La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Plus d’un million d’euros dérobés sur une plateforme de trading de cryptomonnaie
  • Universal Music victime d’une fuite de données sensibles
  • Des pirates défacent les écrans d’affichage de l’aéroport de la deuxième plus grande ville d’Iran, Mechhed
  • Deux banques canadiennes victimes de fuites de données clients
  • MnuBot, un nouveau malware bancaire détecté
  • Des appareils Android livrés avec un malware préinstallé
  • Des informations sur les écosystèmes chinois, russe et moyen-oriental 
  • Focus sur deux groupes : Cobalt et Hidden Cobra

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Cryptomonnaie

Plus d’un million d’euros dérobés sur une plateforme de trading de cryptomonnaie
Les créateurs de l’application de trading de cryptomonnaie Taylor auraient annoncé avoir été piratés, et estimeraient la perte à 2 578 Ethereum, soit l’équivalent de 1 296 734 euros. Selon les porte-paroles de Taylor, les pirates auraient réussi à accéder à l’un de leurs appareils et à prendre le contrôle de l’un des fichiers « 1Password », fichier correspondant au gestionnaire de mots de passe du même nom. Il semble s’agir des mêmes attaquants ayant piraté un autre projet baptisé CypheriumChain pour plus de 17 000 Ethereum – l’équivalent de 8 534 000 euros -. L’équipe de Taylor a précisé que les pirates auraient recueilli les fonds de plusieurs sources dans un seul portefeuille, avant de les transférer vers un autre portefeuille, plus grand, dans lequel figureraient les fonds dérobés de CypheriumChain.
En savoir plus

Industrie musicale 

Universal Music victime d’une fuite de données sensibles
Des experts auraient découvert que des données hautement sensibles, appartenant au Groupe Universal Music, auraient fuité ce mois-ci. La fuite serait due à un sous-traitant IT du Groupe, qui n’aurait pas protégé par un mot de passe une nouvelle instance créée sur un serveur Apache Airflow du Groupe. Ces serveurs, qui sont généralement utilisés pour créer et effectuer différentes tâches automatisées sur de grandes infrastructures informatiques, stockeraient donc des informations d’identification nécessaires pour accéder aux systèmes d’administration de ces dites-infrastructures. Des informations d’identification FTP, des détails de configuration AWS, des mots de passe SQL et du code source interne se seraient ainsi retrouvés exposés en accès public. Universal Music aurait immédiatement rendu cette base de données inaccessible et aurait imputé la faute à la société de sous-traitance IT Agisilium.
En savoir plus

Aéroportuaire

Des pirates défacent des écrans d’affichage de l’aéroport de la deuxième plus grande ville d’Iran, Mechhed
Le 24 mai dernier, un groupe de pirates anonyme aurait détourné le contenu d’écrans d’affichage situés dans l’aéroport de Mechhed, afin d’en faire des relais pour des messages politiques. Ainsi, un communiqué en langue perse dénonçant la présence militaire de l’Iran au Moyen-Orient et, plus généralement, l’action du gouvernement aurait été diffusé sur ces écrans. A la suite du défacement, les attaquants se seraient également servi du compte email du responsable de l’aviation civile iranienne afin de diffuser largement l’attaque en cours. Par ailleurs, au sein de l’aéroport, les pirates auraient invité les voyageurs à partager sur les réseaux sociaux des captures des écrans défacés avec le hashtag « #Protests_alloverthecountry ».
En savoir plus

Finance

Deux banques Canadiennes victimes de fuites de données clients
La Bank of Montreal (BMO) et la Canadian Imperial Bank of Commerce ont fait récemment savoir qu’elles avaient été victimes d’une importante fuite de données clients. Le vol aurait été commis le 28 mai dernier par des pirates qui seraient parvenus à accéder aux informations comptables et personnelles de plus de 40 000 clients pour la première banque et de près de 50 000 pour la seconde. Les pirates auraient revendiqué leur attaque par le biais d’un email envoyé aux deux  établissements bancaires, et dans lequel ils affirmeraient être en mesure de publier de nombreuses données personnelles de clients, si la somme de un million de dollars n’était pas versée le soir même. La BMO estimerait que l’attaque provienne de l’étranger, et les deux banques auraient pris des mesures de sécurité supplémentaires afin de garantir la confidentialité des données de leurs clients. Elles n’ont par ailleurs pas précisé si des pertes financières avaient suivi cette fuite de données.
En savoir plus
MnuBot, un nouveau malware bancaire détecté
Les experts d’IBM X-Force ont annoncé le 29 mai dernier avoir découvert un nouveau malware baptisé MnuBot ciblant des utilisateurs brésiliens et qui serait actuellement exploité dans une campagne d’attaques. MnuBot utiliserait un système de gestion de base de données Microsoft SQL Server comme serveur de commande et contrôle pour communiquer avec la machine infectée, ce qui rendrait plus difficile sa détection et permettrait aux attaquants d’être plus réactifs dans le paramétrage du malware au moment de la fraude. Les pirates passeraient à l’action lorsque la victime se connecterait à sa banque en ligne via son navigateur afin d’obtenir ses identifiants et effectuer ainsi des transactions frauduleuses. Pour ce faire, MnuBot serait capable de prendre des captures d’écran du navigateur et du bureau de la victime, d’enregistrer ou de simuler des clics ou frappes clavier, et surtout, de créer une page Web malveillante par-dessus l’application Web légitime (overlay). Cette technique de social engineering leur permettrait d’afficher une fausse page Web invitant l’utilisateur à patienter, laissant ainsi le temps aux pirates de lancer la transaction frauduleuse en arrière-plan via la session bancaire ouverte préalablement par la victime.
En savoir plus

Numérique

Des appareils Android livrés avec un malware préinstallé
Avast a annoncé le 24 mai dernier, via son blog, avoir découvert un malware préinstallé sur plusieurs centaines de modèles d’appareils sous Android, y compris ceux fabriqués par ZTE, Archos ou encore myPhone. Baptisé « Cosiloon », le malware afficherait des publicités en surimpression d’applications, voire même depuis les écrans de déverrouillage ou d’accueil. Ce dernier utiliserait également une obfuscation forte, empêchant les antivirus Android de le supprimer facilement. En effet, si le malware est installé directement dans le firmware, il est difficile de le supprimer, et il peut installer des paquets d’applications définis par le manifeste téléchargé via une connexion HTTP non chiffrée sans le consentement ou la connaissance de l’utilisateur. Avast aurait détecté la présence de la dernière version de « Cosiloon » sur environ 18.000 appareils ayant téléchargé son antivirus, et ce, dans plus de 100 pays, dont la France, Le Royaume-Unis, l’Allemagne et les Etats-Unis.
En savoir plus

Ecosystème Régional

Écosystème chinois

Un malware dans des applications d’éveil pour bébés
Les chercheurs en cyber sécurité de Tencent ont détecté une nouvelle famille de malwares Android baptisée « BlackBaby ». Ces trojans auraient la particularité d’être diffusés via des applications mobiles chinoises destinées aux très jeunes enfants, qu’il s’agisse de jeux ou de contenus éducatifs. Ils seraient de surcroît difficilement détectables. Tencent aurait identifié près d’une centaine d’applications malveillantes de ce type, comptabilisant chacune entre 10 000 et 200 000 utilisateurs. Le téléchargement de l’application installe un exécutable au format ELF, qui se lance en arrière-plan, se connecte au serveur de commande et contrôle, puis télécharge des programmes qui feraient apparaître des publicités de manière intempestive sur le téléphone de l’utilisateur.
En savoir plus

Écosystème russe

Un cybercriminel gagne plusieurs millions de roubles grâce à la plateforme Steam
Des chercheurs en cybersécurité de « Doctor Web », éditeur russe de solutions antivirus, auraient détecté une nouvelle campagne d’attaques lancée sur « YouHack », un forum russe de gaming et de hacking. Un pirate ayant pour pseudonyme « Faker » aurait ainsi élaboré deux méthodes de piratage lui permettant de réaliser un gain financier important. Tout d’abord, le pirate en question aurait utilisé le système MaaS (Malware as a Service) afin de créer des malwares et de les louer à ses « clients » sur le forum. Il serait simplement requis pour les clients de payer le montant demandé par le pirate. Ensuite, le malware, l’accès au panneau d’administration du serveur visé et le support technique seraient fournis par « Faker ». La deuxième méthode consisterait en un jeu de piratage via le jeu de roulette sur Steam, (plateforme de distribution de contenus en ligne, dédiée aux joueurs de jeux vidéo), pour laquelle « Faker » aurait conçu des bots spéciaux qui remplaceraient de vrais joueurs et garantiraient les gains mis en jeu. D’après les experts de « Doctor Web », ces deux méthodes auraient permis au pirate de collecter plusieurs millions de roubles (soit l’équivalent de centaines de milliers d’euros).
En savoir plus

Individus & Groupes

Cobalt Hacking

Le groupe de pirates Cobalt Hacking demeure actif malgré l’arrestation de son leader
Group-Ib, société de renseignement sur les cybermenaces, a publié un rapport retraçant les opérations perpétrées par le « Cobalt Gang » depuis l’arrestation de son meneur en mars 2018. Ainsi, la dernière attaque remonterait au 23 mai et aurait visé le secteur bancaire russe ainsi que la « Communauté des Etats Indépendants », composée de 9 des 15 anciennes républiques soviétiques. L’originalité de cette campagne réside dans la forme que prend le message de diffusion du phishing. En effet, c’est la première fois que le groupe usurpe l’identité d’une célèbre société d’anti-virus, en l’occurrence, Kaspersky Lab. Afin de faire cliquer l’utilisateur sur le lien infecté, les pirates auraient rédigé une plainte relative à des activités de la victime « violant la législation actuelle ». Celui-ci devrait alors se justifier par écrit via un lien le conduisant à un résumé des accusations à son encontre. L’attribution de cette campagne au groupe Cobalt serait liée à un faisceau d’indices dont l’utilisation du Trojan « CobInt », malware observé exclusivement lors des attaques du groupe de pirates Cobalt. Le degré de sophistication de cette campagne pourrait également indiquer une collaboration avec d’autres groupes malveillants, tel qu’Anunak ou Carbanak.
En savoir plus

 

Hidden Cobra

Ce groupe suspecté d’être nord-coréen a fait l’objet d’une alerte conjointe du FBI et du DHS publiée le 29 mai dernier. Les experts ont indiqué avoir découvert plusieurs indicateurs de compromission liés à deux malwares baptisés Joanap et Brambul, utilisés par le groupe depuis au moins 2009 pour s’attaquer aux secteurs des médias, de l’aérospatial, de la finance et des infrastructures critiques. Joanap servirait d’outil d’administration à distance pour les pirates afin d’exfiltrer des informations depuis les postes infectés ou pour déployer des charges malveillantes supplémentaires sur ces derniers. Brambul serait un ver se propageant via du bruteforce sur SMB (Server Message Block, protocole permettant le partage de fichiers en local sous Windows) et qui permettrait à « HIDDEN COBRA » d’accéder à distance au système compromis et aux fichiers potentiellement sensibles de l’entité visée.
C’est la deuxième étude qui paraît sur le groupe en à peine un mois : début mai c’est McAfee qui avait publié une analyse d’une opération menée par le groupe  baptisée GhostSecret (voir Threat Landscape du 9 mai dernier).
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !