La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Le logiciel Samba présente une faille permettant l’exécution de code à distance
  • Le malware Qakbot cible les entreprises
  • L’Ukraine, victime du ransomware XData
  • Des lecteurs multimédia vulnérables : 200 millions d’utilisateurs menacés
  • Le service de livraison de colis entre particuliers Cocolis.fr laisse fuiter des données personnelles
  • Télécommunications : les utilisateurs du géant chinois Tencent menacés par un ransomware sur Android
  • Fuite de données : 2036 patients américains touchés
  • Finance : le trojan bancaire GootKit s’attaque à l’Italie
  • Les experts des Nations Unies victimes d’une attaque informatique
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises
  • Focus sur le groupe « Desert Falcons »
Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Les menaces sectorielles

Multisectorielle

Nouvelle vulnérabilité détectée : le logiciel Samba présente une faille importante

Le logiciel Samba utilisé sous les systèmes d’exploitation Unix et Linux pour implémenter le protocole de partages de fichiers et d’imprimantes SMB/CIFS présente une faille (CVE-2017-7494) permettant l’exécution de code à distance. Toutes les versions de Samba depuis la 3.5.0 sont vulnérables et des codes d’exploitation sont d’ores et déjà disponibles sur Internet. Le scénario d’attaque consiste à déposer un fichier malveillant bien précis sur un dossier partagé puis à lancer, depuis un PC attaquant, une charge malveillante pour déclencher son exécution. A l’instar de l’infection WannaCry via le protocole SMB sur Windows, il est possible que cette vulnérabilité sur Samba soit exploitée pour diffuser la charge malveillante sous forme de ver. L’éditeur de Samba a publié un correctif.
Le CERT Intrinsec recommande la mise à jour à moyen terme du logiciel vers la version 4.6.4, 4.5.10 ou 4.4.14, en fonction de la branche utilisée.
En savoir plus

Une campagne diffusant le malware Qakbot cible les entreprises

La société Cylance a détecté la semaine dernière une nouvelle campagne d’attaques distribuant le malware Qakbot, un trojan qui permet de voler des identifiants de connexion au sein de réseaux d’entreprises. Le malware ciblerait les machines d’architecture 64bits fonctionnant sous Windows et serait distribué via des campagnes de phishing. Une mise à jour du code du malware aurait été effectuée cette année et aurait renforcé sa furtivité ainsi que ses capacités de persistance. Les clients de Trend Micro seraient particulièrement visés.
En savoir plus

L’Ukraine, frappée par le ransomware XData

D’après l’éditeur de solutions antivirales ESET, le ransomware XData aurait visé l’Ukraine entre le 17 et le 22 mai dernier, infectant plus de machines en Ukraine que le ransomware WannaCry. XData aurait été diffusé via un système de diffusion automatique de documents utilisé en comptabilité. S’il est exécuté avec des droits administrateur, le ransomware est capable d’infecter un réseau entier. Le montant de la rançon n’est pas précisé, il faut prendre contact directement avec les pirates pour en avoir connaissance. Une clé de déchiffrement a été fournie sur le forum de BleepingComputer.
En savoir plus

Numérique

Des vulnérabilités détectées dans plusieurs lecteurs multimédia : 200 millions d’utilisateurs à risque

CheckPoint a identifié un nouveau vecteur d’attaque ciblant les sous-titres vidéos qui menacerait 200 millions d’utilisateurs à travers le monde. En effet, en créant des fichiers de sous-titres malveillants téléchargés par le lecteur multimédia, les pirates pourraient ensuite prendre le contrôle des machines via des vulnérabilités présentes sur ces lecteurs. VLC Media Player, Popcorn Time, Kodi ou Stremio seraient concernés par ce scénario d’attaque qui n’a pas encore été constaté. CheckPoint précise toutefois que les vulnérabilités détectées pourraient toucher d’autres lecteurs multimédias similaires. Aucune donnée technique n’a été fournie par CheckPoint pour ne pas encourager les pirates. Les plateformes multimédias ont été prévenues des failles en question. Certaines d’entre elles proposant des fonctionnalités automatiques de téléchargement de sous-titres, il existe un risque de compromission avec une faible interaction utilisateur.
En savoir plus

Défaut de conception d’une plateforme collaborative : Cocolis.fr aurait laissé fuiter des données personnelles

Cocolis, un service collaboratif de livraison de colis entre particuliers, aurait laissé accessibles les données personnelles de ses utilisateurs depuis la mise à jour du site en avril dernier. Les noms, prénoms, dates de naissance, adresses email, numéros de téléphone et ville de résidence de près de 30 000 utilisateurs auraient été rendus accessibles à la suite d’un défaut de conception de la plateforme. Un auteur anonyme indique sur un site[1] avoir rapporté le problème le 18 mai 2017 ; l’équipe du site Cocolis.fr de son côté a communiqué à travers un article[2] le 26 mai 2017 indiquant avoir corrigé cette erreur et entrepris d’autres actions.
En savoir plus [1] [2]

Télécommunications

Les clients de Tencent, un géant des télécommunications chinois, visés par un ransomware sur Android

Le ransomware à l’origine de l’infection est une variante du ransomware Android SLocker. D’après Malwarebyte, il se diffuserait via des applications légitimes qui exigent des droits administrateur au moment de l’installation. Si la victime accepte, son appareil effectue un redémarrage automatique qui se solde par un avertissement de rançon et blocage de l’appareil. Le système de paiement utilisé pour payer la rançon s’appuie spécifiquement sur TenPay, un service de paiement en ligne similaire à Paypal et proposé par Tencent.

En savoir plus

Finance

Le Trojan bancaire GootKit attaque l’Italie

Le Trojan bancaire GootKit est un Trojan actif depuis 2010 qui utilise des injections Web pour usurper les identifiants des utilisateurs. Bien que GootKit soit principalement axé sur le Royaume-Uni, il est également actif en France, en Espagne et en Italie. GootKit se fait de plus en plus présent en Italie depuis le mois d’avril et les banques italiennes étudient le comportement de ce Trojan afin de se préparer pour une contre-attaque. Le malware se diffuserait en s’injectant dans des bannières publicitaires légitimes et s’appuierait sur le kit d’exploitation RIG.

Santé

Les données médicales de 2036 patients d’un établissement de santé américain compromises

UW Health a affirmé que 2036 patients avaient été victimes d’une fuite de données le 16 mars dernier, suite à un accès non autorisé à la messagerie de l’un des employés de l’établissement. Au cours de l’enquête, l’UW Health a constaté que certains emails compromis contenaient des informations sur les patients dont les noms, adresses, dates de naissance, motifs de la visite, antécédents médicaux et diagnostiques.

Politique

Les experts des Nations Unies victimes d’une attaque informatique

Selon un email d’avertissement consulté par Reuters, le lundi 8 mai, les experts des Nations Unies qui ont enquêté sur les violations des sanctions contre la Corée du Nord auraient été la cible d’une cyberattaque. Les attaquants seraient parvenus à pirater l’ordinateur de l’un de ces experts en envoyant un email personnalisé avec un fichier zip malveillant. Cette attaque montre que le ou les pirates ont une « connaissance détaillée de la structure d’enquête et des méthodes de travail actuelles du comité« . Certains experts de cette cellule ont été pris pour cibles de manière identique en 2016.

Écosystème régional

Écosystème chinois

La nouvelle législation chinoise sur la cybersécurité provoque l’insatisfaction

Un ensemble de lois susceptibles de perturber les entreprises étrangères en Chine entrera en vigueur le premier juin 2017. Ce dispositif législatif prévoit notamment d’astreindre les entreprises étrangères à héberger leurs services sur des serveurs exclusivement chinois. Ce manque d’amplitude dans la prise de choix des organismes, suscite l’inquiétude quant à la gestion, la collecte et le contrôle des informations qui transitent en Chine.
En savoir plus

Écosystème moyen-oriental

Un faux discours du prince du Qatar sème la panique au Moyen Orient

Le Qatar a annoncé le mercredi 24 mai que son agence de presse « Qatar News Agency », QNA, avait été piratée par une « entité inconnue » et avait diffusé un faux discours du prince du Qatar. Ce faux discours évoquait des questions régionales très sensibles et présentait le mouvement islamique palestinien « Hamas » comme « le représentant légitime du peuple palestinien », l’Iran comme un « allié stratégique ». Par ailleurs, le faux discours remettait largement en cause la classification du Hezbollah et des « Frères musulmans » en Égypte comme des groupes « terroristes ». Les faux propos du prince qatarien ont été relayés par de grands médias arabes, notamment aux Emirats Arabes Unis et en Arabie Saoudite, bien qu’ils aient été qualifiés comme erronés.
Le service de presse gouvernemental qatarien a annoncé qu’une enquête sera ouverte pour atteinte à la sécurité, et que l’état du Qatar poursuivra tous les auteurs du piratage de QNA.
Dans le même contexte, l’Egypte a décidé de bloquer 21 sites internet d’information arabes. Une mesure qui a aussi été prise par l’Arabie Saoudite et les Emirats Arabes Unis. Les sites visés sont liés directement ou indirectement au Qatar.
En savoir plus

Individus et Groupes

« Desert Falcons »

Ce groupe, actif depuis 2011, cible de nombreuses grandes entreprises et personnalités au Moyen-Orient. Les experts de Kaspersky Lab considèrent ce groupe comme le premier groupe arabe connu de « cybermercenaires » élaborant et menant des opérations de cyber-espionnage à grande échelle. Leur activité aurait déjà fait 3 000 victimes dans une cinquantaine de pays, La liste des victimes comprend des agences de défense et des administrations, en particulier des responsables de la lutte contre le blanchiment d’argent, des personnalités du secteur de l’économie et des médias, des établissements de recherche et d’enseignement, des réseaux d’énergie, des militants et responsables politiques, des entreprises de sécurité physique, ainsi que d’autres cibles en possession d’informations à caractère stratégique.
La méthode utilisé par Desert Falcon est le spear phishing via des emails et des réseaux sociaux. Plusieurs IoCs sont connus.
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !