La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Des entreprises japonaises victimes de cyberattaques ciblées
  • Campagne de ransomware : SAGE distribué dans plusieurs pays
  • Smart home : une vulnérabilité menace la vie privée des utilisateurs
  • Le secteur financier menacé par le trojan Silence
  • 46 millions de données personnelles fuitent en Malaisie
  • Sécurité Android : des mineurs de cryptomonnaie disponibles sur le store Google Play, retour du malware Ramnit
  • Update : des vulnérabilités visibles sur Shodan pour créer des bots IoTroop
  • Des informations sur des menaces informatiques provenant de nos sources chinoises et arabes
  • Focus sur les groupes « Gaza Cybergang » et « Leviathan« 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

 

Menaces Sectorielles

Multisectorielle

Des cyberattaques ciblées menées contre des entreprises japonaises

La société de cybersécurité Cybereason a détecté un nouveau ransomware/wiper baptisé MBR-ONI qui aurait été utilisé au cours de campagnes d’attaques ciblées contre des entreprises japonaises. Cybereason n’a pas donné plus de détails quant aux entreprises visées mais a en revanche précisé qu’il s’agirait de vastes campagnes de piratage, planifiées sur des durées de trois à neuf mois. Cybereason estime que le point commun des attaques serait l’utilisation du ransomware MBR-ONI en tant que wiper (malware visant à supprimer des fichiers) à chaque fin d’opération : il se pourrait que les acteurs à l’origine des attaques aient supprimé les fichiers compromis afin d’effacer les traces de leurs opérations.
En savoir plus

Une campagne de spam distribue le ransomware SAGE dans plusieurs pays

Considéré comme une variante du ransowmare CryLocker, SAGE avait été détecté en décembre 2016. Fortinet vient de publier une analyse de la dernière version 2.2 de ce ransomware qui existe depuis février 2017. Les attaquants auraient ajouté dans leur code malveillant des éléments permettant de gagner plus facilement en privilèges sur la machine de la victime tout en gagnant en furtivité pour éviter les outils d’analyse malware. D’après Fortinet, le ransomware serait distribué via des pièces jointes malveillantes dans plusieurs pays car la note de rançon existerait en dix-huit langues différentes (six nouvelles langues : norvégien, malais, vietnamien, indonésien et hindi)  auraient été ajoutées.
En savoir plus

Domotique

Une vulnérabilité découverte dans des dispositifs pour smart home

La société Check Point aurait identifié une vulnérabilité baptisée HomeHack dans des dispositifs pour smart home de la marque LG. La vulnérabilité affecterait le processus de connexion au compte de l’application LG SmartThinQ. Cette dernière permet aux utilisateurs de garder le contrôle et de surveiller l’activité des objets connectés de la maison n’importe où et n’importe quand. Si la vulnérabilité est exploitée par un attaquant, elle pourrait lui permettre d’espionner la maison et ses habitants à leur insu à partir du robot-aspirateur connecté LG, lequel dispose d’une caméra. Elle pourrait également permettre aux attaquants de prendre le contrôle sur d’autres objets connectés tels que le lave-vaisselle, la machine à laver ou l’air conditionnée. LG aurait été avertie de l’existence de la faille le 31 juillet dernier et un correctif aurait été appliqué au mois de septembre.
En savoir plus

Finance

Silence, le nouveau trojan qui s’attaque au secteur de la finance

Kaspersky a indiqué ce 1er novembre, avoir découvert au mois de septembre 2017, une série d’attaques ciblées visant des institutions financières principalement localisées en Russie, mais également en Malaisie et en Arménie. Le trojan qui aurait été déployé lors des attaques a été surnommé Silence. Il serait capable de réaliser des captures d’écran de l’ordinateur de sa victime à des intervalles de temps réguliers et rapprochés, permettant ainsi aux attaquants de bénéficier d’un streaming, quasiment en temps réel des activités bureautiques de l’employé. Les attaquants pourraient alors obtenir des informations sensibles sur le système d’information de la banque ciblée. Aucune mention n’a été faite des banques visées.
En savoir plus

Télécommunications

Malaisie : une attaque de 2014 expose plus de 46 millions de données personnelles 

Le 19 octobre, le site lowyat.net dédié à l’actualité technologique en Malaisie, révélait qu’entre mai et juillet 2014, des pirates auraient pénétré des serveurs du gouvernement malaisien, d’opérateurs de télécommunications et d’organismes médicaux locaux. Plus de 46,2 millions de données liées aux comptes téléphoniques d’utilisateurs et 800 000 données de dossiers médicaux auraient été récupérées par les attaquants, qui auraient essayé de revendre ces informations. D’après le site lawyat.net, aucune mesure n’aurait été à ce stade mise en place pour protéger les données des individus impactés par la fuite.
En savoir plus

Numérique

Des cryptomineurs disponibles sur le store Google Play  

Le 30 octobre, les chercheurs de TrendMicro ont détecté deux malwares présents dans des applications disponibles sur le store Google Play. Le premier malware, ANDROIDOS_JSMINER, intégrerait la bibliothèque Javascript Coinhive au code Java de deux applications servant initialement à prier le rosaire et à obtenir des réductions. Une fois exécutées, ces applications lanceraient Coinhive, utilisé pour miner de la cryptomonnaie à l’insu de l’utilisateur. Le second malware, ANDROIDOS_CPUMINER, s’introduirait dans des version légitimes d’applications officielles du store Google Play, qui sont alors remises sur le store malgré la présence du code malveillant. Ce second malware permettrait de miner plusieurs types de cryptomonnaies mais TrendMicro a indiqué ne pas connaître le montant exact que les escrocs ont pu générer avec cette technique.
En savoir plus

Le retour du malware Ramnit

Les experts de Symantec ont publié le 27 octobre dernier une analyse sur le retour du malware Ramnit. L’efficacité du malware (qui infecte les fichiers .exe, .dll et .html) a été limitée en 2015 après l’intervention d’Europol qui a saisi les serveurs de botnets distribuant Ramnit. Cependant les analystes ont identifié des applications du store Google Play contenant le malware. En effet, le problème serait lié aux développeurs qui conçoivent des applications Android sur des ordinateurs Windows infectés et qui ajoutent donc à leur insu, des fichiers html infectés à leurs applications. Les applications infectées, 92 au total auraient été téléchargées 250.000 fois. Certaines des applications infectées identifiées par Symantec auraient été depuis supprimées du store Google Play.
En savoir plus

Des vulnérabilités visibles sur Shodan exploitées pour créer des bots IoTroop

La société NewSky Security a publié sur son blog une analyse pour montrer comment une simple vulnérabilité visible sur Shodan a pu conduire certains systèmes à devenir des bots pour IoTroop. L’auteur a investigué sur un fil de discussion sur un forum malveillant pour montrer comment celui-ci rend la vulnérabilité facilement exploitable par des novices. Dans le cas étudié, le vendeur propose un script permettant de récupérer une liste de serveurs vulnérables à CVE-2017-8225 (souvent présente sur des serveurs intégrés GoAhead utilisés pour des caméras) grâce à une requête Shodan Premium. Le second script explique comment exploiter la vulnérabilité pour récupérer des identifiants et mots de passe des équipements correspondant à ces IP.
En savoir plus

Politique

L’Iran pointé du doigt dans une attaque contre le Gouvernement britannique

Le 23 juin 2017, une attaque massive a visé plus de 9 000 comptes du Gouvernement britannique, dont ceux du Cabinet de la Premier Ministre Theresa May et d’autres Cabinets ministériels. A ce stade, seuls 90 comptes ont été réellement compromis. Les premières conclusions des investigations pointaient du doigt des pirates amateurs. Finalement, l’Iran serait l’auteur de l’attaque. Pour certains spécialistes de la cybercriminalité, les Iraniens auraient agi uniquement dans le but de tester leurs capacités et non pour cibler une organisation spécifique. Ils rappellent également que les attaques de groupe de pirates iraniens sont de plus en plus agressives mais manquent souvent de technique.

En savoir plus

Ecosystème régional

Ecosystème moyen-oriental

Un groupe de pirates turcs attaque des sites de médias israéliens 

Le groupe de pirates turcs, connu sous le nom de « Cyber-Warrior Akincila », a piraté jeudi 2 novembre, le site Web de l’agence de presse Time Of Israel. Le groupe turc a publié une photo du drapeau turc ainsi qu’un message de soutien à Gaza sur le site piraté. L’agence médiatique Time Of Israel a publié via Twitter un message confirmant le piratage. « Cyber-Warrior Akincila » serait responsable de nombreux piratages et d’attaques DDoS à travers le monde. Les sites israéliens ont souvent été leurs cibles dans le passé.
Source

Ecosystème chinois

Compromission d’une application destinée aux universités chinoises

D’après des experts de Huorong Security, des pirates s’en sont pris à « Tianyi Campus », une application de China Telecom conçue spécialement pour la gestion des réseaux internet des établissements scolaires et universitaires. Ils ont injecté une backdoor dans le client « Tianyi Campus » à télécharger par les utilisateurs, qui leur permettait de prendre le contrôle du périphérique de la victime. Une fois compromis, le système était utilisé pour générer du trafic publicitaire et pour miner la monnaie virtuelle Monero. D’après les chercheurs, la charge malveillante était en place sur « Tianyi Campus » depuis au moins deux ans.
Source

 Individus et Groupes

« Gaza Cybergang Team » 

Les experts de Kaspersky Lab ont remarqué des modifications majeures dans les opérations du groupe « Gaza Cybergang Team », qui cible notamment les entreprises et administrations au Moyen-Orient et en Afrique du Nord. Dans un article publié le 30 octobre dernier, les analystes de Kaspersky Lab ont remarqué le renforcement de l’arsenal du groupe de pirates en 2017 ainsi que l’utilisation de nouveaux outils malveillants. Le groupe a développé des documents de spear-phishing liés à l’actualité géopolitique et servant à transmettre des malwares aux cibles afin d’exploiter une vulnérabilité relativement récente, avec des pièces jointes contenant divers RAT (Remote Access Trojan) dans de faux documents Office ou encore des liens vers une page infectée. Si elle clique sur la pièce jointe ou l’URL, la victime est contaminée par un malware qui permet ensuite aux pirates de récupérer des fichiers, des frappes clavier et des captures d’écran. Kaspersky Lab a également détecté l’utilisation de malware mobile par le groupe, notamment d’un cheval de Troie pour Android. Cette montée en puissance des techniques d’attaque a permis au groupe de pirates palestinien de contourner les solutions de sécurité et de manipuler le système des victimes pendant un temps prolongé.

En savoir plus

« Leviathan »

Les analystes de Proofpoint ont publié un rapport sur le groupe « Leviathan ». Celui-ci cible des acteurs du secteur de la défense (entreprises et universités) et des organisations gouvernementales aux Etats-Unis, en Europe de l’ouest et dans la mer de Chine méridionale. L’industrie navale, et en particulier la construction, sont particulièrement visées.  La charge malveillante est distribuée via des emails contenant des pièces jointes ou des URLs redirigeant vers des sites usurpant des noms de domaine légitimes. Le groupe se déploie par « rebonds latéraux » : il exploite souvent les accès et privilèges obtenus auprès d’une cible pour mieux attaquer la suivante.

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !