La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • La banque américaine Frost Bank victime d’une fuite de données
  • 22 applications Android affectées par une variante du malware Fakebanq
  • Une usine pétrochimique saoudienne prise pour cible lors une cyberattaque
  • AMD affecté par de multiples vulnérabilités sur ses processeurs
  • Le site Orbitz piraté, des données personnelles dérobées
  • Campagne de spam massive ciblant des entreprises françaises
  • La Russie accusée d’attaques contre des infrastructures critiques américaines
  • Des informations sur des menaces informatiques provenant de nos sources arabes, russes et chinoises
  • Focus sur le groupe MuddyWater

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

 

Menaces Sectorielles

Finance

La banque américaine Frost Bank victime d’une fuite de données 
La banque américaine Frost Bank a récemment annoncé avoir été victime d’une fuite de données, au cours de laquelle auraient notamment été exposées des images de chèques bancaires. La filiale de Collen/Frost Bankers Inc., aurait détecté une intrusion non autorisée dans certains de ses systèmes. Les pirates auraient compromis un logiciel d’authentification tierce, afin d’accéder aux images des chèques stockés au sein de cette base de données. La banque assure que cette intrusion malveillante n’aurait pas endommagé les autres systèmes de Frost. Néanmoins, elle semble déplorer le fait  que les pirates puissent exploiter les images fuitées pour produire des chèques contrefaits. Enfin, la banque précise que ce logiciel d’authentification tierce n’était pas mis à la disposition de l’ensemble des clients de la banque, mais seulement d’un petit nombre, ce qui limiterait l’impact de cette fuite de données.
En savoir plusUne nouvelle variante du Malware Fakebanq détecté dans 22 applications Android
Les chercheurs de Symantec ont annoncé avoir  récemment découvert une nouvelle version du malware Fakebank. Ce malware serait désormais capable d’intercepter les appels des clients de banques et ainsi de dérober de l’argent sur leurs comptes bancaires. Une fois installé, Fakebank intercepterait les appels téléphoniques entre les victimes et leurs conseillers bancaires, et les transférerait vers les acteurs malveillants qui pourraient se servir des informations divulguées par les clients des banques. Cette nouvelle version de Fakebank afficherait un faux identifiant afin de faire croire que l’appel proviendrai réellement de la banque légitime. Les experts de Symantec ont détecté au moins 22 fausses applications mobiles, disponibles dans des stores alternatifs et sur les réseaux sociaux, qui visaient les clients des banques coréens.
En savoir plus

Industrie

Une cyberattaque visant une usine pétrochimique révélée
Des pirates informatiques auraient tenté de déclencher une explosion dans une usine pétrochimique d’Arabie Saoudite, en août dernier. Ils auraient toutefois échoué en raison d’une erreur dans le code informatique du logiciel créé par les attaquants, selon un article publié cette semaine dans le New York Times. Selon les experts, la cyberattaque aurait entraîné l’arrêt des systèmes informatiques de l’usine à défaut de son explosion. Ces derniers affirment également qu’une attaque de cette envergure aurait bénéficié de l’aide d’un gouvernement, sans toutefois citer un pays en particulier. Selon des experts en sécurité informatique, seuls la Chine, les Etats-Unis, l’Iran, Israël et la Russie auraient les capacités techniques pour mener une attaque informatique de cette ampleur. Il est également à noter que l’Arabie Saoudite aurait fait l’objet, en novembre dernier, d’une attaque informatique « avancée ».
En savoir plus

Informatique

Des nombreuses vulnérabilités détectées dans les processeurs d’AMD
Les chercheurs de la société CTS Labs auraient détecté treize vulnérabilités impactant les produits AMD, touchant les générations AMD EPYC (dernière famille de processeurs dédiés aux serveurs) et Ryzen (dernière famille de processeurs dédiés aux postes de travail). Cependant, au lieu de collaborer avec le fabricant de puces afin de développer des correctifs, CTS Labs aurait opposé un préavis de moins de 24 heures avant de diffuser publiquement l’information et publié un communiqué accusant AMD de minimiser les failles et de sous-estimer le délai de publication de correctifs. Malgré ce désaccord, AMD affirme être en mesure de proposer des patchs Windows et des mises à jour du BIOS (« système élémentaire d’entrée/sortie ») dans les prochaines semaines, n’impactant pas l’efficacité du matériel. La société AMD affirme en outre qu’il serait nécessaire de posséder un accès hautement privilégié sur le système concerné pour exploiter certaines failles, diminuant ainsi la problématique d’attaque.
En savoir plus

Voyage

Le comparateur de réservation Orbitz victime de piratage, près de 880 000 données personnelles et bancaires dérobées 
Le comparateur de tarifs de voyage « Orbitz », filiale d’Expedia, a récemment annoncé avoir découvert une intrusion dans l’un de ses anciens systèmes. Près de 880 000 données personnelles de clients ainsi que leurs détails bancaires, collectés entre le 1er janvier 2016 et le 22 décembre 2017, auraient ainsi été exposés. En outre, des informations liées aux achats effectués auraient également pu être dérobées durant la période d’exposition. Le groupe Orbitz travaillerait avec une entreprise de cybersécurité afin d’établir les faits mais assurerait d’ores et déjà que le serveur infecté ne faisait plus partie de son site web lors de l’incident.
En savoir plus 

Malware

Les entreprises françaises cibles d’une campagne massive de trojan bancaire
La société de cyber sécurité dédiée à la sécurisation des emails Vade Secure, a indiqué le 21 mars dernier, avoir détecté une campagne de spam massive à destination d’entreprises françaises dont les identités n’ont pas été révélées. A date de la publication de son article, Vade Secure précisait avoir bloqué plus de 145 000 emails se présentant « sous la forme d’une notification de facture du logiciel de gestion de comptabilité Intuit ». Pour récupérer la facture en question, la victime serait redirigée vers un domaine hébergé aux USA puis vers un fichier .zip qu’elle doit télécharger. Ce dernier contiendrait en réalité un exécutable qui correspondrait à un trojan bancaire (non cité). Vade Secure précise par ailleurs que la charge malveillante distribuée au cours de cette campagne serait actuellement peu détectée par les antivirus d’après une analyse réalisée avec le site Virus Total.
En savoir plus

Energie

Les infrastructures critiques américaines menacées par la Russie d’après le FBI et le DHS
Le 15 mars dernier, le FBI et le DHS (Department of Homeland Security) ont mis à jour leur alerte conjointe émise le 20 octobre 2017 concernant des attaques APT visant des entreprises stratégiques américaines des secteurs de l’énergie, du nucléaire, de l’eau et de l’aviation (cf. également Threat Landscape du 31 octobre 2017). Dans cette nouvelle alerte, les deux agences américaines affirment que les campagnes d’attaques seraient l’oeuvre d’un groupe de pirates russes surnommé Dragonfly et agissant pour le compte de son gouvernement. Pour rappel, les attaques enregistrées par les agences américaines auraient permis aux pirates de collecter des informations sur des systèmes de contrôle industriel dans le but éventuel de mener des actions de nuisance sur ces derniers.

Ecosystème Régional

Écosystème moyen-oriental

Les Etats-Unis accusent des iraniens de piratage et sanctionnent, l’Iran condamne 
Le porte-parole du ministère des affaires étrangères iranienne a condamné le 24 mars dernier les nouvelles sanctions américaines prises contre dix ressortissants et une société iranienne accusés d’une vaste campagne de piratage informatique visant des universités et des entreprises à travers le monde. Selon le département du Trésor des États-Unis, les neufs iraniens, liés à l’institut Mabna en Iran, seraient impliqués dans le vol de propriété intellectuelle et de données de centaines d’universités, entre autres américaines. Le dixième iranien serait désigné responsable du chantage visant HBO, chantage opéré grâce au script volé de la série télévisée « Game Of Thrones ». Les dix iraniens auraient dérobé plus de 31 téra-octets de documents et de données d’université américaines, d’entreprises, et d’agences gouvernementaux américaines. Les attaques auraient débuté leurs activités en 2013, soit juste après la fondation de l’Institut Mabna. Cet institut est soupçonné par le FBI d’être une entité servant à accéder illégalement à des ressources scientifiques non iraniennes par le biais d’intrusions informatiques. Les attaquants auraient utilisé des campagnes de phishing ciblés pour voler les identifiants des professeurs d’universités.
En savoir plus

Écosystème russe

Nouveau logiciel malveillant se propage via YouTube 
La société de cybersécurité russe « Doctor Web » aurait découvert l’existence d’un cheval de Troie, qui se propageraient par des liens disponibles dans les commentaires de vidéos sur le site de vidéo YouTube. La plupart des vidéos seraient consacrées aux méthodes de piratage de jeux-vidéo. En cliquant sur ce lien, une victime potentielle téléchargerait sur son ordinateur un fichier RAR contenant le cheval de Troie intitulé « Trojan.PWS.Stealer.23012 ». Celui-ci permettrait aux attaquants d’avoir accès à différents fichiers et à des informations confidentielles telles que les identifiants de réseaux sociaux et d’autres services en ligne. Toutes les données de l’ordinateur infecté seraient alors stockées dans un dossier nommé « C:/PG148892HQ8 », qui est ensuite serait placé dans l’archive spam.zip et envoyé au serveur de l’attaquant.
En savoir plus

Écosystème chinois

Une nouvelle version de WannaMine basée sur une vulnérabilité WebLogic
D’après le spécialiste chinois de la sécurité informatique 360 Total Security, le botnet à l’origine de l’attaque WannaMine, détectée en octobre 2017, aurait revu sa technique d’attaque. En effet, si celle-ci se basait précédemment sur la faille Windows Eternal Blue et sur le logiciel de récupération de mots de passe Mimikatz, elle exploiterait désormais une vulnérabilité des serveurs Oracle WebLogic (CVE-2017-10271). Pour le reste, cette nouvelle version a un fonctionnement similaire à la version initiale, à savoir que l’attaque ne repose pas sur la présence d’un fichier malveillant mais uniquement sur l’exécution d’un script, ce qui lui permet d’être difficilement détectable par les antivirus. Ayant démarré son activité le 10 mars 2018, ce nouveau WannaMine serait encore en phase de déploiement. 360 Total Security recommande d’utiliser des versions mise à jour des produits Oracle concernés.
En savoir plus 

Individus & Groupes

Le groupe MuddyWater cible l’Asie et le Moyen Orient 
Nous avons évoqué dans la Threat Landscape de la semaine dernière la campagne d’attaques ciblant des organisations au Moyen-Orient et en Asie centrale. Elle avait été détectée par les chercheurs de Trend Micro, qui ont soupçonné le groupe de pirates iranien « MuddyWater » d’être derrière cette campagne. La société de cybersécurité FireEye a publié le 13 mars dernier de nouveaux éléments concernant cette campagne d’attaques. Selon les chercheurs, les attaquants utilisaient un script VBS différent pour chaque attaque. A partir du 27 février 2018, il semblerait que le groupe ait utilisé une nouvelle variante qui ne nécessite pas de fichier VBS pour l’exécution de code PowerShell. La nouvelle variante du malware utilise de nouvelles techniques d’exécution de code exploitant les fichiers INF et SCT. Les experts de FireEye ont également trouvé des caractères chinois dans le code malveillant utilisé, mais pensent que ces caractères ont été laissés par « MuddyWater » afin de brouiller les pistes de recherches.
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !