La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Le secteur de l’énergie alerté par le FBI et le DHS
  • BadRabbit: une vaste campagne de cyber attaques mondiales
  • Menaces sur le store Google Play: le trojan Socknbot et des fausses applications Poloniex
  • Appleby, victime d’une fuite de données massive
  • Finance : une banque népalaise visée par le piratage du réseau SWIFT
  • Le groupe APT28 s’attaque aux secteurs de la cyber sécurité et de l’aérospatial
  • Des informations sur des menaces informatiques provenant de nos sources chinoises et arabes
  • Focus sur les groupes « The Dark Overlord » 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

 

Menaces Sectorielles

Energie

Les entreprises américaines du secteur de l’énergie, du nucléaire, de l’eau et de l’aviation alertées par le FBI et le DHS

Le Federal Bureau of Investigation (FBI) ainsi que le Department of Homeland Security (DHS) ont émis le 20 octobre dernier un bulletin d’alerte informant que des pirates seraient actuellement en train de s’attaquer à des entreprises stratégiques américaines des secteurs de l’énergie, du nucléaire, de l’eau et de l’aviation. D’après les deux agences américaines, les attaquants s’appuieraient sur du phishing ciblé ainsi que des tactiques par « point d’eau » (une attaque destinée à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée) pour compromettre leurs cibles et collecter des identifiants de connexion ou nuire à des systèmes de contrôle industriel. Il s’agirait d’une campagne d’attaques planifiée sur le long terme potentiellement toujours en cours. Le groupe de pirates pointé par Symantec au mois de septembre (Dragonfly) en serait à l’origine.

En savoir plus

Numérique

Retour sur la campagne de cyber attaques mondiales BadRabbit

Une nouvelle cyberattaque à grande échelle a été identifiée le 24 octobre dernier infectant des utilisateurs et des organisations localisées principalement en Russie, en Bulgarie, en Ukraine au Japon ou en Turquie avec le ransomware BadRabbit. Pour diffuser le ransomware, les attaquants ont compromis un site d’actualité russe (attaque par point d’eau) à l’aide d’un script qui faisait apparaître une fenêtre pop-up invitant l’utilisateur à installer une mise à jour de Flash. Une fois exécuté, le malware tente d’effectuer des opérations de propagation latérale via SMB et WebDAV. Il cherche à s’authentifier aux systèmes du réseau local avec deux méthodes : en tentant d’obtenir les identifiants/mots de passe des sessions actives sur le système par l’intermédiaire de l’outil Mimikatz, embarqué par le malware ; et en utilisant une liste prédéfinie de noms d’utilisateurs et de mots de passe. Plusieurs sociétés de cybersécurité ayant traité du sujet (Talos, ESET, Intezer, Kaspersky Lab entre autres) ont affirmé que le code source de BadRabbit présentait un certain nombre de similarités avec le malware NotPetya à l’origine de la vaste cyberattaque du mois de juin dernier. 

En savoir plus

Des applications de Google Play infectées par Sockbot

Les équipes de Symantec ont détecté le trojan Sockbot sur huit applications du store Google Play permettant initialement de modifier l’apparence de personnages de Minecraft : Pocket Edition. Sockbot est potentiellement installé sur 2,6 millions de smartphones localisés dans cinq pays (Etats-Unis, Russie, Ukraine, Brésil et Allemagne) . Une fois installée, l’application se connecte à un serveur de commande et de contrôle (C&C) transmettant des métadonnées au smartphones et lançant des requêtes spécifiques. Symantec estime que Sockbot est capable d’effectuer de vastes campagnes de type DDoS. A ce stade, un seul pirate, FunBaster, semble associé à cette campagne. Depuis Google a retiré les applications de son store

En savoir plus

Deux fausses applications Poloniex disponibles sur Google Play

Du 28 août au 15 octobre, deux fausses applications usurpant Poloniex, platforme de trading dédiée aux cryptomonnaies auraient été installées sur plus de 5 500 smartphones depuis le store Google Play. Une fois les applications installées, les utilisateurs rentraient leurs identifiants et mots de passe Gmail sur une fenêtre d’authentification et connectaient ainsi directement l’application à leur compte Gmail, permettant alors aux pirates d’y avoir accès plus aisément. Pour qu’elles paraissent légitimes, les applications renvoyaient vers le site officiel Poloniex. Les pirates auraient ainsi eu accès aux comptes Poloniex et Gmail des utilisateurs. 

En savoir plus

Finance

Appleby, société offshore, se prépare à la diffusion de documents sensibles

Appleby, société de services juridiques localisée aux Bermudes a déclaré avoir été victime d’une fuite massive de données sensibles concernant ses clients. La société a reçu des demandes de journalistes et de médias, participant au Consortium International des Journalistes d’Investivgation (ICIJ), à l’origine des Panama Papers. Le ICIJ serait en possession de documents sensibles concernant les clients d’Appleby. La fuite d’information proviendrait d’une faille des systèmes informatiques Appleby détectée en 2016 et corrigée depuis. 

En savoir plus

Nouveau piratage du réseau SWIFT : une banque népalaise visée 

Le quotidien népalais The Himalayan Times a indiqué le 23 octobre dernier que des cybercriminels auraient piraté le réseau SWIFT d’une banque népalaise. Les pirates auraient mené leur attaque contre la banque népalaise NIC Asia Bank pendant le festival Tihar, festivités hindoues célébrées au Népal du 17 au 21 octobre et pendant lesquelles la plupart des banques sont fermées. The Kathmandu Post indique que des accès à distance à des serveurs sur lesquels était accessible le réseau SWIFT aurait été autorisés à certains collaborateurs de la banque pendant ces festivités, rendant le système plus vulnérable. La banque centrale népalaise (Nepal Rastra Bank) a confirmé le piratage de la banque ce mardi 24 octobre, indiquant que de multiples transactions frauduleuses auraient été effectuées via le réseau SWIFT. Il n’y a pour l’instant pas d’information exacte sur le montant total qui a été débité de la banque, des rumeurs laissent cependant suggérer que 460 millions de Roupies népalaises (environ 3,8 millions d’euros) auraient pu être dérobées. D’après des sources anonymes approchées par The Kathmandu Post, le piratage présenterait des similarités avec celui de la banque centrale du Bangladesh survenu en 2016.

En savoir plus ici et  

 

Aerospatial

Des entreprises dans le secteur de l’aérospatial visées par une campagne de phishing 

Les chercheurs de Proofpoint ont détecté le 18 octobre dernier une pièce jointe Microsoft Word malveillante exploitant une vulnérabilité corrigée récemment d’Adobe Flash (CVE-2017-11292). Selon les chercheurs, le groupe APT28, soupçonné d’être russe, exploite cette faille, via des campagnes de phishing et avant que le patch ne soit largement déployé. Les cibles sont localisées à travers l’Europe et aux États-Unis. Il s’agit notamment de ministères aux affaires étrangères et d’entreprises dans le secteur de l’aérospatial.

En savoir plus

Cyber Sécurité

Des chercheurs en cyber sécurité visés par une campagne de phishing ciblé du groupe APT28

Les chercheurs de Talos ont annoncé le 22 octobre dernier avoir détecté une campagne de cyber espionnage vraisemblablement menée par le groupe APT28, soupçonné d’être russe. Les attaquants auraient mené une campagne de phishing ciblée à destination d’individus intéressés par la conférence de l’OTAN consacrée à la cyber sécurité (Cycon US Cybersecurity Conference). Le document malveillant, qui reprend le flyer de la conférence officielle, contenait une macro VBA malveillante, qui, si elle était exécutée par la victime, libérait une nouvelle variante du malware Seduploader, un malware utilisé par le groupe pour effectuer ses campagnes de reconnaissance. Des indicateurs de compromission ont été publiés.

En savoir plus

 

Ecosystème Régional

Ecosystème moyen-oriental

Le groupe de pirates iraniens Greenbug vise le secteur technologique israélien 

Le 15 octobre, le trojan ISMdoor, en provenance d’Irak, a été soumis au site d’analyse de malware VirusTotal. L’analyse a révélé deux noms de domaines associés aux attaques de ce trojan. L’enregistrement des DNS a été effectué par le groupe de pirates iraniens Greenbug. Les DNS déposés sont tous en relation avec les industries high-tech et de cyber-sécurité israéliennes, ainsi qu’avec une compagnie saoudienne d’équipements électriques. Les attaques ciblent essentiellement les entreprises liées aux DNS enregistrés par le groupe de pirates iraniens. 

En savoir plus

Ecosystème chinois

Une carte bancaire à puce pourrait conduire au numéro de carte d’identité de son propriétaire

Dans un billet publié le 21 octobre 2017 sur le site chinois d’actualités informatiques Freebuf, un internaute dont le pseudonyme est « mulangaofeng » explique qu’il est possible de dérober le numéro de carte d’identité d’une personne à partir de sa carte bancaire. La technique s’applique uniquement aux cartes EMV (cartes à puce et non à bande magnétique) et d’après l’auteur, elle est relativement complexe et ne s’applique pas à toutes les banques (les photos de la démonstration montrent une carte bancaire China Construction Bank). Elle est réalisée à l’aide d’un terminal de point de vente (POS) et d’un téléphone portable Android sur lequel est utilisé de manière détournée le kit de développement logiciel d’un fabricant de puces Bluetooth, ainsi qu’une application chinoise nommée « Blue Tooth MPOS ». 

En savoir plus

Individus et Groupes

« The Dark Overlord » cible les célébrités

Le 24 octobre, la célèbre clinique de chirurgie esthétique londonienne London Plastic Surgery & Aesthetic Centre (LBPS) a déclaré avoir été victime de piratage. Après s’être attaqué aux écoles américaines le mois dernier, le groupe Dark Overlord diversifie à nouveau ses activités. Le Groupe aurait accédé au réseau interne de la clinique et y aurait dérobé des photos ainsi que des données sensibles concernant des célébrités dont des membres de la famille royale britannique. A ce stade, la clinique remet à niveau la sécurité de son système informatique.

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !