La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Un trojan bancaire découvert dans une quanrantaine de modèles de smartphones Android
  • Le malware Gozi utilisé d’une manière sans précédent
  • Un malware utilisé pour viser les relations intercoréennes
  • Des organisations nippones victimes de la campagne PLEAD
  • Un nouveau record d’attaques DDoS
  • Des vulnérabilités découvertes au sein du protocole 4G
  • Les restaurants Applebee’s visés par des attaques via l’exploitation d’une vulnérabilité
  • Des informations sur des menaces informatiques provenant de nos sources arabes, russes et chinoises
  • Focus sur les nouvelles attaques des groupes russes « Turla » et «  Hidden Cobra »

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

 

Menaces Sectorielles

Finance

Plus de 40 modèles de smartphones Android infectés par un malware dès leur fabrication
Au milieu de l’année 2017, des chercheurs en sécurité de Doctor Web avaient signalé avoir détecté le Trojan Android Triada.231, présent au sein du firmware de quelques modèles populaires et à prix accessibles de smartphones Android. Récemment, ces chercheurs ont publié un nouveau rapport dans lequel ils précisent que plus de 40 modèles de smartphones Android seraient aujourd’hui concernés. Ce malware aurait la particularité d’infecter directement le processus du composant système Zygote du smartphone, qui participe au lancement de toutes les applications, pour ensuite se répandre au sein de ces applications sans une intervention spécifique d’un attaquant. D’après les experts de Doctor Web, le malware aurait été ajouté au firmware sur « demande d’un partenaire de Leagoo », une société de développement basée à Shanghai. En savoir plus

Le malware Gozi ISFB diffusé via de nouvelles campagnes de spear phishing sophistiquées
Des chercheurs de Talos ont annoncé la hausse significative d’activités malveillantes utilisant l’infrastructure du botnet (Dark Cloud), qui serait associé au trojan bancaire Gozi ISFB. Si ce malware semble bien connu au sein de la communauté cyber, les méthodes de sa propagation seraient devenues nettement plus sophistiquées. En effet, depuis six mois, plusieurs nouvelles campagnes de phishing diffusant ce malware cibleraient des individus spécifiques via des emails malveillants en quantité relativement limitée, imitant parfaitement des emails officiels des organisations ciblées. Le niveau de sophistication des emails en question maximiserait ainsi la probabilité que les victimes de phishing ouvrent les documents malveillants au format Word disponible en pièce jointe. Ces derniers lanceraient le téléchargement de Gozi ISFB de la part de serveurs contrôlés par les attaquants vers les systèmes ciblés. La majorité des serveurs à l’origine de ces campagnes seraient localisés en Europe de l’Est et au Moyen-Orient, même si, selon Talos, les pirates éviteraient une détection plus précise avec succès grâce au changement fréquent de domaines et d’adresses IP non seulement pour chaque campagne, mais aussi pour chaque email de phishing individuel dans le cadre d’une seule campagne. En savoir plus

Politique

Un malware utilisé pour des attaques visant à interférer dans les affaires intercoréennes
Des chercheurs de McAfee Security ont détecté un groupe de cyber espionnage qui aurait visé des organisations humanitaires dans le monde entier en utilisant deux outils : SYSCON et KOONI, qui sont les composants d’un logiciel malveillant. La campagne malveillante en question s’appellerait Honeybee et aurait utilisé des portes dérobées cachées au sein de documents au format Word envoyés via un email de phishing. Ces documents contiendraient un Virus Basic, qui aurait installé Syscon pour collecter les données d’un ordinateur. Selon McAfee Security, les attaques auraient été lancées par des individus ayant un intérêt pour les affaires intercoréennes. En savoir plus

Le malware PLEAD de nouveau en activité
Depuis 2015, une campagne d’attaques appelée PLEAD ou TSCookie est analysée par des chercheurs, et serait potentiellement liée au groupe « BlackTech ». Ce groupe de pirates aurait visé à plusieurs reprises des organisations nippones. En janvier 2018, une nouvelle campagne d’emails frauduleux aurait été signalée par des internautes. Ces messages usurperaient l’identité du ministère de l’éducation, de la culture, des sports, de la science et des technologies japonais et contiendraient un lien de redirection vers un malware. Une fois activé, PLEAD servirait à télécharger des modules reliés aux serveurs de Commande et Contrôle (C&C). Un fichier DLL s’exécuterait ensuite sur la mémoire du système et pourrait communiquer avec les serveurs C&C, afin de charger le RAT TSCookie, capable de chiffrer et envoyer les données du système infecté à un serveur externe, via une commande HTTP POST. Dans un deuxième temps, le RAT enverrait une requête HTTP GET afin d’extraire les informations et mots de passe de la victime. En savoir plus

Numérique

Un nouveau record d’attaques DDoS atteint
L’attaque par déni de service distribuée (DDoS) contre le site GitHub menée le 28 février dernier et mentionnée dans la dernière ThreatLandscape constituait l’attaque DDoS de la plus grande ampleur jamais détectée sur Internet mais ce record vient d’être battu. En effet, moins d’une semaine plus tard, des chercheurs d’Arbor Networks ont annoncé avoir détecté et mitigé une attaque DDoS qui aurait ciblé un « fournisseur de services américain » et qui aurait atteint le débit de 1.7 térabit par seconde. La source d’attaque aurait été identifiée en tant que service DDoS louable localisé en Chine, tandis que l’identité de pirates resterait inconnue. Ces derniers auraient utilisé un vecteur d’attaque identique à celui utilisé contre GitHub, soit le facteur d’amplification de serveurs Memcached exposés sur Internet, et dont le nombre serait actuellement estimé à plus de 105 000. En outre, deux preuves de concept concernant l’attaque DDoS via les serveurs Memcached ont également été publiées la semaine dernière par des auteurs anonymes sur le blog Spuz.me ainsi que sur le site de partage d’information Pastebin, accompagnées d’une liste de plus de 17 000 adresses IP associées aux serveurs Memcached vulnérables en question. En savoir plus

Télécommunication

Des vulnérabilités découvertes au sein du protocole 4G
Des chercheurs des universités américaines de Purdue et de l’Iowa ont récemment publié un article détaillant la découverte de dix vulnérabilités présentes au sein du protocole 4G LTE (Quatrième Génération « Long Term Evaluation »). Afin d’éprouver leurs observations, le groupe de chercheurs aurait eu recourt à un outil baptisé LTEInspector, qui leur aurait permis de simuler dix attaques sur un réseau 4G/LTE. Celles-ci permettraient, entre autre, à un attaquant de profiter de faiblesses au niveau de l’authentification, de tracer un utilisateur, de déconnecter une victime, de filtrer des appels ou des messages, de vider la batterie d’un appareil ou encore de diffuser de fausses alertes d’urgence. L’attaque la plus critique découverte par les chercheurs a été baptisée « authentication relay attack » et donnerait la possibilité à un attaquant de se connecter au réseau en question sans identifiants valides et d’usurper une victime en altérant sa géolocalisation. Les chercheurs précisent dans leur article qu’un investissement minimal de 3 900 dollars serait nécessaire à un attaquant afin de pouvoir mener ces attaques. En savoir plus

Restauration

Les points de ventes de la chaîne de restauration Applebee’s visés via l’exploitation d’une vulnérabilité
La Holding RMH Franchise a récemment annoncé sur son site Internet avoir découvert une vulnérabilité sur les systèmes des terminaux de ventes de près de 160 restaurants franchisés Applebbe’s. Des attaquants auraient profité de cette faille pour y installer un malware entre décembre 2017 et janvier 2018, et qui aurait été découvert au cours du mois de février, toujours selon RMH. Le logiciel malveillant aurait été conçu pour collecter les noms, les numéros des cartes bancaires, ainsi que leurs dates d’expiration et codes de vérification (CVV). Toutefois, cette attaque n’aurait eu aucune incidence directe sur les paiements effectués par les clients durant la période pendant laquelle le malware aurait été actif. La société impactée affirme que tous les terminaux de ventes ont été dans un premier temps isolés du système central afin d’éviter la propagation du virus, puis entièrement vérifiés et sécurisés. En savoir plus

 

Ecosystème Régional

Ecosystème moyen-oriental

La brigade de lutte contre la cybercriminalité de la ville de Casablanca au Maroc, a arreté le 11 mars dernier deux individus pour leur implication présumée dans l’atteinte aux systèmes de traitement des données et de diffamation. Selon un communiqué de la Direction générale de la sureté nationale (DGSN), les deux individus auraient piraté le site web d’une radio marocaine privée et diffusé une photo contenant des expressions diffamatoires. En savoir plus

Ecosystème russe

Une vulnérabilité a été détectée sur le réseau social russe VKontakte
Une vulnérabilité permettant d’accéder aux messages privés d’utilisateurs aurait été découverte dans le réseau social russe VKontakte (équivalent du réseau social Facebook). Un développeur appelé « yoga2016 » aurait indiqué, dans le cadre d’une interview avec le TJournal, que le bug aurait été détecté grâce à SimilarWeb, un service qui permet d’obtenir des statistiques de sites et de réseaux sociaux à partir de moteurs de recherche et qui cumule certaines données sur le trafic et les informations les plus consultées. Avec la version payante de SimilarWeb, il aurait été possible d’obtenir des liens vers les 300 documents les plus consultés d’Internet, tout site Web confondu . La version payante du service aurait donné accès aux conversations privées de 300 utilisateurs aléatoires du réseau social VKontakte. En savoir plus

Ecosystème chinois

Weird Doll, un RAT aux allures de film d’horreur
Un nouveau malware a été découvert le 2 mars par les équipes de Qihoo 360. Il s’agit d’un puissant outil d’administration à distance malveillant dérivé du trojan Njrat 0.7. Il prendrait le contrôle de la machine et permettrait notamment d’éteindre et de redémarrer le système, d’afficher une fenêtre avec le texte désiré, de télécharger et d’installer un programme et de modifier les commandes de la souris. Par ailleurs, il agirait comme un keylogger et pourrait ainsi espionner les saisies claviers de l’utilisateur, mais également prendre des captures d’écran et les envoyer au serveur distant. Mais ce malware présente une autre particularité : une fois installé, il ferait soudainement s’ouvrir une page Web avec une animation flash, qui afficherait à l’écran trois images horrifiques accompagnées de cris effrayants. C’est ce qui a poussé les chercheurs à le baptiser « Weird Doll » ( « Guiwa »), en référence à un film chinois mettant en scène une poupée maléfique. Des détails du code source sont disponibles dans l’article de Qihoo 360. En savoir plus

 

Individus & Groupes

« Turla »: De nouveaux éléments d’analyse sur l’intrusion au sein de systèmes d’informations allemands
Nous vous parlions la semaine dernière d’une campagne d’attaques ayant visé le système d’information de certaines branches du gouvernement allemand jusqu’en décembre 2017. De nouvelles informations auraient été diffusées par les chercheurs en charge de l’analyse de cette infiltration, et contrediraient les déclarations initiales désignant le groupe Fancy Bear (APT28) comme suspect. Ainsi, le groupe « Turla » (ou « Snake ») – potentiellement lié aux services de renseignement russe (FSB) – pourrait être à l’origine de cette campagne de cyberespionnage ayant infecté dix-sept postes de travail pendant près d’un an. Plus précisément, les pirates auraient utilisé la messagerie électronique Outlook comme intermédiaire de communication avec leurs serveurs de commande et de contrôle (C&C). Les emails frauduleux auraient contenu une pièce jointe se téléchargeant automatiquement et renvoyant à des commandes cachées. C’est la complexité de l’attaque et les outils utilisés par les pirates qui auraient amené les chercheurs à suspecter le groupe Turla. En savoir plus

« Hidden Cobra » vise le secteur financier turc
Les experts de McAfee ont annoncé le jeudi 08 mars, que le groupe de pirates nord-coréen Hidden Cobra aurait ciblé le secteur financier turc au cours d’une campagne de cyberattaques survenue en ce début d’année 2018. Le groupe aurait attaqué deux organismes gouvernementaux turcs chargés des affaires commerciales et financières ainsi que trois institutions financières majeures turques, tous infectés entre le 2 et le 3 mars derniers. Ces deux organismes ont été piratés via un email de phishing, qui contenait une pièce jointe malveillante intitulée « Agreement.docx » servant à distribuer une nouvelle version du malware Bankshot (laquelle exploite une vulnérabilité révélée dans Adobe Flash). Bankshot permettrait aux attaquants de prendre le contrôle total à distance de la machine de la victime ainsi que de supprimer des fichiers sur le système. Selon McAfee, ces attaques présenteraient des similarités avec les précédentes campagnes menées par Hidden Cobra contre le système de paiement SWIFT. Les experts déclarent également que c’est la première fois qu’une version de Bankshot serait directement liée à un piratage financier. Bien qu’il n’y ait eu aucun rapport d’argent volé, les experts estiment que la campagne avait l’intention d’obtenir l’accès à distance aux systèmes internes des organismes financiers visés. En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !