La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Retour sur la faille WPA2 : la sécurité des réseaux Wi-Fi en danger
  • Fuite de données massive en Afrique du Sud : 30 millions de données personnelles exposées
  • La fonctionnalité DDE exploitée pour diffuser le ransomware Locky : l’analyse du CERT Intrinsec
  • Les utilisateurs français visés par une campagne de spam distribuant le malware NanoCore
  • Piratage d’une base de données Microsoft : des anciens employés témoignent
  • Un nouveau botnet potentiellement plus dévastateur que Mirai serait en préparation
  • Défense : l’Australie, victime d’un vol de 30 Go de données sensibles
  • Les services de transport suédois victimes d’attaques DDoS
  • Cyberattaque contre le gouvernement britannique : l’Iran pointé du doigt
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur les groupes « Bronze Butler » et « BlackOasis APT« 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

 

Menaces Sectorielles

Télécommunications

Faille WPA2 : des chercheurs ont démontré que le protocole de sécurité des réseaux Wi-fi était vulnérable

Des chercheurs ont détecté des vulnérabilités critiques dans le mécanisme de sécurité des réseaux Wi-Fi, Wi-Fi Protected Access (WPA et WPA2) et ont publié la preuve de concept associée. La vulnérabilité principale consiste à exploiter le 4-Way Handshake, phase qui suit l’authentification et au cours de laquelle une clé entre le client et le point d’accès Wi-Fi est partagée afin de chiffrer le trafic. Par conséquent, si la vulnérabilité est exploitée par un attaquant, elle pourrait lui permettre d’intercepter les communications entre le client et le point d’accès Wi-Fi et ainsi rejouer, déchiffrer ou forger les paquets Wi-Fi transmis au cours de cette communication. L’attaque serait particulièrement efficace contre les appareils fonctionnant sous Android/Linux. Pour les autres implémentations (Windows, MacOS / iOS), les attaques sont encore théoriques. La faille permet dans le pire des cas de mettre en place sur un réseau Wi-Fi des attaques de type interception de flux (Man-in-the-Middle) qui sont d’ordinaire réalisables de manière triviale sur un réseau local filaire.

En savoir plus

Multisectorielle

30 millions de données personnelles fuitent en Afrique du Sud

Le 17 octobre, Troy Hunt a annoncé par le biais du site iAfrikan.com (site d’une entreprise technologique africaine qui relaie des informations liées au secteur IT) la fuite massive de plus de 30 millions de données personnelles. Ces données lui auraient été transmises le 14 mars dernier (source non citée) dans un fichier de base de données MySQL et contiendraient des informations personnelles de millions de sud-africains (identité, statut marital, etc.). Au regard des premiers éléments, ces informations seraient issues d’une base de données d’évaluation de crédit, gérée par le prestataire Dracore Data Sciences. Il semblerait que Dracore ait collecté les données de consommateurs sans les avoir avertis, puis a publié ces données sur un serveur Web dédié sans aucune protection ou autorisation, conduisant à cette fuite massive. 

En savoir plus

La fonctionnalité DDE de Microsoft Office exploitée pour diffuser le ransomware Locky : l’analyse du CERT Intrinsec

Le CERT Intrinsec a effectué le 20 octobre dernier une analyse d’une campagne de diffusion du ranswomare Locky. Bien que le vecteur de distribution suive un format classique, les criminels ont exploité une fonctionnalité redécouverte récemment pour exécuter du code malveillant sur la machine ciblée : le DDE (Dynamic Data Exchange). L’article détaille le mode opératoire et présente des contre-mesures applicables à ce type de menace.

En savoir plus

Les utilisateurs français visés par une campagne de spam distribuant NanoCore

Fortinet a détaillé le 12 octobre dernier une campagne de spam visant des utilisateurs français. Les emails malveillants détectés contiendraient un faux formulaire de prêt bancaire au format PDF censé leurrer la victime. Si l’utilisateur télécharge le fichier, il exécute en réalité un fichier HTA (HTML Application) qui communique avec un lien Google Drive permettant aux attaquants de déployer la charge malveillante, en l’occurrence, le malware NanoCore. NanoCore est capable de prendre le contrôle sur la machine de la victime, de déplacer des fichiers personnels, de télécharger et d’exécuter d’autres charges malveillantes etc. 

En savoir plus

Numérique

Piratage d’une base de données Microsoft en 2013 par « Wild Neutron »

Des anciens employés de Microsoft ont affirmé que la société aurait été victime d’un piratage de l’une de ses bases de données sensibles en 2013. Cette base contiendrait les failles de sécurité non corrigées par Microsoft. Les équipes de Microsoft auraient mis un mois pour corriger l’ensemble des failles après la découverte de l’attaque. L’entreprise affirme que les attaquants n’ont pas exploité les vulnérabilités découvertes. Le groupe de pirates à l’origine de cette attaque serait « Wild Neutron » (aka « Morpho », « Jripbot », « Butterly », « ZeroWing », « Sphinx Moth »), groupe d’espionnage qui aurait déjà ciblé par le passé Microsoft, Apple, Twitter, Facebook via des failles Flash Player et Java en utilisant notamment des certificats de sécurité volés à Acer. 

En savoir plus

 

Un nouveau botnet potentiellement plus dévastateur que Mirai serait en préparation

Les sociétés de cybersécurité israélienne et chinoise, CheckPoint et Qihoo 360, ont détecté un nouveau botnet contrôlant un grand nombre d’objets connectés baptisé respectivement IoTroop et IoT_reaper. D’après les deux sociétés, le malware emprunterait des bouts de code au malware Mirai mais s’en distingue largement par son mode de propagation : tandis que Mirai scannait les ports Telnet ouverts et prenait le contrôle des appareils via du bruteforce, IoT_reaper/IoTroop serait plus discret, exploitant des vulnérabilités connues affectant principalement des modèles de caméra IP, pour compromettre ses cibles et bâtir son botnet. D’après Qihoo 360, plus de deux millions d’appareils vulnérables seraient en attente de recevoir les commandes du serveur de commande et de contrôle du botnet. CheckPoint estime de son côté qu’un million d’organisations ont déjà été infectées.

En savoir plus ici et

Défense

Australie : vol de 30 Go de données sensibles liées à la Défense

Dans son rapport 2017, l’Australian Cyber Security Center (ACSC) a annoncé le vol, en novembre 2016, de 30 Go de données sensibles liées au programme de Défense du pays. Ces informations concernent notamment le programme Joint Strike Fighter (JSF : programme international de recherche sur les chasseurs et bombardiers) et le programme de l’avion de surveillance maritime Boeing P8 Poseidon. L’attaquant, « Alf », aurait ciblé une petite entreprise australienne, contractante du Ministère de la Défense. Il aurait accédé au système d’information de sa victime par le biais d’un de ses serveurs Internet qui était mal sécurisé, protégé par des identifiants par défaut. L’attaquant a ensuite utilisé les droits Administrateur du poste pour y installer des scripts qui lui auraient permis de voler les données, mais également de garantir les futurs accès à la machine. L’ACSC affirme ne pas savoir s’il s’agit d’un espionnage étatique, d’un simple vol opportuniste ou d’espionnage industriel. 

En savoir plus

 

Transport

Les services de transport publics suédois victimes d’attaques DDoS massives

Plusieurs agences de transport suédoises ont été victimes d’attaques DDoS (déni de service distribué) les 11 et 12 octobre dernier. La première attaque a frappé l’administration des transports suédoise (Trafikverket) paralysant temporairement son système d’information et l’obligeant à retarder ou annuler certains trains. Le jour suivant, ce sont les sites Web de l’Office des transports de Suède (Transportstyrelsen) et de l’opérateur de transport public (Västtrafik) qui ont été la cible d’attaques DDoS. A l’heure actuelle, l’Office ne confirme pas s’il s’agissait d’une attaque ciblée par un groupe. 

En savoir plus

 

Politique

l’Iran pointé du doigt dans une attaque contre le Gouvernement britannique

Le 23 juin 2017, une attaque massive a visé plus de 9 000 comptes du Gouvernement britannique, dont ceux du Cabinet de la Premier Ministre Theresa May et d’autres Cabinets ministériels. A ce stade, seuls 90 comptes ont été réellement compromis. Les premières conclusions des investigations pointaient du doigt des pirates amateurs. Finalement, l’Iran serait l’auteur de l’attaque. Pour certains spécialistes de la cybercriminalité, les Iraniens auraient agi uniquement dans le but de tester leurs capacités et non pour cibler une organisation spécifique. Ils rappellent également que les attaques de groupe de pirates iraniens sont de plus en plus agressives mais manquent souvent de technique.

En savoir plus

Ecosystème Régional

Ecosystème chinois

Un malware s’infiltre via de petits jeux populaires

L’entreprise Huorong Security a découvert que des acteurs malveillants s’appuient sur le succès de jeux-vidéos en ligne populaires pour diffuser massivement le malware « Backdoor/Jsctrl ». Les jeux en question, comme « Legend World », « Legend Domination » ou « Blue Legend », sont téléchargés en masse en Chine car ils demandent très peu de ressources. Le malware profite du téléchargement du client pour s’installer sur l’ordinateur de la victime, poser une backdoor et prendre le contrôle de la machine à distance. D’après les estimations, le malware infecterait entre 300 000 et 500 000 ordinateurs par jour.

Source

 

Le botnet Ramnit découvert et stoppé

Dans le cadre d’investigations sur des attaques DDoS (déni de service distribué) à l’encontre de sites Web de différents types (rencontres, jeux d’argent, secteur financier), Tencent Security a mis à jour le fait que celles-ci provenaient toutes du même botnet : « Ramnit ». Ce réseau de périphériques compromis, constitué de plusieurs dizaines de milliers de systèmes, est notamment à l’origine de la propagation massive du malware « Dark Cloud » (An Yun) en juin dernier dans le pays. Le gestionnaire du botnet a été identifié par Tencent via un nom de domaine et son compte QQ.

Source

Individus et Groupes

« Bronze Butler »

Les chercheurs de la Counter Threat Unit (CTU) de Secureworks ont analysé les campagnes menées par le groupe de pirates « Bronze Butler », entre 2012 et 2017. La CTU suspecte que « Bronze Butler » soit d’origine chinoise et qu’il mène des campagnes de cyberespionnage visant le Japon. Le mode opératoire du groupe s’appuierait sur des campagnes de phishing ciblé, l’exploitation de vulnérabilités de logiciels utilisés par les entreprises japonaises ou encore la compromission de sites Web. L’objectif stratégique serait de pénétrer la machine de la victime et d’y installer un malware afin d’extraire les données (propriété intellectuelle des entreprises). « Bronze Butler » s’efforcerait de maintenir ensuite la backdoor active sur le poste compromis dans le but de revenir effectuer de nouvelles extractions de données stratégiques.  Pour protéger son anonymat, « Bronze Butler » efface rapidement les éléments liés à son passage et chiffre l’ensemble des codes, commandes et protocoles utilisés. 

En savoir plus

« BlackOasis APT »

Sous l’impulsion de Kaspersky, Adobe a publié le lundi 16 octobre dernier un correctif pour une faille critique dans son lecteur Flash portant pour référence CVE-2017-8759. En effet, l’entreprise de cybersécurité russe avait observé dès le 10 octobre dernier qu’un groupe de pirates baptisé « BlackOasis » (groupe surveillé par Kaspersky depuis 2016) exploitait la faille en question pour implanter un malware (FinSpy) sur les machines des victimes. L’exploit aurait été distribué via un document Microsoft Office en pièce jointe d’un email. D’après Kaspersky, « BlackOasis » ciblerait des politiciens moyen-orientaux ainsi que des employés des Nations Unies, des activistes et des opposants politiques de diverses nationalités. Les victimes de cette campagne auraient été observées en Russie, Iraq, Afghanistan, Nigeria, Libye, Jordanie, Tunisie, Arabie Saoudite, Iran, Pays-Bas, Bahreïn, Royaume-Uni et Angola.

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !