La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Le point sur l’alerte de l’ICANN et les risques liés au « DNSpionnage« 
  • Une campagne de phishing diffusant le malware Separ aurait touché plusieurs sociétés et utilisateurs
  • Fuite de données chez le fournisseur de solutions de points de vente North Country
  • Des applications de messagerie exploitées pour diffuser un malware nommé Rietspoof
  • Un malware embarqué dans des fichiers torrent touche les utilisateurs
  • Retour sur la cyberattaque ayant visé le Parlement et les principaux partis politiques australiens
  • 2,7 millions d’appels médicaux exposés sur un serveur non sécurisé
  • Notre analyse russophone revient sur deux trojans bancaires qui ont ciblé des utilisateurs russes
  • Focus sur la dernière attaque suspectée du groupe de pirates nord-coréens Lazarus

Focus sur le groupe APT28 soupçonné d’attaques contre les institutions démocratiques en Europe Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !Si vous ne l’êtes pas encore, abonnez-vous à notre newsletter   Menaces Sectorielles

Multisectorielle

Alerte de l’ICANN sur les risques de « DNSpionnage »
L’ICANN, l’autorité de régulation de l’Internet, a alerté vendredi 22 février sur les risques d’attaques de type « DNSpionnage » visant les serveurs DNS. L’attaque en question consisterait à remplacer l’enregistrement DNS de serveurs autorisés par des adresses IP de machines contrôlées par les pirates afin de détourner le trafic et ainsi, capter des informations envoyées par les utilisateurs telles que des adresses email ou des mots de passe. Dans son communiqué officiel, l’ICANN insiste sur la nécessité de déployer le protocole DNSSEC (Domain Name System Security Extensions) censé permettre de sécuriser l’authenticité d’une réponse DNS et de réduire ainsi le risque de détournement malveillant. En savoir plus

Des centaines de sociétés victimes d’une campagne de phishing distribuant le malware Separ
D’après la société Deep Instinct, une campagne de phishing distribuant le malware Separ serait active depuis la fin du mois de janvier 2019 et aurait touché environ 200 sociétés et près de 1 000 utilisateurs localisés au Moyen-Orient, en Asie du Sud-Est ainsi qu’en Amérique du Nord. Les emails distribués contiendraient un fichier PDF malveillant faisant référence à des notifications d’envoi d’équipements mais exécutant en réalité un script VBS sur la machine de la victime. Ce script permettrait aux attaquants d’exploiter des exécutables légitimes ainsi que des petits scripts utilisés à des fins malveillantes mais assurant aux pirates une certaines discrétion. Le malware serait ensuite capable de modifier les paramètres du pare-feu et de voler des identifiants de connexion de la boite de messagerie de la victime ainsi que ceux enregistrés sur son navigateur. Les informations dérobées transiteraient via le protocole FTP. Deep Instinct précise que les attaques seraient toujours en cours. En savoir plus

Finance

North Country victime d’une attaque ayant entraîné la fuite de données bancaires de ses clients
Le fournisseur de solutions de point de vente et de sécurité North Country Business Products, qui compte environ 6 500 clients, a révélé le 15 février dernier avoir été victime d’une attaque informatique susceptible de divulguer des informations sur les paiements de ses clients ayant utilisé leurs cartes de crédit et de débit dans 137 restaurants. Le 4 janvier, North Country aurait découvert l’existence d’activités suspectes au sein de ses réseaux clients. Une enquête avec une société spécialisée dans la cybersécurité a alors été diligentée et aurait permis de découvrir qu’un tiers non autorisé aurait déployé des logiciels malveillants dans certains restaurants partenaires de North Country entre le 3 janvier et le 24 janvier 2019 afin de recueillir des renseignements sur les cartes de crédit et de débits. Les informations potentiellement accessibles comprennent le nom du titulaire de la carte, son numéro de carte de crédit, la date d’expiration ainsi que son CVC. En savoir plus

Numérique

Le malware Rietspoof se propage via des applications de messagerie
Les chercheurs en sécurité informatique d’Avast ont annoncé récemment avoir découvert un nouveau malware se déployant selon plusieurs phases. Baptisé Rietspoof, ce malware est apparu pour la première fois en août 2018 et ne communiquerait pour l’instant qu’avec des adresses IP des États-Unis. Les chercheurs ignorent si cela est uniquement pour des raisons de test ou s’il s’agit d’une attaque ciblée. Rietspoof aurait initialement été diffusé via les applications de messagerie Messenger et Skype, puis installerait un exécutable dans le dossier « Démarrage » de Windows en passant inaperçu des antivirus grâce à des certificats légitimes. Une fois installé, le malware pourrait télécharger, envoyer et supprimer des fichiers, exécuter des programmes, et enfin s’autodétruire en cas d’urgence. Selon les chercheurs, la première fonctionnalité du malware serait de permettre le téléchargement d’autres malwares plus néfastes. Le protocole de communication de Rietspoof est régulièrement modifié ce qui démontre qu’il est très actif. En savoir plus

Un utilisateur déjoue les mesures de sécurité des sites de téléchargement illégaux pour diffuser des malwares
Selon le blog d’information dédié au partage de fichier « TorrentFreak », l’uploader CracksNow, qui avait la confiance de plusieurs sites de torrent, aurait été banni de plusieurs sites de téléchargement après avoir accompagné ses fichiers torrent d’un malware à plusieurs reprises. En effet, plusieurs usagers se seraient plaints de fichiers téléchargés depuis CracksNow : ils contiendraient le ransomware GandCrab et d’autres malwares pouvant endommager les systèmes. The Pirate Bay, TorrentGalaxy et 1337x font parties des sites populaires de torrent qui auraient banni les comptes de CracksNow. En savoir plus

Politique

En Australie, la cyberattaque ayant ciblé le Parlement et les principaux partis politiques pourrait avoir été soutenue par un Etat
Après avoir subi une attaque de grande ampleur contre le Parlement, mais aussi contre le parti des libéraux (Liberal Party of Australia), celui des travaillistes (Australian Labor Party) ou encore celui des nationaux (National Party of Australia), le Premier Ministre australien a associé les auteurs de l’attaque à des acteurs étatiques sophistiqués. Ainsi, la Chine, les Etats-Unis, Israël et la Russie feraient parties des Etats suspectés. D’après le responsable des recherches en sécurité de Kaspersky Lab, cette cyberattaque démontre la volonté des attaquants d’atteindre leurs objectifs par tous les moyens. À l’approche des élections, il s’agit désormais pour l’Australie de sécuriser ses systèmes d’information. En savoir plus

Santé

2,7 millions d’appels médicaux exposés sur un serveur non sécurisé
Un serveur utilisé pour stocker les enregistrements d’appels émis auprès d’un numéro d’assistance médical suédois aurait été exposé sur Internet et accessible sans aucun mécanisme d’authentification, pendant une durée indéterminée. Le serveur en question contiendrait 2,7 millions d’appels enregistrés au format audio et qui auraient été passés depuis 2013 auprès du 1177, un numéro géré par la société Medicall, sous-traitant du représentant des soins de santé Medhelp en Suède. Totalisant 170 000 heures d’appels, ce serveur aurait pu permettre à n’importe qui d’accéder à des informations sensibles sur la santé des patients ainsi qu’au numéro de sécurité sociale dans certains cas. Par ailleurs, 57 000 fichiers d’enregistrements d’appels contiendraient les numéros de téléphone des patients. En savoir plus

Ecosystème russophone

Les trojans Buhtrap et RTM attaquent les entreprises russes
Les experts de Kaspersky Lab ont publié un article relatif à la multiplication des attaques informatiques par le biais des chevaux de Troie bancaires « Buhtrap » et « RTM » en Russie. L’objectif de cette campagne serait le vol de fonds sur les comptes de personnes morales : les pirates s’intéresseraient principalement aux comptes bancaires de petites et moyennes entreprises des secteurs juridique, informatique, et industriel. D’après les experts, ces deux logiciels malveillants permettraient aux pirates de prendre le contrôle total de la machine infectée. Une fois que le malware serait installé, les pirates retireraient des fonds en effectuant des transactions allant jusqu’à 1 million de roubles (approximativement 13 479 euros). Les deux malwares seraient propagés de manière différente : Bahtrap serait livré à l’aide d’un exploit présent sur un site Web d’actualité. Si un utilisateur consulte la page infectée via le navigateur Internet Explorer, un script malveillant se téléchargerait sur l’ordinateur. Le malware RTM serait distribué par le biais de courriels de phishing qui imiteraient la correspondance avec les structures financières. Ces emails pourraient porter un des objets suivants : « Demande de remboursement », « Copie de documents », « Paiement des créances » etc. Le malware en question s’installerait sur la machine à l’ouverture de la pièce jointe par le destinataire. En savoir plus

Individus & Groupes

Lazarus

Check Point a annoncé avoir détecté une campagne d’attaques qui aurait été planifiée par la Corée du Nord pour viser plusieurs organisations russes, ce début d’année 2019. Plusieurs documents Microsoft Office (Word et Excel) et PDF spécialement conçus pour cibler des utilisateurs russes et contenant des macros malveillantes, auraient été utilisés comme vecteur d’infection initiaux pour télécharger un script VBS depuis une URL Dropbox. Une fois le script exécuté, la backdoor Keymarble attribuée au groupe de pirates nord-coréens Lazarus, serait téléchargée depuis un serveur compromis localisé en Irak, puis déployée sur la machine de la victime. La backdoor en question permettrait aux pirates d’accéder à distance à la machine de la victime et de récupérer de l’information sur son poste. D’après Check Point, les tactiques, techniques et procédures observées suggèrent que le groupe à l’origine de cette attaque organisée serait Lazarus, connu pour être l’auteur de plusieurs piratages majeurs ayant visé notamment des banques ou des plateformes de cryptomonnaies. En savoir plus

APT28

Les équipes de Threat Intelligence Center (MSTIC) et de Digital Crimes Unit (DCU) de Microsoft ont observé un nombre important de piratage informatique au dernier trimestre 2018, visant 104 comptes appartenant à des employés d’organisations situées en Belgique, en France, en Allemagne, en Pologne, en Roumanie et en Serbie. Selon Microsoft, ces attaques seraient l’œuvre du groupe russe Strontium (connu également sous le nom de APT28 ou Fancy Bear) et ciblerait majoritairement des journalistes, des groupes de réflexion ainsi que des organisations non gouvernementales. Les attaquants semblent notamment utiliser diverses techniques de phishing afin d’accéder à des informations d’identification des utilisateurs et pour diffuser des logiciels malveillants. Les équipes de Microsoft redoutent d’ailleurs une intensification de ce genre d’attaque avec les énormes progrès réalisés par les APT russes, ceux-ci étant désormais capables de compromettre un réseau et d’effectuer leur premier mouvement en 18 minutes. En savoir plus

 
 
 
 
 
 
 
Cette newsletter est émise par la cellule de Threat Intelligence. Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations. Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
 
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<