La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Campagne de spam : le ransomware Scarab distribué
  • La Corée du Sud et l’industrie du jeu vidéo, cibles du malware UBoatRAT
  • Compte AWS mal configuré : fuite de données confidentielles du département de la Défense américain
  • Malware bancaire : une nouvelle version d’Ursnif fait son apparition
  • Transport : le leader de la navigation maritime Clarkson victime d’un piratage
  • Sécurité Android : le spyware Tizi s’attaque aux utilisateurs africains
  • Faille de sécurité : un bug dans macOS
  • Botnet mirai : le retour ?
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur les groupes « APT3« 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Menaces Sectorielles

Multisectorielle

Le ransomware Scarab à l’origine d’une campagne de spam massive
Un nouveau ransomware, appelé Scarab et mis en place par le très connu botnet Necurs, a été découvert en juin dernier. Ce ransomware serait à l’origine d’une vaste campagne de spam, totalisant environ 12,5 millions d’emails envoyés en quelques heures, le 23 novembre dernier. Selon les informations disponibles, la majeure partie du trafic aurait été envoyée au domaine de premier niveau « .com », suivi de près par les domaines spécifiques du Royaume-Uni, de l’Australie, de la France et de l’Allemagne. Les emails utilisés avaient pour objet « Scanned from {printer compagny name} », objet déjà utilisé par le précédent ransomware Locky, et incluant des pièces jointes 7zip malveillantes faisant pour la plupart référence à la série télévisée Game of Thrones. Les domaines de téléchargement utilisés pendant cette campagne étaient des sites déjà compromis et répertoriés dans les bases de données de Necurs. Nous ne disposons pas de suffisamment d’éléments à date, permettant d’affirmer ou non s’il s’agit d’une campagne temporaire ou si Scarab peut être amené à prendre de l’importance grâce à Necurs.
En savoir plusUne nouvelle campagne d’attaques menée avec le malware UBoatRAT
Palo Alto a identifié une campagne d’attaques menée avec un Remote Access Trojan, baptisé UBoatRAT, et qui avait été détecté en mai 2017. D’après la société de cyber sécurité, les attaques auraient été lancées contre des individus appartenant au monde de l’industrie du jeu vidéo, ou localisés en Corée du Sud. Le malware aurait été distribué via Google Drive, et le serveur de commande et contrôle (C&C) des attaquants serait hébergé au sein d’un répertoire Github. La charge malveillante gagnerait en persistance sur la machine ciblée en exploitant la fonctionnalité Windows « Background Intelligent Transfer Service », utilisée pour transférer des fichiers entre des machines. Une liste d’indicateurs de compromission a été publiée.
En savoir plus

Défense

Des données classifiées de l’armée américaine exposées : un compte AWS en cause
La société de cybersécurité Upguard a révélé le 28 novembre dernier que des informations classifiées appartenant à la United States Army Intelligence and Security Command auraient été laissées en libre accès sur un serveur Amazon AWS pendant plusieurs semaines. Upguard aurait détecté le serveur AWS le 27 septembre dernier. Au total, plusieurs téraoctets de données classifiées « Top Secret » ou labellisées « NOFORN » (attribution supplémentaire empêchant tout ressortissant étranger d’avoir accès à ce type de documents) auraient ainsi été accessibles sur le Web. Parmi ces éléments, un espace de stockage virtuel utilisé par le département de la Défense américain pour échanger des données confidentielles à distance. D’après Upguard, l’exposition serait liée à une mauvaise configuration du serveur AWS de la part du service IT du département de la Défense.
En savoir plus

Finance

La version 3 du malware bancaire Ursnif cible des utilisateurs australiens
Les chercheurs en sécurité d’IBM ont détecté une nouvelle version « V3 » du trojan bancaire Ursnif. Leurs découvertes indiquent que le malware aurait subi des phases de test dès août 2017 afin de le faire évoluer et de permettre aux attaquants de renforcer leurs attaques par injection de code et de cibler des utilisateurs australiens. IBM estime qu’un nouveau groupe jusque-là inconnu serait à l’origine de cette nouvelle version et de ces récentes attaques ciblées sur des utilisateurs du secteur de la finance australienne. Le groupe s’attaquerait en priorité à de petits établissements financiers et de crédit australiens afin d’éviter les détections.
En savoir plus

Transports

Clarkson, leader de la navigation maritime, révèle avoir été piraté
La compagnie a confirmé dans un communiqué qu’elle avait fait l’objet d’un « incident de cybersécurité impliquant un accès non autorisé à ses systèmes informatiques », via un compte utilisateur unique et isolé, désactivé depuis, et non par l’exploitation d’une vulnérabilité de l’un des logiciels du Groupe. La société affirme toutefois ne pas avoir cédé à la demande de rançon des attaquants. Clarkson a également précisé que toutes les mesures nécessaires auraient été prises afin qu’un tel incident ne se reproduise pas et a présenté ses excuses à l’ensemble de ses clients et actionnaires. Une enquête est par ailleurs en cours pour déterminer la ou les personnes à l’origine de cette attaque.
En savoir plus

Restauration 

Le site Bulletproof 360 victime d’un piratage et d’une fuite de données bancaires et personnelles
Le site de vente en ligne de café et de thé Bulletproof 360 aurait été infecté par un malware qui aurait collecté les données financières et personnelles de ses clients. La société a révélé avoir subi une attaque de longue durée, qui aurait débuté la 20 mai et qui aurait été détectée le 19 octobre dernier. Les données dérobées concernent notamment les numéros de cartes bancaires, leurs dates d’expiration et les crytpogrammes visuels (CVV) de même que les noms, adresses postales et adresses email de ses clients. Bulletproof 360 affirme que tout aurait été mis en œuvre pour améliorer le système de sécurité du site afin qu’une telle cyberattaque ne se reproduise pas.
En savoir plus

Numérique

Le spyware Tizi vise les utilisateurs d’Android en Afrique
L’équipe de sécurité de Google a découvert en septembre une nouvelle souche de malware Android, baptisé Tizi. Il s’agit d’un d’un spyware (logiciel espion) capable de rooter les appareils Android en exploitant d’anciennes failles. Le spyware serait dissimulé au sein d’applications disponibles sur Google Play Store depuis 2015 et aurait été utilisé pour cibler des appareils localisés majoritairement en Afrique : environ 1 300 appareils Android auraient été infectés. Les pirates auraient utilisé Tizi pour collecter des informations à partir d’applications de réseaux sociaux (Facebook, Twitter, WhatsApp, Skype, Viber, Telegram et LinkedIn). Une fois le spyware installé, les pirates seraient capables d’enregistrer les appels émis depuis WhatsApp, Viber et Skype, de consulter l’historique des messages SMS, d’accéder aux événements du calendrier, au journal des appels, aux contacts, aux photos, aux clés de chiffrement Wi-Fi et à la liste de toutes les applications installées. Les failles permettant l’installation du spyware ont été corrigées en avril 2016. Google a annoncé avoir supprimé toutes les applications infectées par Tizi.
En savoir plus

Une faille de sécurité menace les utilisateurs de macOS
Le chercheur turc en sécurité informatique Lemi Orhan Ergin a détecté le 28 novembre dernier une importante faille de sécurité affectant les ordinateurs macOS High Sierra (versions 10.13.1 et la bêta 10.13.2). Selon le chercheur, il est possible d’obtenir un accès administrateur sans mot de passe, une personne ayant un accès physique à un ordinateur Mac peut prendre son contrôle, changer les mots de passe, et accéder aux sessions. Il suffit de rentrer le nom d’utilisateur : « root » et de ne rien mettre dans le champ de « mot de passe » dans l’écran de connexion ou lorsque le système d’exploitation demande des identifiants, et de répéter cette manipulation plusieurs fois. Apple a réagi et a corrigé la faille en déployant une mise-à-jour de son système d’exploitation.
En savoir plus

IoT

Le botnet Mirai serait de retour 
Li Fengpei, chercheur en sécurité chez Netlab a détecté le 22 novembre dernier un nouveau réseau botnet associé à une nouvelle variante du logiciel malveillant Mirai. Le chercheur aurait constaté une montée du trafic de scans des ports 23 (protocole Telnet) et 2323 (port alternatif pour Telnet, souvent utilisé dans l’IoT) à partir de près de 100 000 adresses IP depuis le 22 novembre dernier. Les pirates seraient passés par des tentatives de connexions aux interfaces de contrôle des objets. Deux identifiants auraient été utilisés : admin/CentryL1nk et admin/QwestM0dem. Le premier est connu pour être un mot de passe par défaut des modems Zyxel PK5001Z. La plupart des appareils infectés proviennent d’Argentine, et plus précisément du réseau de l’ISP Telefonica de l’Argentine. Les chercheurs de Netlab affirment qu’il s’agit bien d’une variante de Mirai, notamment avec la publication du code de malware fin octobre.
En savoir plus

Ecosystème Régional

Ecosystème chinois

Un malware caché dans les logiciels pour activer frauduleusement Windows
Un malware surnommé Hao Yangmao (littéralement « Tondre la laine d’un mouton ») se propage actuellement massivement via des outils pour activer des versions piratées de Windows. D’après la société de sécurité informatique chinoise Jinshan Duba Security, Hao Yangmao infecterait en moyenne plus de dix mille nouveaux systèmes par jour. Il agit comme un browser hijacker (logiciel malveillant capable de modifier certaines options du navigateur à l’insu de l’utilisateur) et génère du trafic publicitaire sur des sites d’e-commerce et des plateformes vidéos. Il est notamment capable de lancer la diffusion sur les principaux sites chinois d’hébergement de vidéos (Youku, Sohu ou encore iQiyi) dans des fenêtres invisibles, en coupant également le volume pour que les publicités ne soient pas repérées par l’utilisateur.
Source

Individus & Groupes

« APT3 »

Les autorités américaines ont accusé trois pirates informatiques chinois d’avoir mené des attaques contre trois entreprises : Siemens, Trimble et Moody’s. En janvier 2016, l’un des trois pirates chinois aurait accédé au réseau de la société Trimble afin de dérober des documents internes incluant des secrets commerciaux. Au total, c’est 275 mégaoctets de données qui auraient ainsi été collectés. En 2015, l’un des accusés aurait accédé au réseau des départements énergie, technologie et transports de Siemens : 407 gigaoctets de données internes auraient été volés. Enfin en 2013 et 2014, l’un des pirates chinois aurait accédé au compte de messagerie d’un cadre haut placé de l’agence Moody’s.
Ces trois pirates travailleraient pour la société « Guangzhou Boyu Information Technology Company Limited » qui serait liée au groupe de cyber espionnage APT3 selon plusieurs rapports (voir également Threat Landscape du 23 mai 2017).

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !