La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine
  • Des centaines de sites Drupal compromis
  • Microsoft Office 365 est vulnérable au malware baseStriker
  • Une nouvelle variante inédite du ransomware SynAck
  • Le malware Android.Reputation.1 fait son retour
  • 1 800 vélos électriques affectés par un piratage à Copenhague
  • Des informations sur l’écosystème arabe
  • Focus sur les méthodes du groupe Winnti 

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Numérique

 Un malware cible des centaines de site Drupal en exploitant une vulnérabilité du système de gestion de contenu

La vulnérabilité critique Drupal révélée au mois d’avril aurait été détournée par les cyber criminels. 348 sites Web, dont 26 en France, fonctionnant sur la version obsolète du système de gestion de contenu Drupal auraient été cibles de campagne de cryptojacking. Le chercheur en cyber sécurité de « Bad Packets Report », Troy Mursch aurait détecté sur ces sites Web la présence du logiciel malveillant CoinHive, qui serait employé pour miner de la crypto-monnaie sur le processeur de visiteurs. Troy Mursch affirme que tous les sites Web infectés pointent vers le domaine « hxxp: //vuuwd.com/t.js », domaine qui aurait été également utilisé dans les opérations de crypto mining Monero (XMR).

En savoir plus 

 

BaseStriker, une technique d’exploitation permettant de contourner certaines fonctions de sécurité d’Office 365

Des chercheurs de la société Avanan, spécialisée en sécurité du Cloud, auraient découvert une faille de sécurité au sein d’Office 365 qui, si elle est exploitée, pourrait permettre à des attaquants de contourner les fonctions de sécurité anti-phishing de Microsoft (Safelinks et Advanced Threat Protection). Une vidéo de démonstration de la technique d’exploitation de cette faille baptisée « baseStriker » a été mise en ligne par les chercheurs. Elle consisterait à exploiter le tag URL « <base> » dans l’en-tête d’un email HTML et à diviser un lien malveillant en deux parties pour le rendre indétectable par Safelinks et Advanced Threat Protection. Au lieu d’être considéré comme indésirable, l’email contenant le lien malveillant accéderait ainsi à la boîte de messagerie de sa cible sans avertissement de Microsoft.

En savoir plus

  

Malware 

Une nouvelle variante inédite du ransomware SynAck 

Des chercheurs de Kaspersky ont découvert récemment une nouvelle variante du ransomware SynAck, qui utilise la technique Doppelgänging pour échapper aux logiciels anti-virus en se cachant dans des processus légitimes. SynAck est connu depuis l’automne 2017, période à laquelle il ciblait principalement les utilisateurs anglophones via des attaques par force brute RDP (Remote Desktop Protocol), qui étaient suivies du téléchargement manuel et de l’installation du malware. Les pirates à l’origine de SynAck feraient également appel à d’autres stratagèmes pour ne pas être détectés, notamment l’obfuscation de tout le code avant la compilation d’échantillons et la fuite. C’est la première fois qu’un ransomware qui utilise cette technique  est découvert, et les chercheurs ont observé un nombre limité d’attaques aux Etats-Unis, au Koweït, en Allemagne et en Iran, avec des demandes de rançon d’un montant de 3 000 dollars.

En savoir plus

 

Le malware Android.Reputation.1 fait son retour

Malgré le niveau de sécurité élevé mis en place par Google, des codes d’applications ayant fait l’objet de signalement seraient réapparus sous un nom légèrement différent et sous un nouvel éditeur. En effet, un logiciel malveillant déjà signalé par des chercheurs en cybersécurité – Android.Reputation.1 – serait présent dans au moins sept applications en libre accès sur le Google Play Store américain. Celles-ci offrent des fonctionnalités diverses qui vont du clavier émoji au nettoyeur de système ou à l’enregistreur d’appels. Ces applications auraient pour point commun d’utiliser les mêmes astuces pour détourner l’activité de l’utilisateur: le malware serait configuré de façon à attendre quatre heures avant de lancer son activité malveillante, ce qui rendrait plus compliqué la capacité à faire le lien entre le malware et l’application endommagée. D’autre part, l’usurpation de l’icône du Google Play Store lors de la demande d’autorisation d’accès et le changement d’icône une fois l’application installée permettraient d’éviter les soupçons de l’utilisateur. Enfin, des contenus publicitaires visant à générer du profit seraient diffusés via le service de messagerie Firebase Messagerie, impactant le service de commande & de contrôle.

En savoir plus

 

Tourisme

Le système de partage de vélos de la ville de Copenhague a été piraté, 1 800 vélos affectés

Un individu possédant une solide connaissance du fonctionnement interne du réseau de location de vélos de la ville de Copenhague en a piraté le système. L’attaque aurait entrainé la désactivation de 1660 des 1860 vélos, obligeant les utilisateurs à rechercher l’un des 200 vélos électriques encore en état de marche dans la ville. Les dirigeants de la société visée, Bycyklen, affirmeraient qu’il n’y a pas d’indication que des données clients aient été dérobées; l’attaque ciblerait uniquement l’activité de location.

En savoir plus

 

Ecosystème Régional

Écosystème Moyen-Oriental

Les chercheurs en sécurité au Moyen-Orient alertent sur une éventuelle attaque par wiper.

Des chercheurs saoudiens en sécurité informatique ont publié, le 11 mai dernier, une alerte concernant une éventuelle attaque visant des utilisateurs au Moyen-Orient et qui serait prévue pour la semaine du 14 mai. Les experts ont précisé que les potentiels pirates pourraient utiliser un wiper et viseraient les sociétés ainsi que les particuliers. Un wiper vise purement et simplement à effacer les données du poste ciblé, sans possibilité de récupération. Ainsi, les chercheurs recommandent de s’assurer de l’activation des systèmes de stockage et de sauvegarde périodiquement, de ne pas cliquer sur des liens provenant de sources douteuses, de désactiver les fonctionnalités Macros des fichiers Microsoft Office.

En savoir plus

Individus & Groupes

Winnti

Des experts de la société de cybersécurité 401TRG ont publié un rapport sur les activités de cyberespionnage menées par plusieurs groupes APT chinois (Winnti, LEAD, BARIUM, Wicked Panda, GREF, PassCV etc) depuis 2009 à destination de l’industrie du jeu vidéo et des hautes technologies basées aux Etats-Unis, au Japon en Corée du Sud et en Chine. D’après leur analyse basée sur les tactiques, techniques et procédures ainsi que l’infrastructure informatique de ces différents groupes, tous seraient affiliés à un même service de renseignement chinois désigné dans le rapport sous le sigle « Winnti Umbrella ». Ainsi, bien qu’utilisant des techniques d’attaques différentes pour les besoins de chaque campagne (phishing, collection d’identifiants de connexion, compromission via malware, scan de ports etc.), ces groupes APT agiraient pour le compte d’une seule et même entité dont certains éléments (adresses IP) pourraient être localisés à Xicheng , un district de Beijing (Pékin). La dernière campagne en date aurait ciblé des comptes office 365 et Gmail américains japonais indiens et russes en mars 2018. Cette entité du renseignement chinois serait à la recherche de données liées à la propriété intellectuelle (signatures de code, données logicielles) mais serait également motivée par l’appât du gain.

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !