La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Les groupes Google également impactés par des défauts de configuration
  • Intrusion du système IT de PageUp : 2,6 millions d’utilisateurs potentiellement impactés
  • Le malware « Prowli » infecte 40 000 machines
  • Fuite de données affectant la société de généalogie MyHeritage
  • VPNFilter : de nouvelles cibles détectées
  • Des informations sur l’écosystème russe
  • Focus sur les méthodes du groupe Iron

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Vulnérabilités 

Les groupes Google également impactés par des défauts de configuration
Selon les chercheurs de Kenna Security, un nombre important d’utilisateurs de la G Suite aurait mal configuré les paramètres des groupes Google et exposé des données sensibles. Les chercheurs ont indiqué avoir étudié près de 171 groupes Google publics, parmi les 9637 accessibles. Ils affirment que 31% d’entre eux « exposeraient actuellement des courriers électroniques sensibles ». Les experts de Kenna affirment en outre qu’en « extrapolant à partir de l’échantillon original, il est raisonnable de supposer qu’au total, plus de 10 000 organisations exposent par inadvertance des informations sensibles ». Parmi les organisations concernées, figureraient des entreprises du classement Fortune 500, des hôpitaux, des universités… Kenna Security précise que les tests n’ont pas été effectués sur l’ensemble des domaines de la G Suite. Toutefois, Google affirme que les groupes Google sont définis comme privés par défaut et qu’un administrateur doit activement choisir de rendre un groupe public ou autoriser d’autres utilisateurs à créer des groupes publics.
En savoir plus

Ressources Humaines 

Intrusion du système IT de PageUp : 2,6 millions d’utilisateurs potentiellement impactés
PageUp, société australienne proposant des solutions logicielles de gestion RH, aurait émis une alerte à destination de ses partenaires et clients afin de les informer d’une intrusion au sein de son système. En effet, entre les 23 et 28 mai derniers, une activité inhabituelle sur l’infrastructure IT aurait causé une fuite de données clients. PageUp aurait alors fait appel à une société tierce et aux autorités pour mener l’enquête mais ne serait pas en mesure, pour le moment, de donner plus d’informations sur le type de malware à l’origine de l’intrusion. Les données les plus sensibles telles que les contrats et les CV n’auraient pas été impactés, car hébergés sur des serveurs non infectés. Les détails bancaires, le numéro d’identifiant fiscal, l’adresse postale, le numéro de téléphone mobile, ou encore des informations relatives aux parcours et expériences professionnelles feraient partie, entre autres, des données clients PageUp ayant fuitées. Avec près de 2,6 millions d’utilisateurs répartis dans 190 pays, cet incident pourrait impacter de nombreuses autres organisations utilisatrices de cette solution de gestion RH.
En savoir plus

Généalogie

Fuite de données affectant la société de généalogie « MyHeritage »
Un chercheur anonyme en cyber sécurité aurait contacté la société israélienne spécialisée en généalogie « MyHeritage », pour l’informer que cette dernière aurait été victime d’une fuite de données importante. En effet, selon ce chercheur, les données de 92 283 889 internautes auraient été retrouvées sur un serveur privé en dehors de serveurs de « MyHeritage ». Les informations compromises appartiendraient aux utilisateurs inscrits sur le site depuis le 26 octobre 2017. « MyHeritage » estimerait que les données concernées par cette fuite seraient les adresses email et mots de passe en version hashée des utilisateurs. Par ailleurs, la société affirmerait qu’il n’y a, à date, aucune preuve d’une utilisation malveillante de ces données clients.
En savoir plus

Malware

Le malware « Prowli » infecte 40 000 machines
Les chercheurs en sécurité de GuardiCore ont récemment découvert l’existence d’un nouveau botnet de malware, baptisé « Operation Prowli ». Ce dernier aurait d’ores et déjà infecté plus de 40 000 machines et périphériques, tels que des serveurs CMS Drupal, Joomla, des serveurs ayant un port SSH ouvert, des IoT, etc. Les attaquants à l’origine de ce malware auraient utilisé ces dispositifs infectés afin d’installer des logiciels d’extraction de cryptomonnaie (via le mineur Monero) ou encore d’exécution de script malveillant. Dans ce deuxième cas, c’est la propagation d’un ver connu sous le nom de « r2r2 », qui aurait permis aux attaquants d’exécuter des séries de commandes sur la victime ou l’appareil infecté. Selon les chercheurs, les attaquants auraient été attiré par l’aspect financier de cette attaque géante, qui serait observée depuis trois semaines. Les principaux secteurs impactés par cette campagne malveillante incluraient le secteur financier et de l’éducation mais aussi des organisations gouvernementales. Les experts en sécurité recommandent de mettre à jour régulièrement ses systèmes et périphériques ; les attaquants utilisant une combinaison de vulnérabilités pour lancer le malware « Prowli ».
En savoir plus

Informatique

VPNFilter : de nouvelles cibles détectées  
La cellule Talos de Cisco a publié une mise à jour concernant la campagne VPNFilter. De nouveaux modèles de produits seraient vulnérables parmi les vendeurs de routeurs déjà concernés, soit Linksys, MikroTik, NETGEAR et TP-link. Par ailleurs, de nouvelles enseignes feraient désormais parties des cibles : ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE. Talos fournit également une analyse détaillée d’un module baptisé « ssler », qui aurait la capacité d’intercepter le trafic Web passant par un routeur infecté via une méthode de man-in-the-middle. L’aire d’action de VPNFilter s’étend donc au-delà de l’équipement réseau en lui-même. Une liste des modèles (toujours pas exhaustive à ce stade selon Talos) et de nouveaux indicateurs de compromission sont disponibles dans le bulletin d’information.
En savoir plus

Ecosystème Régional

Écosystème russe

Nouvelle campagne de phishing détectée en Russie
Group-IB, société russe spécialisée dans la prévention de la cybercriminalité, aurait identifié deux nouvelles campagnes de phishing usurpant l’identité de navigateurs Web populaires tels que Google, Safari et Opéra, ainsi que de services en ligne appartenant aux entités étatiques. Les navigateurs frauduleux, élaborés par des cybercriminels dans le but d’escroquer les utilisateurs, leur auraient proposé une offre permettant de gagner entre 50 et 3 000 dollars. Afin de bénéficier de cette promotion, les utilisateurs auraient été invités à fournir certaines conditions, telles qu’un premier versement pour le montant minimum de 5 dollars. D’après les experts de Group-IB, les escrocs identifieraient chaque utilisateur pour pouvoir adapter l’offre. Quant aux sites usurpant l’identité de services publics, les utilisateurs devraient répondre à un certain nombre de questions afin de pouvoir apporter un gain. Un premier versement de montant minimum de 2.5 dollars aurait également été demandé. Group-IB estimerait que plus de 300 000 personnes en Russie, en Ukraine, en Biélorussie ainsi qu’au Kazakhstan auraient récemment visité ces sites frauduleux.
En savoir plus

Individus & Groupes

Iron

Un code source développé par la société italienne HackingTeam réutilisé par le groupe de pirates Iron
En avril dernier, une équipe de chercheurs en cybersécurité de la société Intezer aurait détecté une backdoor utilisée par le cybergroupe Iron, et basée sur du code source « RCS ». Le RCS – « Remote Control System » – est un logiciel de surveillance développé par la société HackingTeam et rendu disponible il y a trois ans, après une fuite de données ayant impacté l’entreprise. Cette nouvelle variante utilise deux fonctions de RCS : « Anti-VM » qui est utilisée pour détecter si l’hôte est une machine virtuelle afin de s’y installer et « DynamicCall », permettant de faire appel à des fonctions externes de façon obfusquée afin de rendre les analyses statiques plus compliquées. Une fois installé, une persistance est mise en place et installe une fausse extension Chrome « Adblock Plus » pour effectuer du crypto-minage. Elle est aussi capable de récupérer d’autres charges malveillantes comme un ransomware. La backdoor s’installe si le système d’exploitation est supérieur à Windows XP et les statistiques Pastebin attestent de plus de 14 000 vues, soit un bon nombre potentiel de machines compromises.
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !