La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • Retour sur une attaque ciblée contre plusieurs sites Web gouvernementaux en Asie du Sud Est
    • Amazon, victime d’une fuite de données avant le début du Black Friday
    • Faille détectée sur le service postal américain : les données de près de 60 millions d’utilisateurs exposées
    • Une vulnérabilité dans le système Bluetooth de certains véhicules les expose au risque de piratage
    • 26 millions de SMS exposés par l’opérateur américain Vovox
    • Notre cellule sinophone revient sur l’arrestation d’auteurs d’attaques DDoS en Chine
    • Notre cellule russophone s’intéresse à une campagne de phishing usurpant plusieurs acteurs e-commerce
    • Nouveau fait d’arme du groupe Magecart : un leader du marché des lentilles de contact piraté
    • Retour sur la dernière attaque du groupe APT29 suspecté d’avoir piraté le parti démocrate en 2016
    • Sofacy (aka APT28) déploie un nouveau trojan pour s’attaquer à des instances gouvernementales
    Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez Intrinsec !

Menaces Sectorielles

Multisectorielle

Un groupe de pirate vietnamiens cible des sites Web gouvernementaux en Asie du Sud-Est
Les chercheurs d’ESET ont découvert récemment une nouvelle campagne d’attaque réalisée par le groupe de pirates APT32, connu également sous le nom d’OceanLotus et ciblant vingt-et-un sites Web en Asie du Sud-Est. La liste des sites visés contenait les sites Web du ministère de la Défense au Cambodge, du ministère des Affaires étrangères et de la coopération internationale du Cambodge, ainsi que de plusieurs journaux et blogues vietnamiens. APT32 serait basé au Vietnam et pourrait être lié à son gouvernement. Les chercheurs ont précisé que le groupe emploierait des techniques sophistiquées afin de camoufler son activité et d’éviter sa détection lorsqu’il installe des malwares. Afin de rediriger les visiteurs des sites Web infectés vers les domaines des pirates, le groupe injecterait son propre code JavaScript sur la page d’index, ou un fichier JavaScript qui lui serait accessible sur le serveur du site Web. La deuxième charge analysée par les chercheurs serait un script de reconnaissance, qui renvoie des informations sur le système de la cible, notamment le navigateur, les plug-ins du navigateur, les préférences de langue, les adresses IP et le fuseau horaire. Les chercheurs d’ESET ont déclaré qu’ils ne pouvaient pas remonter plus d’informations sur la nature de la deuxième charge utile, en raison des méthodes de chiffrement avancées utilisées par les pirates.
En savoir plus

Retail

Amazon victime d’une fuite de données du fait d’une erreur technique
Le site de vente en ligne Amazon a annoncé le 21 novembre dernier avoir diffusé, par erreur, les noms et les adresses emails de certains de ses clients en Europe et aux Etats-Unis. En plein Black Friday, des clients d’Amazon ont été alertés par un email de la société les informant de la « divulgation par inadvertance » de leur nom ainsi que de leur adresse email, en raison d’une erreur technique. Amazon a nié le piratage de ses systèmes, puis a affirmé que le problème était désormais corrigé. Le géant de la vente en ligne n’a pas donné d’informations sur le nombre total de clients touchés, ni auprès de qui les informations auraient pu être exposées.
En savoir plus

Service public

Le site du service postal américain expose les données de 60 millions d’utilisateurs
Récemment, un chercheur en sécurité, dont l’identité reste inconnue, aurait découvert une faille sur le site de l’USPS (le service postal américain), et en aurait informé ces derniers. Il s’agirait d’une faille qui permettrait à n’importe quel utilisateur, qui se connecterait à l’API du site en question et qui voudrait accéder au service de suivi des courriers en ligne, de voir et de modifier les données des autres utilisateurs. Parmi ces données, on retrouverait entre autre le nom, l’identifiant, le numéro de compte, les coordonnées postales, téléphoniques et électroniques de l’utilisateur. La faille aurait déjà été constatée l’année dernière, sans que le chercheur à l’origine de cette découverte ne parvienne à contacter USPS pour les prévenir. Par ailleurs, USPS a annoncé avoir corrigé la faille, mais ne serait pas en mesure de déterminer si les données exposées auraient été récupérées à des fins malveillantes.
En savoir plus

Industrie automobile

Des véhicules piratés via leur système Bluetooth
Privacy4Cars, une application mobile conçue pour aider les utilisateurs à effacer les données personnelles enregistrées dans les systèmes des véhicules connectés, aurait récemment découvert que certains véhicules, disposant du système Bluetooth, auraient pu être piratés. Les attaquants auraient pour cela utilisé des logiciels peu coûteux, facilement disponibles et ne nécessitant pas de compétences techniques avancées. Les administrateurs de l’application auraient transmis l’information à l’Auto-ISAC (un cercle qui partage et analyse les informations liées au secteur automobile). L’entreprise et l’association auraient alors travaillé de concert afin de mettre en valeur les informations qui pourraient être dérobées dans le cadre de telles attaques. Il s’agirait par exemple des contacts du téléphone connecté au véhicule, les journaux d’appels, ainsi que les données de navigation enregistrées dans le GPS du véhicule.
En savoir plus

Télécommunications

Un serveur mal configuré de l’opérateur américain Vovox expose 26 millions de SMS
Le chercheur allemand Sebastien Kaul aurait détecté via le moteur de recherche Shodan un serveur utilisé par l’opérateur américain Voxox pour stocker les SMS envoyés à ses clients. Le serveur en question aurait été laissé en accès libre, sans aucune protection. Le serveur « ElasticSearch »  utiliserait également le greffon de visualisation de données « Kibana », permettant d’accéder facilement aux SMS indexés par la base de données, à partir d’un numéro de téléphone. Les messages fuités contiendraient notamment des messages d’ordre privé tels que des codes de vérification pour des authentifications à deux facteurs, des rappels de rendez-vous, des avis d’expédition de colis Amazon, etc. Vovox a indiqué avoir fermé l’accès à sa base depuis.
En savoir plus

Écosystème sinophone
Arrestation d’auteurs d’attaques DDoS contre des casinos en ligne
Le journal local Chongqing Morning Post a publié un article sur l’arrestation de cinq pirates spécialisés dans les attaques par déni de service distribué contre des sites Web proposant des jeux d’argent en ligne. Le leader de ce petit groupe, un chauffeur âgé de 28 ans, se serait formé au DDoS en autodidacte en ligne, afin de pouvoir se venger d’un casino en ligne sur lequel il avait réalisé des gains importants, mais ne parvenait pas à obtenir le paiement de la somme due. Après avoir pris pour cibles plusieurs sites similaires, il aurait finalement été contacté par le propriétaire de ce réseau de sites, qui l’aurait embauché pour qu’il perturbe l’activité de ses concurrents. L’homme aurait alors rassemblé des connaissances pour créer le groupe en question. En un an et demi, il aurait gagné illégalement plus d’un million de yuans (environ 127 000 euros) avec ses attaques DDoS. Pour l’auteur de l’article, cet exemple est représentatif des pratiques douteuses en vigueur dans le milieu des sites de jeux d’argent et mini-jeux en ligne, qui ont fréquemment recours à des pirates pour s’en prendre à leurs concurrents.
En savoir plus 
Écosystème russophone
Plusieurs campagnes de phishing détectées en Russie
Les experts de Group-IB, la société russe de cybersécurité, auraient constaté une augmentation conséquente du nombre de domaines frauduleux au moment des soldes pour le Black Friday en Russie. Ainsi, plusieurs milliers de domaines frauduleux usurpant l’identité de sites d’e-commerce tels que « AliExpress », « LaModa », « Riqla », « Swatch » etc. auraient été détectés. D’après les experts, une partie des sites Web en question aurait été enregistrée afin de vendre des produits contrefaits. D’autres auraient été exploités pour capturer les données des utilisateurs (identifiants, numéro de cartes bancaires etc.). Certains sites Web auraient proposé à la vente des produits inexistants, comme la deuxième édition du jeu vidéo « Red Dead Redemption » sur PC. Selon Group-IB, la majorité de ces domaines frauduleux auraient été enregistrés au mois d’août et hébergés chez ISPIRIA Networks Ltd, situé au Belize (Amérique Centrale).
En savoir plus

Individus & Groupes

Magecart

Nouvelle attaque suspectée du groupe Magecart

La liste des victimes du groupe Magecart s’allonge : après British Airways ou encore Ticketmaster c’est l’un des leaders européens sur le marché des lentilles de contact, VisionDirect qui aurait été victime d’une nouvelle attaque du groupe. Dans un communiqué officiel, l’entreprise affirme que les données personnelles et bancaires (nom et prénom, adresse email, mot de passe, adresse postale, numéros de téléphone et de carte bancaire y compris la date d’expiration et le cryptogramme visuel) des clients qui se sont connectés ou ont mis à jour leur compte sur le site britannique du groupe entre le 3 et le 8 novembre dernier, seraient compromises. Les premières analyses post-incident auraient permis d’identifier un script Javascript malveillant injecté sur le site victime et opérant à la manière d’un keylogger. Les données volées auraient été stockées sur un domaine usurpant Google Analytics, contrôlé par les pirates pour dissimuler leur attaque. Le code malveillant identifié par les chercheurs pourrait être lié au groupe Magecart. Par ailleurs, la société n’a pas précisé le nombre exact de clients concernés par la fuite.
En savoir plus
APT29
Après deux ans d’absence, le groupe APT29 refait surface
APT29 est connu pour être à l’origine de l’attaque ayant visé le Comité national démocrate avant les élections américaines de 2016. Cette fois-ci les chercheurs affirment avoir détecté une campagne de phishing ciblé visant plusieurs personnalités américaines occupant des postes stratégiques au sein de think tanks, du secteur de la défense, des transports, des médias, du gouvernement ou de laboratoires pharmaceutiques. Les emails reçus usurperaient le Département d’Etat des Etats-Unis et contiendraient des liens vers des raccourcis Windows capables de déployer la backdoor Cobalt Strike Beacon. La campagne aurait été lancée depuis le serveur mail d’un hôpital et le site institutionnel d’une société de consulting compromis par les attaquants. APT29 est soupçonné d’être affilié au gouvernement russe.

En savoir plus

Sofacy
Sofacy utilise un nouveau trojan pour viser des institutions gouvernementales 
Des experts de la société Palo Alto auraient identifié des attaques de phishing, lancées par des pirates du groupe russe Sofacy, et visant des organisations gouvernementales de l’Amérique du Nord, de l’Europe et d’un ancien Etat de l’URSS. Selon les chercheurs, les pirates enverraient d’abord un email en apparence légitime contenant un document Word, qui ne comprend pas de logiciel malveillant. Une fois le document ouvert, il démarrerait le téléchargement d’un modèle distant qui contiendrait deux trojans baptisés Zebrocy et Cannon. Une fois installé, Cannon se connecterait à un serveur en arrière-plan et commencerait à envoyer des captures d’écran aux pirates. Grâce au canal de communication établi par Cannon, les pirates pourraient ensuite renvoyer des instructions vers l’ordinateur infecté et lui demander d’effectuer différentes actions, dont l’installation d’autres logiciels malveillants. Le groupe russe pourrait donc s’emparer d’informations confidentielles, comme des mots de passe, des codes de chiffrement ou des fichiers gouvernementaux.
a
a
a
a
 
a
a
a
a
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<