La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

Au programme cette semaine :

  • Cryptomonnaie : nouvelle semaine, nouveau piratage ; BitGrail victime d’un vol de 170 millions de dollars
  • Plus de 4 000 sites Web piratés pour miner du Monero
  • Un nouveau malware détecté visant les terminaux de point de vente
  • JO d’hiver de PyeongChang : le malware Olympic Destroyer s’attaque à un acteur IT majeur et perturbe la cérémonie d’ouverture 
  • Aux Etats-Unis, une société d’assurance laisse des données client accessibles en ligne
  • Les objets connectés, cibles d’un nouveau botnet baptisé DoubleDoor
  • Nouvelle fuite de données depuis le cloud Amazon S3 : FedEx laisse fuiter les données de 119 000 clients
  • Des informations sur des menaces informatiques provenant de nos sources russes et chinoises
  • Focus sur les groupes « Lazarus » et « Dark Caracal »

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !Menaces Sectorielles

Cryptommonaie

La plateforme d’échange de cryptomonnaies BitGrail piratée 
Un message publié sur le site de BitGrail le 10 février fait état de la disparition d’au moins 17 millions de Nano – une cryptomonnaie italienne gérée par cette plateforme – soit l’équivalent de 170 millions de dollars. Selon certains investisseurs, il pourrait s’agir d’un piratage ou plus grave, d’un « exit scam », soit une disparition programmée des devises au bénéfice d’individus malveillants. En effet, une faille dans le logiciel de BitGrail pourrait être à l’origine des transactions non autorisées et démontrerait, selon des analystes en cryptomonnaie, un manque flagrant de mesures de protection régissant la plateforme. Pour le moment, tout échange sur la plateforme serait bloqué afin qu’une investigation soit menée sur les origines du vol. Cet événement s’ajoute à la liste des 12 autres piratages de cryptomonnaies recensés sur les 7 derniers mois.

Plus de 4 000 sites Web infectés par un mineur de Monero
Le 11 février, le chercheur Scott Helme aurait découvert que 4 275 sites web, parmi lesquels de nombreux sites appartenant aux gouvernements des Etats-Unis et du Royaume-Uni, auraient été infectés par un malware de minage de la cryptomonnaie Monero. Le malware aurait été diffusé via le plugin « BrowseAloud », un service conçu par TextHelp.com et destiné à la lecture de contenus de sites Web à voix haute pour les personnes avec un handicap visuel. Les opérateurs du malware auraient modifié un des fichiers JavaScript du plugin « BrowseAloud », en y incluant un code obfusqué qui, par la suite, injecterait le script de minage Coinhive sur les sites utilisant le plugin en question. Les investigations seraient toujours en cours pour identifier les auteurs du malware et déterminer la quantité minée de Monero, tandis que TextHelp.com aurait annoncé avoir temporairement mis le service « BrowseAloud » hors ligne.

Finance

Le malware UDPoS vole les données bancaires via des requêtes DNS   
Le 8 février dernier les chercheurs de Forcepoint auraient découvert l’existence d’un nouveau malware de point de vente (PoS). Baptisé UDPoS, sa caractéristique est l’utilisation intensive des requêtes DNS pour l’exfiltration des données, que les chercheurs ont décrit comme une technique inhabituelle. Les chercheurs ont déclaré que le malware semblait être lié à un serveur de commande et de contrôle (C&C) hébergé en Suisse et qu’il utilisait des noms de fichiers et des URL sur LogMeIn (un logiciel d’accès à distance) pour échapper à la détection anti-virus. LogMeIn configure le malware en créant un nouveau service système pour établir la persistance avant d’exécuter le composant de surveillance. Ce dernier est utilisé pour vérifier les processus du système infecté et vérifier les protections. Une fois le malware exécuté, il récupère les données de la machine infectée, y compris les données des cartes bancaires, et les envoie au serveur DNS. LogMeIn a nié une potentielle compromission de son environnement et a indiqué dans un communiqué que le malware est destiné à tromper l’utilisateur dans l’exécution d’un email, lien ou fichier malveillant, contenant éventuellement le nom LogMeIn.

Télécommunication

La cérémonie d’ouverture des jeux olympiques d’hiver perturbée par une cyberattaque
Le 9 février dernier, la cérémonie d’ouverture des Jeux Olympiques d’hiver à Pyeongchang en Corée du sud a connu plusieurs problèmes techniques liés à une cyberattaque. Le Comité International Olympique a en effet confirmé deux jours plus tard à l’agence de presse Reuters que ces désagréments auraient été causés par un malware ayant infecté certains systèmes informatiques des organisateurs. Les perturbations causées pendant la cérémonie auraient provoqué des difficultés lors de l’impression des billets et des ruptures de connexion du réseau Wi-Fi pour les journalistes présents sur place. Le malware en question a été baptisé Olympic Destroyer par Talos. D’après CyberScoop et Recorded Future, ce même malware aurait été utilisé pour cibler Atos, acteur IT intervenant pendant les JO, depuis au moins décembre 2017. Les attaquants, à ce jour non identifiés, seraient parvenus à pénétrer plusieurs systèmes appartenant à la société Atos à l’aide de ce malware, afin de dérober des identifiants de connexion, supprimer des données et causer des pannes informatiques.

Assurance

Une mauvaise configuration du système à l’origine d’une vaste fuite de données dans le domaine des assurances
Le 19 janvier, l’équipe de spécialistes d’UpGuard, société de cybersécurité basée en Californie, aurait détecté l’exposition d’informations relatives à des souscripteurs d’assurance habitation. Ces données permettraient d’identifier de façon formelle des milliers d’individus ayant souscrit au JIA : Maryland Joint Insurance Association. En effet, les administrateurs du système auraient mal configuré le périphérique de stockage, le rendant accessible via un port ouvert sur le Web. D’après UpGuard, la criticité de cette fuite est élevée car en plus des informations personnelles « classiques » (nom, date de naissance, adresse, numéro de téléphone), d’autres données hautement sensibles seraient visibles, telles que des numéros de comptes bancaires ou de sécurité sociale. Enfin, un autre dossier exposé publiquement aurait causé la fuite de clés d’accès utilisées par les prestataires et les administrateurs afin de se connecter à distance au programme.

IoT

Nouveau botnet DoubleDoor ciblant l’Internet des Objets
Des chercheurs de NewSkySecurity auraient récemment détecté un nouveau botnet, surnommé DoubleDoor, qui infecterait des objets connectés (IoT) en ciblant un nombre relativement limité d’appareils qui contiendraient une version sans correctif du pare-feu « Juniper ScreenOS ». Dans la première phase, DoubleDoor exploiterait la vulnérabilité connue sous la référence CVE-2015-7755 qui permettrait de contourner la demande d’authentification du pare-feu en question. Une fois le pare-feu contourné, le botnet utiliserait la vulnérabilité CVE-2016-10401 pour s’authentifier en tant qu’administrateur sur l’équipement à l’aide d’identifiants par défaut et  ainsi prendre le contrôle total des appareils ciblés. Selon les chercheurs, le botnet serait à un stade précoce et ses attaques proviendraient principalement d’adresses IP localisées en Corée du Sud.

Transport

Les données personnelles de plus de 119 000 utilisateurs disponibles publiquement sur un cloud Amazon S3

Le 5 février, des chercheurs de Kromtech Security Center auraient détecté des informations personnelles en accès public sur la partie stockage cloud S3 d’Amazon, fourni par Amazon Web Services. Ce site d’hébergement exposerait ainsi plus de 119 000 scans de cartes d’identité, passeports et permis de conduire, accompagnés d’adresses postales et numéros de téléphone qui concerneraient des nationaux américains, européens, chinois et autres. Les données auraient préalablement appartenu à l’entreprise commerciale Bongo International LLC et auraient été transmises sous la propriété de l’entreprise de transport international de fret FedEx. Cette dernière aurait acheté Bongo International LLC en 2014, sans avoir effectué un audit des biens numériques lors de cette acquisition. Selon l’analyse fournie par Kromtech, les données auraient ainsi été disponibles publiquement depuis 2009.

 

Ecosystème Régional

Ecosystème chinois

VanFraud : un nouveau malware se propageant via des logiciels de téléchargement
Le 11 février 2018, les chercheurs de Huorong Security ont annoncé avoir découvert un nouveau malware baptisé « VanFraud » qui se propage via l’installation de logiciels de téléchargement, vecteur de plus en plus prisé par les pirates chinois. Au moins 18 plateformes de téléchargement chinoises proposent actuellement un logiciel compromis contenant VanFraud, qui aurait ainsi infecté près de 100 000 systèmes. Le malware utilise l’ordinateur de la victime notamment pour ajouter des contacts sur la messagerie instantanée QQ et propager ainsi du contenu frauduleux ou illégal. Il également capable d’altérer le navigateur pour le rediriger vers une page intitulée « 2345.com ». Ce fonctionnement est similaire à celui du malware Lock Master, signalé dans une précédente édition de Threat Landscape (édition du 17 octobre 2017).

Ecosystème russe

Vulnérabilité de type Zero Day sur Telegram
Kaspersky Lab a publié un rapport détaillé sur une faille de type Zero Day affectant l’application de messagerie Telegram pour la version Windows. Cette vulnérabilité aurait été découverte par Kaserpsky en octobre 2017 mais aurait été exploitée contre des utilisateurs russes depuis au moins mars 2017. La faille reposerait sur la gestion des caractères spéciaux prévus par Unicode au sein de l’application et qui aurait permis aux cybercriminels de dissimuler des fichiers malveillants en camouflant leurs véritables noms et extensions. D’après Kaspersky, la vulnérabilité aurait été exploitée pour miner de la cryptomonnaie ou installer des spywares sur les machines ciblées. Kaspersky indique avoir notifié Telegram de l’existence de cette vulnérabilité qui aurait depuis été colmatée.

 

Individus & Groupes« Lazarus »
Les chercheurs de McAfee ont annoncé avoir détecté une campagne de phishing qui aurait été lancée par le groupe de pirates Lazarus (suspecté d’être nord-coréen) à destination d’utilisateurs Bitcoin et d’organisations financières internationales (non citées). L’opération a été baptisée HaoBao et consisterait en l’envoi  d’un email de phishing ciblé usurpant l’identité d’un recruteur et contenant en réalité un document malveillant. D’après McAfee, la campagne aurait duré d’avril à octobre 2017 et aurait visé des utilisateurs anglophones et coréens. Celle-ci aurait cependant repris depuis le 15 janvier dernier à destination d’une banque située à Hong Kong. Lazarus distribuerait par ce biais une charge utile capable de collecter de l’information sur la machine de la victime pour l’envoyer à un serveur de commande et de contrôle.

« Dark Caracal »
Nous avions évoqué dans l’édition de la Threat Landscape du 23 janvier dernier une vaste opération menée par la Sûreté Générale libanaise (GDGS) depuis au moins 2012, et visant les utilisateurs de smartphones Android dans au moins 21 pays. Les attaquants qui avaient été surnommés « Dark Caracal » par  Lookout ont fait l’objet d’un nouveau rapport du Cyber Security Strategists qui met en lumière de nouvelles tactiques, techniques et procédures du groupe. On apprend que lors d’une des campagnes menées par le groupe au cours des premiers mois de l’année dernière, ils auraient utilisé une série d’applications Android pour voler des données sensibles sur l’appareil mobile de la victime. Le cheval de Troie injecté dans ces applications est connu sous le nom de Pallas. « Dark Caracal » utiliserait une technique de « reconditionnement » en injectant du code malveillant dans une application légitime (WhatsApp, Telegram, Primo, Signal, Threema, Orbot, Psiphon) avant de reconstruire l’apk. « Dark Caracal » aurait utilisé des techniques d’ingénierie sociale pour inciter les victimes à installer le logiciel malveillant, en envoyant des SMS et des messages sur Facebook invitant les victimes à télécharger une nouvelle version d’une application populaire à partir d’une URL spécifique.

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !