La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Des serveurs etcd exposés occasionnent d’importantes fuites de données
  • Le malware Panda Banker s’attaque à des institutions financières japonaises, retour sur cette campagne
  • Une attaque par point d’eau fait une victime : une société hongkongaise de télécommunications
  • Les villes d’Atlanta et de Baltimore visées par des cyberattaques d’envergure.
  • WannaCry continue de faire des victimes : une usine de production Boeing frappée par le malware
  • Des agences gouvernementales victimes du malware SANNY
  • Nouvelle fuite de données massive : 150 millions d’utilisateurs de l’application MyFitnessPal touchés
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur l’arrestation du leader présumé du groupe de pirates « Carbanak »

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

 

Menaces Sectorielles

Multisectorielle

De nombreux serveurs etcd exposés, occasionnant des fuites de données massives
Des milliers de serveurs appartenant à des entreprises privées et des organisations auraient fait fuiter des informations d’identification et des données potentiellement sensibles. Selon le chercheur Giovanni Collazo, près de 2 300 serveurs exposeraient leur base de données etcd et seraient visibles depuis le moteur de recherche Shodan. Ces serveurs sont généralement utilisés pour stocker des mots de passe et des paramètres de configuration de nombreuses bases de données et applications. En effet, le service etcd propose une interface de programmation pouvant être interrogée pour récolter ses informations et ne nécessite pas d’authentification par défaut. Selon l’expert, ce sont plusieurs milliers de mots de passes qui seraient exposées.

Finance

Des institutions financières japonaises ciblées par le malware bancaire Panda Banker
Une nouvelle variante (2.6.6) du malware bancaire Panda Banker aurait été observée par la société Arbor Network au cours d’une campagne d’attaques menée autour du 26 mars. D’après les informations fournies par le serveur de commande et contrôle (C&C), le malware aurait été utilisé principalement pour viser des institutions financières japonaises (non citées). Le mode opératoire du groupe (non identifié) à l’origine de cette campagne s’appuierait sur une campagne de malvertising qui redirigerait la victime vers l’exploit kit RIG lequel permettrait de déployer le malware Panda Banker sur la machine de la victime.
En savoir plus

Télécommunications

Une société hongkongaise de télécommunication victime d’une attaque par point d’eau
La société de cyber sécurité Morphisec a annoncé le 23 mars dernier avoir détecté une attaque par point d’eau (watering hole attack) visant le site Web d’une société hongkongaise de télécommunications non citée. Ces attaques par point d’eau ont pour objectif de piéger un site Web susceptible d’être visité par la cible. D’après Morphisec, le mode opératoire des attaques serait caractéristique d’une menace de type APT (Advanced Persistent Threat) : les pirates auraient compromis le site Web en y incorporant un fichier Adobe Flash malveillant qui exploiterait la vulnérabilité Flash labelliséeCVE-2018-4878. L’ensemble de l’attaque serait « fileless », c’est-à-dire sans fichier, le code malveillant s’exécutant directement dans la mémoire de la machine infectée. Le ou les acteur(s) à l’origine de cette attaque restent pour l’instant inconnu(s).
En savoir plus

Secteur public

La ville d’Atlanta victime d’une cyber attaque via ses ordinateurs
La capitale de l’état de Géorgie (Etats-Unis) aurait été victime d’une cyberattaque ciblée dite de « déni de service », par la biais de ses ordinateurs, rendant entre autre inaccessibles les services de paiements de factures en ligne, ou ne permettant plus d’accéder aux informations judiciaires. Les pirates auraient réclamé une rançon en bitcoin d’un montant de 51 000 dollars pour débloquer les informations chiffrées par le ransomware. Le logiciel utilisé pour répandre le malware dans les ordinateurs de la ville serait un logiciel piraté, développé par la NSA. Le groupe de pirate à l’origine de cette attaque serait les « Shadow Brokers », groupe connu pour avoir dévoilé en 2016 des outils d’espionnage d’un groupe de cyber-espionnage lié à la NSA. Le maire de la ville d’Atlanta aurait affirmé que la rançon n’avait pas été payée et que les autorités compétentes évaluaient la meilleure façon de récupérer les données.
En savoir plusPiratage du service d’urgence de Baltimore
Le 28 mars 2018 une cyberattaque aurait paralysé le système CAO (Conception Assistée par Ordinateur) du service des appels d’urgence de Baltimore pendant 17 heures. La CAO serait utilisée principalement pour effectuer le remplissage automatique des localisations des personnes appelant 911 et pour transmettre ces données aux intervenants d’urgence les plus proches. En raison du piratage du système CAO, les informations sur les appels entrants, n’auraient pas pu être relayés automatiquement et cette tâche aurait été effectué manuellement par le personnel d’assistance du centre d’appels. Le maire de la ville, Catherine Pugh, aurait affirmé qu’il s’agissait d’une attaque d’un ransomware, qui n’aurait pas affecté les serveurs critiques du service. Selon le porte-parole du maire, les auteurs de l’attaque resteraient inconnus.
En savoir plus

Aéronautique 

Retour du malware WannaCry : la société Boeing s’ajoute à la liste des victimes
D’après le Seattle Times, le constructeur aéronautique américain Boeing aurait été victime du malware WannaCry le 28 mars dernier. Une usine de production de Boeing 777 localisée à Charleston en Caroline du Sud aurait été la cible privilégiée de cette attaque. Toutefois, d’après l’équipe IT de la société américaine, seules quelques machines relevant de la division commerciale de l’usine auraient été impactées. Boeing a affirmé que ses services militaires auraient été épargnés par l’attaque. Pour rappel, en mai 2017 le ransomware WannaCry avait frappé massivement, exploitant le protocole d’échanges de fichiers standards SMB sur les machines Windows pour lesquelles le correctif MS17-010 n’a pas été encore appliqué.
En savoir plus

Politique

Des organisations gouvernementales victimes du malware SANNY 
Les chercheurs de FireEye ont publié le 23 mars dernier un bulletin technique détaillant une nouvelle campagne de phishing ciblant des agences gouvernementales avec une version améliorée du malware Sanny. Distribué via un document Word, Sanny utiliserait une copie de l’utilitaire certutil.exe afin d’éviter sa détection par les antivirus. Le fichier Word malveillant contiendrait une macro embarquée qui, lorsqu’elle est activée, déclencherait une chaîne d’infection qui aboutirait au déploiement du malware. Les chercheurs ont également précisé qu’en utilisant une attaque multi-étapes avec une architecture modulaire, les auteurs de Sanny rendraient difficile toute tentative de reverse engineering et éviteraient potentiellement les solutions de sécurité. Les documents Word utilisés au cours de cette campagne portaient des titres faisant référence à des thèmes géopolitiques : un document écrit en russe qui traiterait de la géopolitique eurasienne en rapport avec la Chine, le deuxième, écrit en anglais, traiterait des sanctions sur la Corée du Nord. FireEye a détécté Sanny en 2012, après avoir détecter une attaque qui semble viser des cibles russes.
En savoir plus

Bien-Être

Under Armor, victime d’un piratage qui a touché 150 millions d’utilisateurs
La marque de vêtements et chaussures de sport Under Armor a révélé jeudi dernier avoir subi une attaque qui aurait entraîné un vol de données de 150 millions d’utilisateurs depuis son application MyFitnessPal et son site Web. Les données potentiellement dérobées incluraient les noms des utilisateurs, les adresses emails, et les mots de passe hashés. Aucun numéro de carte bancaire n’aurait été dérobé selon la firme. L’entreprise explique avoir été mise au courant de cette faille la semaine dernière et collabore avec la police et plusieurs sociétés de sécurité informatique afin d’identifier les causes de ce piratage. MyFitnessPal dit n’avoir pour l’instant pas pu identifier les auteurs du piratage.
En savoir plus

Ecosystème Régional

Écosystème chinois

900 millions d’accès WIFI exposés
Des applications qui volent des identifiants de connexion WIFI : c’est ce qu’a dévoilé la chaîne de télévision CCTV-2 (aka « CCTV Economy ») à travers l’édition du 28 mars au soir de son émission « Half-Hour Economy ». Cette révélation concerne deux applications mobiles chinoises : WiFi Master Key (WIFI万能钥匙) et WiFiKey (WIFI钥匙). Celles-ci se présentent comme des logiciels permettant de se connecter gratuitement à des points d’accès ayant consenti à partager leurs identifiants… sauf qu’il n’y a en réalité aucun consentement. Les sociétés derrière ces applications utiliseraient les données récupérées sur les téléphones portables des utilisateurs pour alimenter leurs bases de données. D’après CCTV, WiFi Master Key et WiFiKey comptabiliseraient actuellement près de 900 millions de codes d’accès à travers le monde, y compris ceux d’institutions sensibles (ministère, banques, institutions clés, etc). Ces applications représentent une mine d’or pour les pirates, qui en plus de pouvoir utiliser ces applications, seraient en capacité de récupérer directement les identifiants (qui sont cachées pour l’utilisateur de base) grâce à un accès en mode ROOT sur un système ANDROID.
En savoir plus 

Individus & Groupes

Le leader du Groupe de pirate « Carbanak » arrêté en Espagne
La police espagnole aurait récemment arrêté un homme de nationalité ukrainienne et supposé être le cerveau de groupe de pirate « Carbanak » à Alicante, dans le sud de l’Espagne, selon une annonce faite par l’agence Europol. Pour rappel, le groupe « Carbanak », également connu sous l’appellation « Cobalt » serait à l’origine de nombreuses cyberattaques visant le secteur bancaires depuis 2013. Après avoir injecté des malwares dans des distributeurs automatiques de billets, par le biais de campagne de phishing auprès des employés d’établissements de transferts de fond, les distributeurs éjecterait des billets de banque à des heures précises, portant le préjudice financier à plus d’un milliard d’euros. Au total, ce sont plus d’une centaine de banques qui auraient été victimes de ces attaques, menées par le groupe qui disposeraient de nombreux individus dans une quarantaine de pays.
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !