La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Des entreprises japonaises victimes de cyberattaques ciblées
  • Campagne de ransomware : SAGE distribué dans plusieurs pays
  • Smart home : une vulnérabilité menace la vie privée des utilisateurs
  • Le secteur financier menacé par le trojan Silence
  • 46 millions de données personnelles fuitent en Malaisie
  • Sécurité Android : des mineurs de cryptomonnaie disponibles sur le store Google Play, retour du malware Ramnit
  • Update : des vulnérabilités visibles sur Shodan pour créer des bots IoTroop
  • Des informations sur des menaces informatiques provenant de nos sources chinoises et arabes
  • Focus sur les groupes « Gaza Cybergang » et « Leviathan« 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Menaces Sectorielles

Politique

Le Royaume-Uni déclare être victime de cyber-attaques russes
Lors d’un événement organisé par le journal le Times ce mercredi 15 novembre, Ciaran Martin, le Directeur du National Cyber Security Centre rattaché, au GCHQ (Government Communications Headquarters), a affirmé que la Russie serait à l’origine d’attaques informatiques contre les secteurs des médias, des télécommunications et de l’énergie, « dans le but de déstabiliser l’organisation internationale ». Ses déclarations suivent celles faites par le Premier Ministre britannique Theresa May lundi 13 novembre, et qui indique que la Russie aurait mené « une campagne soutenue de cyber-espionnage». D’après le Times, la Russie aurait notamment pris pour cible les infrastructures anglaises le jour des élections. Le journal a également publié des éléments d’une enquête sur la campagne d’influence en faveur du Brexit qui aurait été menée via de faux comptes russes sur les réseaux sociaux.
En savoir plusDes données du Pentagone accessibles publiquement
Chris Vickery aurait identifié le 6 septembre dernier, pour la société UpGuard, des archives de données appartenant au Pentagone et stockées sur des serveurs Amazon AWS (service de stockage S3) accessibles. Ces archives ouvertes contenaient des données capturées sur le Web au cours des huit dernières années, notamment en provenance de rubriques « commentaires » disponibles sur certains forums, sur YouTube, sur certains blogs ainsi que sur les réseaux sociaux : une des bases de données contiendrait plus de 1,8 milliard de contributions en ligne de ce type. Les données, collectées depuis 2009, sont majoritairement en langues arabe et perse, mais aussi dans des dialectes d’Asie centrale et du sud, et dans une moindre mesure en langue anglaise.  D’après Chris Vickery, certaines de ces données auraient été collectées par un logiciel Big Data baptisé « Outpost », un outil d’analyse sociale. Les données ne sont plus accessibles à l’heure actuelle.
En savoir plus

Numérique

Un nouveau malware Android délivré en quatre étapes
La société ESET a découvert un nouveau malware Android intitulé Android/TrojanDropper.Agent.BKY, et qui a la particularité de s’exécuter en quatre étapes en et en utilisant quatre charges malveillantes , une démarche plutôt sophistiquée comparée à la majorité des malwares issus d’applications du Google Play Store qui se limite souvent à deux étapes. Après l’installation de l’application frauduleuse , la première charge est déchiffrée et exécutée, puis délivre la seconde charge. Celle-ci déclenche le téléchargement depuis une URL codée en dur d’une autre application frauduleuse (la troisième charge). Le malware requiert alors l’approbation de l’utilisateur pour l’installation, en se faisant passer pour Adobe Flash Player. Une fois en place, la troisième charge déchiffre et exécute la quatrième et dernière charge. Dans les cas analysés par ESET, cette charge finale était un malware bancaire affichant de fausses pages d’authentification afin de collecter les coordonnées bancaires des cibles. Le malware a été identifié dans huit applications Android, mais chacune d’entre elles n’a été téléchargée que quelques centaines de fois avant qu’elles ne soient retirées de la bibliothèque du Google Play Store.
En savoir plus

Finance

IcedID cible les institutions financières
Le Groupe IBM a publié le 13 novembre un article relatif à un nouveau trojan bancaire baptisé « IcedID » et qui a été détecté en septembre 2017 par les équipes de recherches du Groupe. A ce jour, le malware ciblerait des banques, des fournisseurs de cartes de paiement, des fournisseurs de services Webmail ainsi que des plateformes de e-commerce américaines et deux banques britanniques. Toutes les cibles potentielles de « IcedID » ne sont pas encore connues. D’après IBM, le code du malware serait original mais ses caractéristiques seraient similaires à d’autres trojans bancaires connus tels que Zeus, Gozi ou Dridex. « IcedID » serait distribué via le trojan « Emotet », qui serait utilisé par les acteurs malveillants comme dropper, c’est-à-dire comme programme chargé d’introduire et d’installer la charge malveillante sur la machine. Il peut se propager au sein d’un réseau. IBM estime que le malware aurait donc été utilisé pour cibler des employés d’entreprie. Deux modèles d’attaques sont associés à ce malware : des attaques de type injection Web et des attaque de type redirection. Par conséquent, si un utilisateur infecté ouvre son navigateur et visite un des sites figurant dans la liste des cibles du malware, une injection Web s’active et l’utilisateur est alors redirigé vers un site Web malveillant qui affiche une fausse page Web usurpant celle de la banque initialement requêtée. L’efficacité de cette attaque par redirection réside dans le fait que l’URL affichée ainsi que le certificat sont ceux de la banque officielle. Ce procédé est rendu possible en maintenant une connexion active avec le site légitime de l’établissement financier. Le groupe à l’origine des attaques reste à ce jour inconnu. D’après IBM, il est probable que le code du malware fasse l’objet de mises à jour. Des indicateurs de compromission ont été publiés.

Commerce

Cash Converters, victime d’un piratage
Cash Converters, spécialiste dans l’achat des produits d’occasion, a annoncé le 18 novembre dernier, avoir été victime d’un piratage. Selon la société, des pirates aurait obtenu un accès non autorisé aux données clients de son site de e-commerce au Royaume-Uni. Le site, suspendu le 22 septembre dernier, ne stockait pas de données financières. En revanche, les attaquants ont pu avoir accès aux enregistrements d’utilisateurs, y compris les données personnelles, les mots de passe et l’historique d’achats.
En savoir plus

Ecosystème Régional

Ecosystème moyen-oriental

Algérie Télécom, victime d’un piratage
Algérie Télécom, a révélé le 17 novembre 2017 avoir été victime d’une importante attaque informatique. D’après la société publique, l’objectif de cette attaque était le piratage et l’interruption de son système. Une source de la société a indiqué que le traitement des requêtes des clients dans les agences a connu quelques perturbations tout au long de la journée du jeudi 16 novembre. La même source a indiqué qu’Algérie Télécom était parvenu à stopper l’intrusion et sécuriser ses systèmes. Les auteurs du piratage auraient été interpellés par les autorités.
Source

Ecosystème chinois

Les données clients d’une cinquantaine de compagnies aériennes dérobées
Les autorités chinoises auraient procédé, fin octobre, à l’interpellation d’une vingtaine de suspects impliqués dans une vaste affaire de piratage dans le domaine de l’aviation civile. Ce groupe, actif depuis le second semestre de l’année 2016, aurait profité de vulnérabilités pour pirater près de cinquante sites appartenant à des compagnies aériennes, parmi lesquelles China Eastern, Air China, Hainan Airlines, Beijing Capital Airlines, Shenzhen Airlines, Kunming Airlines, etc. Ils auraient ainsi eu accès à certaines informations relatives aux réservations faites quotidiennement sur ces sites. Les attaquants n’en n’auraient pas fait usage eux-mêmes mais les auraient revendu à d’autres personnes au prix de 5 yuans par réservation. Ils auraient également réalisé 10 millions de yuans de profit (environ 1,3 million d’euros), en fournissant tout un réseau de fraudeurs qui auraient ensuite exploité ces données pour cibler précisément les voyageurs dans le cadre de campagnes de phishing visant à récupérer leurs coordonnées bancaires. Les membres du groupe étaient géographiquement dispersés puisque basés à Wenzhou dans la province du Zhejiang, mais aussi à Guangzhou (aka Canton) dans la province du Guangdong et à Sanya dans la province insulaire de Hainan.
Source

Individus & Groupes« HIDDEN COBRA « 
Par le biais de deux alertes conjointes du FBI et du Département de la Sécurité Intérieure publiée par le US-CERT le 14 novembre 2017, les Etats-Unis accusent de nouveau le gouvernement nord-coréen d’être à l’origine d’une campagne de cyber attaques. L’auteur de ces attaques serait le célèbre groupe HIDDEN COBRA, connu également sous le nom Lazarus, suspecté d’être à l’origine de Wannacry et d’offensives contre plusieurs banques dans plus d’une trentaine de pays. La première alerte se concentre sur FALLCHILL, un outil d’administration à distance déposé ou téléchargé sous la forme d’un fichier par un autre malware du système HIDDEN COBRA. FALLCHILL serait utilisé par le groupe depuis 2016 pour s’attaquer aux secteurs de la finance, des télécommunications et de l’aérospatial. La deuxième alerte évoque quant à elle Volgmer, un cheval de Troie qui installe une porte dérobée « backdoor » et assure un accès stable aux systèmes compromis, utilisé depuis au moins 2013 pour cibler le gouvernement américain, le monde de la finance et des médias ainsi que l’industrie automobile.
En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !