareils Android seraient livrés avec la fonction ADB activée par défaut, et seraient donc potentiellement vulnérables.
En savoir plus

Vulnérabilités

Weight Watcher : un serveur mal protégé expose l’infrastructure IT interne
Des chercheurs en sécurité de « Kromtech Security » auraient découvert qu’un serveur du site de l’entreprise Weight Watcher aurait été mal configuré, permettant d’accéder à des dizaines de buckets Amazon S3 exposés, et qui contiendraient des données internes à l’entreprise, ainsi que des clés d’accès AWS. Le serveur en question aurait ainsi exposé, selon les chercheurs, « toutes les informations nécessaires pour obtenir l’accès root complet à l’ensemble de leur cluster ». Les chercheurs affirmerait également avoir découvert une console d’administration Kubernetes de Weight Watcher exposée plus tôt ce mois-ci, et accessible directement depuis Internet, sans authentification. De son côté, Weight Watcher, qui aurait été averti de ces différentes vulnérabilités, aurait sécurisé l’ensemble de son infrastructure, mais aurait également reconnu que l’exposition de ces informations aurait pu ouvrir de nombreuses portes à de potentiels acteurs malveillants. La société affirme en outre qu’aucune donnée sensible de clients n’aurait été exposées.
En savoir plus

Malware

Les utilisateurs russes et ukrainiens, victimes de la campagne ciblée de spyware « InvisiMole »
Dans un rapport publié le 7 juin 2018, des chercheurs de la société ESET ont annoncé avoir découvert un spyware hautement sophistiqué, surnommé « InvisiMole », et qui aurait été utilisé pour une campagne ciblée à l’encontre de plusieurs dizaines d’individus localisés en Ukraine et en Russie. Le malware serait composé de deux principaux modules malveillants, appelés « RC2FM » et « RC2CL », qui auraient permis d’extraire des informations relatives aux paramètres de serveurs proxy des systèmes infectés, afin d’utiliser ces configurations pour envoyer les données dérobées vers des serveurs C&C appartenant aux attaquants. « InvisiMole » aurait également permis la désactivation du firewall Windows ou la prise de contrôle à distance de microphones ou de webcaméras sur les systèmes visés. Les investigations d’ESET indiquent que « InvisiMole » serait opérationnel depuis au moins 2013. Les chercheurs soulignent toutefois que la fonctionnalité « safe-delete » de ce spyware rend difficile l’identification de son vecteur d’attaque ou de ses auteurs.
En savoir plus

Banque

Le malware KillDisk de plus en plus utilisé dans les attaques ciblant le secteur bancaire – l’exemple du Chili 
Le 24 mai dernier, une tentative de vol de fonds aurait causé des défaillances globales au niveau des systèmes informatiques et infligé une lourde perte financière pour la « Banco de Chile », première banque du pays. Afin de détourner l’attention du personnel et de dérober les fonds via le système de transfert de fonds SWIFT, les pirates auraient utilisé un logiciel malveillant d’effacement de disque :  « KillDisk ». Déjà détecté en Europe, le malware « KillDisk » serait utilisé pour des attaques à l’encontre d’institutions financières ou bancaires. Egalement connu sous l’appellation « KillMBR », ce logiciel malveillant serait à l’origine du sabotage de plusieurs centaines d’ordinateurs et de serveurs de la Banco de Chile, empêchant l’exécution de certaines opérations bancaires et laissant les machines dans un état « non-bootable ». Ainsi, après avoir écrasé les données, les pirates auraient réussi à accéder au système SWIFT et à détourner près de 10 millions de dollars.
En savoir plus

Ecosystème Régional

Écosystème chinois

Plusieurs dizaine de millions d’identifiants de la plateforme de vidéos chinoise dérobées 
La plateforme chinoise de vidéos en ligne Acfun a annoncé le 13 juin 2018 avoir été victime d’une attaque, qui aurait conduit à la compromission de dizaines de millions de comptes utilisateurs. La société a assumé sa responsabilité en expliquant ne pas avoir suffisamment sécurisé son site web. Le même jour, le message d’un pirate revendiquant l’attaque aurait été identifié sur DeepWebChinese, l’un des principaux forums chinois du Dark Web. L’auteur, surnommé « SakuraK », y présente l’attaque comme une « vengeance » contre Acfun, qui n’aurait pas répondu à plus d’une dizaine de mails qu’il leur avait adressés, sans préciser néanmoins en quoi consistait le contenu de ses courriers. En guise de démonstration, il aurait créé un répertoire GitHub au nom de « SakuraKisser », au sein duquel il aurait déposé 300 couples d’identifiants et mots de passe, avant de menacer d’en publier 3 000 supplémentaires le 15 juin, puis 10 000 comprenant des identifiants administrateurs le 18 juin s’il ne recevait aucune réponse d’Acfun. Le 14 juin, il aurait publié un nouveau post sur le même forum, dans lequel « SakuraK » se dit satisfait du comportement d’Acfun, et annonce avoir détruit les données. Il précise n’avoir vendu les informations à personne et invite les internautes à ne pas croire certaines offres parues ailleurs sur le Dark Web à ce sujet. Des captures d’écran avaient en effet circulé, montrant d’une part des annonces mettant en vente l’accès à l’intranet Acfun au prix de 400 000 yuans (environ 53 000 euros), et d’autre part des lots d’identifiants (8 millions pour 12 000 yuans, soit 1 600 euros).
En savoir plus

Des pirates chinois dérobent des données confidentielles sur les sous-marins américains
Le Washington Post a publié un article le 8 juin 2018 qui révèle que de pirates œuvrant pour le gouvernement chinois auraient eu accès à des données relatives aux technologies militaires sous-marines américaines, stockées sur les systèmes d’un sous-traitant travaillant pour le Naval Undersea Warfare Center, institut de R&D militaire situé dans l’Etat de Rhode Island. Près de 614 gigabits de données auraient ainsi été dérobées à la Marine américaine, dont des informations relatives à un modèle de missile antinavire supersonique (lancé par un sous-marin), mais aussi à des capteurs, à des systèmes de chiffrement, et à un projet nommé « Sea Dragon », sur lequel très peu de détails sont disponibles. Ce n’est pas la première annonce de ce type, le gouvernement américain ayant déjà attribué le vol des plans de l’avion furtif F-35 ou encore ceux du système de missile anti-missile Patriot à des pirates chinois.
En savoir plus

Individus & Groupes

Lazarus APT injecte la vulnérabilité « zero-day » sur le site d’un think-tank sud-coréen
Des chercheurs en cyber sécurité de la société « AlienVault » auraient attribué la vulnérabilité « zero-day », relative au logiciel « ActiveX » et qui aurait été détectée en mai 2018 sur le site Web d’un think-tank sud-coréen, au groupe de cyber criminels de Corée du Nord baptisé « Lazarus APT ». Pour rappel, le think-tank en question baptisé « Sejong Institute » mènerait de recherches sur les questions de sécurité nationale. Concernant « ActiveX », il s’agit d’un logiciel utilisé par Internet Explorer sur certains sites Web. Les experts estimeraient que la Corée du Sud serait une cible facile pour ce type d’attaques en raison du Gouvernement qui exigerait que « ActiveX » soit activé sur toutes les machines connectées à « Sejong Institut ». Les experts indiquent également que la première étape de compromission de « ActiveX » serait l’injection d’un script de profilage utilisé pour récupérer des informations sur des cibles potentielles (une technique déjà utilisée par « Lazarus APT »). Des scripts supplémentaires seraient ensuite déployés afin de collecter des informations supplémentaires et de livrer l’exploit « ActiveX ».
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !