La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Spambot : 711 millions d’adresses email compromises  
  • Le Cambdoge, victime d’une campagne de phishing ciblé 
  • WireX, un botnet qui aurait infecté jusqu’à 120 000 appareils Android
  • Defray, le nouveau ransomware qui touche plusieurs secteurs
  • Zazzle, victime d’une attaque brute-force 
  • Cex et Loopia victimes d’une fuite de données massive
  • Un Parlement régional allemand victime d’une cyberattaque
  • MoqHao, un trojan bancaire actif en Corée du Sud
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises
  • Focus sur le groupe « Turla » 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

 

Menaces Sectorielles

Numérique

711 millions d’adresses email compromises par un spambot

Troy Hunt et Benkow, deux chercheurs en sécurité informatique, ont découvert un serveur Web stockant des fichiers contenant 711 millions d’adresses email (certaines associées à des mots de passe ou des identifiants de serveurs de messagerie SMTP) utilisées par un spambot baptisé « Onliner ». Le serveur Web en question renverrait vers une adresse IP localisée aux Pays-Bas. D’après Troy Hunt, seulement 27% des 711 millions d’entrées de cette nouvelle base figuraient dans sa base de données « Have I Been Pwned » (laquelle contient environ 4,7 milliards de comptes compromis et recense 231 fuites de données). Cela signifie que la majorité de ces adresses email ne figuraient dans aucune base de données fuitées connues.  De son côté, Benkow a indiqué que le spambot « Onliner » aurait pu être utilisé pour distribuer le malware bancaire Ursnif.

En savoir plus 

 

Des acteurs malveillants visent le Cambdoge avec l’outil d’administration à distance KHRAT

Palo Alto a détecté une campagne distribuant le malware KHRAT qui aurait visé le Cambodge cet été 2017. Les acteurs malveillants à l’origine de cette attaque auraient distribué leur malware via une technique de spear-phishing avec un document Word malveillant reprenant pour thème un projet de gestion intégrée des ressources en eau au Cambodge. Une fois la victime infectée, le malware est capable d’accéder au système, de prendre des captures d’écran ou d’enregistrer les frappes de touche clavier. Le groupe, non cité serait de plus en plus expérimenté.

En savoir plus

 

Des spécialistes en sécurité s’unissent pour détruire le botnet WireX

Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru et d’autres, ont collaboré pour combattre WireX, un botnet qui cible les réseaux de distribution de contenu (CDN) et les fournisseurs de contenu. WireX se compose principalement de terminaux Android exécutant des applications malveillantes (Player média, stockage de fichier, téléchargement de sonneries, etc.) afin de lancer des attaque DDoS Le botnet est d’abord apparu le 2 août, mais il a été considéré comme mineur à ses débuts. En quelques semaines, il a impliqué jusqu’à 120 000 adresses IP et a généré des volumes de sollicitations pouvant atteindre 20 000 requêtes HTTP à la seconde sur les sites Web cibles, provoquant ainsi une saturation des serveurs. Google annonce avoir identifié environ 300 applications associées à WireX. Ces applications ont été bloquées dans le Google Play Store et seront supprimées de tous les terminaux infectés.

En savoir plus

Multisectorielle

Les secteurs de l’industrie, des technologies de l’éducation et de la santé frappés par le ransomware Defray

Proofpoint vient de détecter un nouveau ransomware baptisé Defray, qui aurait été utilisé lors de deux attaques : l’une le 15 août dernier à l’encontre des secteurs de l’industrie et des technologies ; la seconde le 22 août, ciblant les domaines de la santé et de l’éducation. Defray aurait été distribué via une campagne de phishing distribuant des documents Word contenant un exécutable permettant le téléchargement de la charge malveillante. Les cibles de ce ransomware qui exige 5 000 dollars de rançon en cas d’infection seraient principalement localisées aux Etats-Unis et en Grande-Bretagne.

En savoir plus

 

Brute-force sur des centaines de comptes clients Zazzle

Des centaines de comptes clients de Zazzle, un site d’e-commerce américain spécialisé dans les produits de prêt-à-porter et décorations personnalisées, sont susceptibles d’avoir été compromis par des pirates. D’après un email envoyé aux utilisateurs, le site aurait en effet été victime d’une attaque en juin, durant laquelle des personnes malveillantes auraient essayé de se connecter en utilisant des techniques de brute-force avec des couples identifiant et mot passe issus d’une fuite sur un autre site, qui n’est pas nommé. Dans ce même message, Zazzle a invité ses clients à reconfirmer leur adresse email et à modifier leur mot de passe.

En savoir plus

 

Piratage de Cex : deux millions de comptes clients exposés

La société britannique Cex, spécialisée dans la vente de jeux vidéo a annoncé la semaine dernière via son site avoir été victime d’une intrusion. Les données de près de deux millions de clients auraient été compromises, les données dérobées incluaient les noms, adresses email, adresses postales, numéros de téléphone et un nombre limité de cartes bancaires. Cex a affirmé que toutes les informations bancaires en question concernent des cartes ayant expiré, et avoir cessé de stocker les données financières depuis 2009. La société a conseillé à ses clients de modifier leurs mots de passe et a engagé des spécialistes de cyber-sécurité afin d’examiner son système.

En savoir plus

 

Loopia, l’hébergeur Web suédois, victime d’une fuite de données

Loopia, le principal hébergeur Web en Suède, a annoncé le mardi 29 août qu’il a été victime d’une intrusion. L’hébergeur a demandé aux clients de changer leurs mots de passe, 100 000 clients seraient concernés par cette fuite. Une source de Loopia précise que les pirates n’ont pas eu un accès aux données financières et que les sites hébergés ainsi que les services de courrier électronique n’ont pas été compromis.

En savoir plus

 

Bancaire

MoqHao, un trojan bancaire qui cible les sud-coréens.

Les chercheurs de McAfee ont repéré un nouveau trojan baptisé MoqHao, ciblant les utilisateurs Android sud-coréens via des SMS de phishing. Ces SMS tentent d’inciter les utilisateurs à exécuter le logiciel malveillant via un lien raccourci en prétendant être une photo privée ou une mise à jour Google Chrome. Une fois l’appareil Android compromis, le trojan tente de se propager en envoyant des messages SMS aux contacts des victimes et peut exécuter des commandes envoyées par le serveur de commande et de contrôle (C&C), et ainsi recueillir des informations sensibles à l’aide d’un site de phishing imitant des services Google. MoqHao vérifie si les périphériques infectés ont installé les principales applications bancaires coréennes et télécharge des fausses versions vérolées de ces applications. Ensuite, il avertit la victime qu’une mise à jour est disponible pour l’application ciblée. Une fois que la victime approuve la mise à jour, l’application malveillante remplace la version légitime. Le trojan bancaire MoqHao a été identifié pour la première fois en janvier, mais il s’agissait simplement d’une version de test qui a été mise à jour par la suite pour arriver à une version stable en mai. Les experts ont lié MoqHao à une compagne de piratage qui a ciblé les utilisateurs sud-coréens en 2015.

En savoir plus

 

Politique

La sphère politique allemande est à nouveau la cible des pirates

Après le parlement écossais, c’est un parlement régional allemand, celui du länder de Saxe-Anhalt, qui est victime d’une cyberattaque. Peu de détails sont connus sur celle-ci, mais il s’agirait des prémices d’un ransomware, déclenché par l’ouverture d’un email frauduleux par un employé le mercredi 30 août 2017. Les députés et employés ont reçu la consigne de déconnecter leur ordinateurs et téléphones portables pour éviter la propagation du malware. Les motivations des attaquants ne sont pas connues à ce jour, mais cette attaque fait suite à une série d’offensives contre le Bundestag (l’assemblée parlementaire fédérale) en 2015 et début 2017.

En savoir plus

 

Ecosystème Régional

Ecosystème moyen-oriental

Cinq personnes potentiellement liés au piratage de l’agence de presse qatari arrêtées

Le procureur qatari a annoncé samedi 26 août que la Turquie avait arrêté cinq personnes en relation avec le piratage de l’agence de presse qatari (QNA), un acte à l’origine d’une importante crise au Golf. D’après l’enquête, des iPhones localisés aux Émirats arabes unis auraient été utilisés dans le piratage. Selon The Post, des agents de renseignement américains ont démontré que de hauts fonctionnaires du gouvernement des Émirats arabes unis avaient discuté de l’attaque le 23 mai, la veille du piratage de la QNA.

Source

Ecosystème chinois

Une application chinoise pour créer facilement des malwares

Dinesh Venkatesan, un chercheur chez Symantec, a détecté une application Android, gratuitement disponible sur des forums malveillants et réseaux sociaux chinois, qui inclut un kit de développement de Trojan (TKD). Elle permet à des novices ne sachant pas coder de générer facilement un malware. Après avoir payé une cotisation au développeur, l’utilisateur peut personnaliser des éléments tels que le message et l’animation s’affichant sur le périphérique infecté ainsi que la clé pour débloquer celui-ci, ou encore l’icône à utiliser par le malware.

Source

Individus et Groupes

« Turla »

La société ESET vient de publier une analyse détaillée concernant une backdoor restée jusque-là inconnue qui aurait été utilisée par le groupe Turla, soupçonné d’être russophone et de mener des campagnes de cyber espionnages depuis au moins 2007. La backdoor en question, baptisée Gazer aurait été employée par le groupe depuis 2016 pour espionner des ambassades et des consulats localisés au sud-est de l’Europe et dans les états anciennement soviétiques. Plusieurs indicateurs de compromission ont été publiés.

En savoir plus

 

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !