Archives de catégorie : backdoor

backdoor, Cybersécurité

Le virus qui fait disjoncter les réseaux électriques

Un nouveau malware potentiellement lié à la Russie serait capable de causer des dommages physiques aux réseaux électriques. En décembre 2021, un utilisateur russe a téléchargé ce logiciel malveillant sur le service d’analyse antivirus de Google, VirusTotal.

Baptisé CosmicEnergy par Mandiant, ce malware présente des similitudes avec Industroyer, utilisé par la Russie pour attaquer l’infrastructure énergétique de l’Ukraine en 2016 et 2022. Les chercheurs ont également découvert un commentaire dans le code du malware le reliant à un projet nommé « Solar Polygon » organisé par Rostelecom, la plus grande entreprise de télécommunications russe, dans le but de former des spécialistes de la cybersécurité.

En septembre 2022, Les autorités Russes avaient annoncé une dépense de 1,9 milliard de roubles (22 millions d’euros) pour la création et le développement en Russie du « National cyber training ground » pour la formation et l’éducation de spécialistes dans le domaine de la sécurité de l’information. Le projet est mis en œuvre par Rostelecom. Dans le cadre du cyberpolygone, des scénarios étaient annoncés pour les secteurs bancaire, pétrolier et énergétique, et il est prévu d’étendre le polygone aux réseaux de raffinage du pétrole et de communication dorsale.

Bien que les chercheurs n’aient pas encore suffisamment de preuves pour déterminer l’origine et les intentions précises de CosmicEnergy, cette découverte est préoccupante, car les pirates pourraient réutiliser ce logiciel malveillant pour cibler les infrastructures critiques existantes.

CosmicEnergy vise un protocole de communication couramment utilisé dans l’industrie de l’énergie électrique en Europe, au Moyen-Orient et en Asie. Ce protocole facilite l’échange de données entre les centres de contrôle et les appareils, y compris les unités terminales distantes (RTU) essentielles à l’exploitation et au contrôle des systèmes de transmission et de distribution électriques.

Le malware dispose de deux outils de perturbation, PieHop (écrit en Python) et LightWork (écrit en C++), utilisés pour mener des attaques. Bien que l’échantillon de PieHop analysé contienne des erreurs, celles-ci pourraient être corrigées facilement par les pirates s’ils décidaient de le déployer.

CosmicEnergy fait partie d’une lignée de malwares industriels tels qu’Industroyer, Triton et Incontroller, qui exploitent des protocoles non sécurisés de l’industrie. Ces logiciels malveillants peuvent être réutilisés et cibler plusieurs victimes, profitant des faiblesses de conception des environnements industriels. De plus, la disponibilité de projets open source implémentant ces protocoles facilite la tâche des pirates.

La découverte de ce malware présente une menace immédiate pour les organisations concernées, car les environnements industriels non sécurisés sont peu susceptibles d’être corrigés rapidement, soulignent les chercheurs. (Mandiant)

backdoor, Cybersécurité

Les pirates d’Evasive Panda utilisent des mises à jour d’applications légitimes pour diffuser des malwares

Le groupe Evasive Panda, opérant dans la sphère sinophone, utilise des mises à jour d’applications légitimes pour diffuser des malwares. Des utilisateurs d’une ONG internationale en Chine continentale ont été visés par ces malwares, distribués via des mises à jour de logiciels développés par des entreprises chinoises. Cette activité a été attribuée avec une quasi-certitude au groupe Evasive Panda, qui utilise la porte dérobée MgBot à des fins de cyberespionnage.

Des chercheurs ont découvert une campagne menée par Evasive Panda, au cours de laquelle des canaux de mise à jour d’applications légitimes chinoises ont été détournés pour distribuer le programme d’installation du malware MgBot, la principale porte dérobée de cyber espionnage utilisée par le groupe. Les utilisateurs chinois des provinces de Gansu, Guangdong et Jiangsu ont été ciblés par cette activité malveillante, qui a débuté en 2020 selon la télémétrie d’ESET. La plupart des victimes sont des membres d’une organisation non gouvernementale internationale.

En janvier 2022, il a été découvert que lors des mises à jour d’une application chinoise légitime, la porte dérobée MgBot d’Evasive Panda était également téléchargée. Des actions malveillantes similaires s’étaient déjà produites en 2020 avec plusieurs autres applications légitimes développées par des entreprises chinoises.

Evasive Panda utilise la porte dérobée personnalisée MgBot, qui a connu peu d’évolutions depuis sa découverte en 2014. À notre connaissance, aucun autre groupe n’a utilisé cette porte dérobée. Par conséquent, nous attribuons avec quasi-certitude cette activité à Evasive Panda. Au cours de notre enquête, nous avons découvert que lors des mises à jour automatiques, plusieurs composants logiciels d’applications légitimes téléchargeaient également les programmes d’installation de la porte dérobée MgBot à partir d’URL et d’adresses IP légitimes.

Lors de l’analyse des méthodes utilisées par les attaquants pour diffuser des malwares via des mises à jour légitimes, les chercheurs d’ESET ont identifié deux scénarios distincts : des compromissions de la chaîne d’approvisionnement et des attaques « adversary-in-the-middle » (AitM).

Étant donné le caractère ciblé des attaques, nous supposons que les pirates ont compromis les serveurs de mise à jour de QQ afin d’introduire un mécanisme permettant d’identifier les utilisateurs ciblés, de diffuser le malware, de filtrer les utilisateurs non ciblés et de leur fournir des mises à jour légitimes. Nous avons en effet enregistré des cas où des mises à jour légitimes ont été téléchargées via ces protocoles détournés. D’autre part, les attaques de type AitM ne seraient possibles que si les attaquants étaient en mesure de compromettre des appareils vulnérables tels que des routeurs ou des passerelles, et d’accéder à l’infrastructure des fournisseurs d’accès Internet.

La conception modulaire de MgBot lui permet d’étendre ses fonctionnalités en recevant et en déployant des modules sur les machines compromises. Cette porte dérobée est capable d’enregistrer les frappes au clavier, de voler des fichiers, des identifiants, ainsi que des contenus provenant des applications de messagerie QQ et WeChat de Tencent. Elle est également capable de capturer des flux audio et de copier le texte du presse-papiers.

Evasive Panda, également connu sous les noms de BRONZE HIGHLAND et Daggerfly, est un groupe de pirates sinophones actif depuis au moins 2012. Les recherches d’ESET ont révélé que ce groupe mène des opérations de cyberespionnage ciblant des individus en Chine continentale, à Hong Kong, à Macao et au Nigéria. Une victime de cette campagne se trouvait au Nigéria et a été infectée via le logiciel chinois Mail Master de NetEase.

APT, backdoor, Cybersécurité

Le FBI a annoncé avoir neutralisé un virus du FSB

Le Bureau fédéral d’enquête des États-Unis annonce la neutralisation d’un code malveillant du nom de Snake. Le malware serait une arme numérique du FSB, le service de sécurité russe.

Dernièrement, une l’alerte lancée dans un blackmarket russe de la tentative du service de renseignement russe FSB d’intercepter des informations du pirate auteur de stealer (logiciel voleur de données), Titan Stealer, affichait les nombreux fronts cyber de ce service de renseignement russe.

Le Département de la Justice explique comment le FBI venait de mettre fin à la vie de Snake, un présumé code malveillant exploité par le FSB. Selon le Bureau Fédéral d’Investigation, Snake aurait exploité un réseau P2P pour les basses besognes de ses exploitants. Selon le communiqué officiel de l’agence, la gestion de ce réseau était assurée par le « Centre 16 » du Service fédéral de sécurité russe (FSB). Snake est connu sous un autre nom, Turla.

Le FBI estime que cette division a utilisé différentes versions du malware Snake pendant près de 20 ans pour voler des documents confidentiels provenant de centaines de systèmes informatiques dans au moins 50 pays membres de l’OTAN.

Lors de l’opération baptisée Medusa [le même nom qu’un groupe de pirates utilisateurs de ransomwares], le malware a été désactivé sur les appareils compromis faisant partie du réseau unifié à l’aide de l’outil Perseus développé par le FBI. Le processus impliquait un contact physique avec les ordinateurs infectés. Des appareils provenant d’autres pays ont également été découverts dans le réseau, et les autorités américaines ont envoyé toutes les recommandations nécessaires à leur égard.

« Le ministère de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d’ordinateurs infectés par des malwares utilisés par le gouvernement russe pendant près de deux décennies pour mener des cyber espionnages, y compris contre nos alliés de l’OTAN« , a déclaré le procureur général des États-Unis, Merrick Garland. Nous continuerons à renforcer notre défense collective contre les efforts de déstabilisation de la Russie, visant à compromettre la sécurité des États-Unis et de nos alliés ».

Le DOJ affirme que le gouvernement américain « contrôlait des agents du FSB » affectés à l’utilisation de Turla. Ces agents auraient mené des opérations quotidiennes en utilisant Snake à partir d’une institution du FSB à Ryazan. Le virus lui-même est qualifié de « logiciel malveillant à long terme le plus complexe du FSB pour le cyber espionnage ».

Snake permet à ses opérateurs de déployer à distance des outils malveillants supplémentaires pour étendre les fonctionnalités du logiciel afin de détecter et de voler des informations confidentielles et des documents stockés sur un appareil spécifique. Un voleur 2.0 comme Titan Stealer.

De plus, le réseau mondial d’ordinateurs compromis par Snake fonctionne comme un réseau P2P caché, utilisant des protocoles de communication spéciaux conçus pour rendre l’identification, la surveillance et la collecte de données difficiles pour les services de renseignement occidentaux et d’autres services de renseignement radio. Après le vol de données, une routage en cascade est utilisé pour les livrer aux opérateurs à Ryazan.

backdoor, Cybersécurité, Téléphonie

Des millions de smartphone à petit prix infectés par du code malveillant

Selon des spécialistes présents lors de l’événement Black Hat Asia, des développeurs peu scrupuleux ont réussi à infecter des millions de smartphones Android avec des micrologiciels malveillants avant même que les appareils ne soient mis en vente.

Des experts ont souligné, lors du rendez-vous Black Hat Asia, que cela affectait principalement les modèles d’appareils Android moins chers. Le problème réside dans l’externalisation, qui permet aux acteurs de la chaîne de production, tels que les développeurs de micrologiciels, d’introduire clandestinement du code malveillant.

Les spécialistes de Trend Micro ont qualifié ce problème de « croissant » pour les utilisateurs et les entreprises. Fedor Yarochkin de Trend Micro explique la situation de la manière suivante : « Quel est le moyen le plus simple d’infecter des millions d’appareils mobiles ? Faites-le à l’usine. Cela peut être comparé à un arbre qui absorbe un liquide : si vous apportez l’infection à la racine, elle se propagera partout, y compris chaque branche et chaque feuille.« 

Selon Yarochkin, cette pré-installation de logiciels malveillants a commencé à se répandre après la baisse des prix des smartphones. La concurrence entre les développeurs de micrologiciels est devenue si intense qu’ils ne pouvaient plus demander des sommes importantes pour leurs produits.

Cependant, il n’y a rien de gratuit dans cette situation. Par conséquent, les développeurs ont commencé à introduire des plug-ins appelés « silencieux« . L’équipe de recherche de Trend Micro a étudié plus d’une douzaine d’images de micrologiciels et a découvert plus de 80 de ces plug-ins. Leur fonction est de voler des données et de fournir certaines informations, ce qui aide les développeurs à générer des revenus. Les logiciels malveillants préinstallés en usine transforment les appareils mobiles en proxy utilisés pour voler des SMS et accéder aux comptes de réseaux sociaux. Ils facilitent également la fraude au clic.

50 fournisseurs de téléphones montrés du doigt !

Les experts ont souligné qu’ils ont pu détecter des logiciels malveillants préinstallés sur les téléphones d’au moins dix fournisseurs, et il est présumé qu’environ 40 autres fabricants pourraient être confrontés à une situation similaire. L’équipe de Yarochkin recommande aux utilisateurs de choisir des smartphones Android de marques connues (donc plus chers) afin de ne pas être victimes de logiciels malveillants préinstallés.

Cette situation est principalement observée sur les modèles d’appareils Android moins chers. Les acteurs de la chaîne de production, tels que les développeurs de micrologiciels, exploitent l’externalisation pour introduire clandestinement du code malveillant. Ces logiciels malveillants préinstallés en usine transforment les smartphones en outils de vol de données, d’accès aux comptes de réseaux sociaux et de fraude au clic. ZATAZ vous alertait de cette situation concernant des claviers d’ordinateurs, ainsi que les boîtiers vidéos vendus sur des plateformes telles qu’Amazon ou AliBaba.

Bien qu’aucun appareil ne soit totalement immunisé contre les menaces, investir dans un smartphone de meilleure qualité peut réduire le risque d’infection par des logiciels malveillants préinstallés. Il est également important de prendre d’autres mesures de sécurité pour protéger son appareil. Les utilisateurs doivent être prudents lors du téléchargement et de l’installation d’applications, en vérifiant leur source et en lisant les avis des utilisateurs. Il est recommandé de garder son système d’exploitation et ses applications à jour en installant régulièrement les mises à jour de sécurité fournies par le fabricant. De plus, l’utilisation d’une solution antivirus fiable sur son appareil peut contribuer à détecter et à bloquer les logiciels malveillants.

Android, backdoor, Cybersécurité, Mise à jour

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.

backdoor, Cybersécurité

Piratage : emplois via LinkedIn, attention danger !

Des hackers nord-coréens visent des spécialistes de la cybersécurité en leur proposant des emplois via LinkedIn.

Des experts ont remarqué que les pirates nord-coréens ont concentré leur attention sur les spécialistes de la sécurité de l’information. Les attaquants tentent d’infecter les chercheurs avec des logiciels malveillants dans l’espoir d’infiltrer les réseaux des entreprises pour lesquelles les cibles travaillent.

La première campagne date de juin 2022. Elle ciblait une entreprise technologique américaine. Ensuite, les pirates ont tenté d’infecter la cible avec trois nouvelles familles de logiciels malveillants (Touchmove, Sideshow et Touchshift).

Peu de temps après, il y a eu une série d’attaques contre les médias américains et européens par le groupe UNC2970. Une cyber attaque reliée par la société Mandiant à la Corée du Nord. Pour ces attaques, l’UNC2970 a utilisé des courriers électronique d’hameçonnage déguisés en offres d’emploi dans le but de contraindre leurs cibles à installer le logiciel malveillant.

Changement de tactique

Les chercheurs affirment que l’UNC2970 a récemment changé de tactique et est désormais passé de l’utilisation de phishing à l’utilisation de faux comptes LinkedIn prétendument détenus par les Ressources Humaines (RH). De tels récits imitent soigneusement l’identité de personnes réelles afin de tromper les victimes et d’augmenter les chances de succès de l’attaque.

Après avoir contacté la victime et lui avoir fait une « offre d’emploi intéressante », les attaquants tentent de transférer la conversation sur WhatsApp, puis utilisent soit le messager lui-même, soit un courriel pour livrer le logiciel piégé. Mandiant a appelée l’outil malveillant Plankwalk.

Plankwalk et d’autres logiciels malveillants du groupe utilisent principalement des macros dans Microsoft Word. Lorsque le document est ouvert et que les macros sont activées, la machine cible télécharge et exécute la charge utile malveillante à partir des serveurs des pirates (principalement des sites WordPress piratés).

En conséquence, une archive ZIP est livrée à la machine cible, qui contient, entre autres, une version malveillante de l’application de bureau à distance TightVNC (LIDSHIFT). L’un des documents utilisés usurpe l’identité du journal New York Times.

Etonnante méthode, donc, de penser que des spécialistes de la cybersécurité vont cliquer sur des fichiers inconnus ! (Mendiant)

backdoor, Cybersécurité

La Bulgarie, le pays le plus e.secure ?

Une étude de l’Union Européenne indique que 22% des entreprises de plus de 10 employés ont connu des incidents de cyber sécurité.

En 2021, dans l’Union Européenne, 22,2% des entreprises (comptant au moins 10 salariés et indépendants) de l’économie marchande ont connu des incidents de cyber sécurité des TIC entraînant différents types de conséquences, telles que l’indisponibilité des services Technologies de l’Information et de la Communication (TIC), destruction, modification de données ou divulgation d’informations confidentielles.

La conséquence la plus fréquemment signalée était l’indisponibilité des services TIC en raison de pannes matérielles ou logicielles (18,7%). L’indisponibilité des services TIC en raison d’attaques provenant de l’extérieur (par exemple, les attaques de rançongiciels, les attaques par déni de service) était beaucoup moins fréquente (3,5%).

Les entreprises de l’UE ont également signalé la destruction ou la corruption de données, causées par deux types d’incidents : en raison de pannes matérielles ou logicielles (3,9%) ou en raison d’une infection par un logiciel malveillant, ou d’une intrusion non autorisée (2,1%).

La conséquence la moins fréquente des incidents de sécurité des TIC était la divulgation de données confidentielles, liée à deux raisons différentes : intrusion, pharming, attaque de type hameçonnage, actions intentionnelles d’employés malveillants (1,1%) et actions non intentionnelles (erreurs d’employés – 1,0 %).

Les entreprises finlandaises enregistrent la plus forte incidence de problèmes de sécurité des TIC

Parmi les pays de l’UE, les pourcentages les plus élevés d’entreprises ayant enregistré des incidents de sécurité TIC entraînant l’indisponibilité des services TIC, la destruction ou la corruption de données ou la divulgation de données confidentielles se trouvaient en Finlande, avec plus des deux cinquièmes (43,8 %), suivie par la Pays-Bas et Pologne (30,1 % et 29,7 %), Tchéquie (29,3 %) et Danemark (26,4 %).

À l’autre extrémité de l’échelle, les parts les plus faibles se trouvaient en Bulgarie (11,0%), au Portugal (11,5%), en Slovaquie (12,3%), en Hongrie (13,4%) et à Chypre (14,3%).

Les TIC, ou Technologies de l’Information et de la Communication, sont des outils et des techniques utilisés pour collecter, traiter, stocker et transmettre des informations. Les TIC englobent un large éventail de technologies, notamment les ordinateurs, les réseaux de communication, les logiciels, Internet, les smartphones, les réseaux sociaux, les applications mobiles, les services en ligne, les médias sociaux, les jeux vidéo, la télévision interactive et la réalité virtuelle. Les TIC ont un impact majeur sur la vie professionnelle et personnelle des individus, ainsi que sur les organisations et la société dans son ensemble.

backdoor, Cybersécurité

Des logiciels malveillants PlugX chinois cachés dans vos périphériques USB ?

C’est à l’occasion d’une intervention pour répondre à un incident lié à Black Basta que des experts ont découvert des outils et échantillons de logiciels malveillants sur les machines de la victime, y compris le logiciel malveillant GootLoader, l’outil des red teams Brute Ratel C4 et un ancien échantillon de logiciel malveillant PlugX. Le logiciel malveillant PlugX s’est démarqué car cette variante infecte tous les périphériques multimédias USB amovibles connectés tels que les lecteurs de disquettes, les clés USB ou les lecteurs flash et tous les systèmes supplémentaires auxquels l’USB est ensuite branché.

Ce logiciel malveillant PlugX masque également les fichiers dans un périphérique USB à l’aide d’une technique nouvelle qui fonctionne même sur les systèmes d’exploitation Windows (SE) les plus récents. Cela signifie que les fichiers malveillants ne peuvent être consultés que sur un système d’exploitation (*nix) de type Unix ou en montant le périphérique USB dans un outil d’analyse forensique.

L’Unit 42 a également découvert une variante similaire de PlugX dans VirusTotal qui infecte les périphériques USB et copie tous les fichiers Adobe PDF et Microsoft Word de l’hôte. Il place ces copies dans un dossier caché sur le périphérique USB créé par le logiciel malveillant. Il n’est pas rare que plusieurs échantillons de logiciels malveillants soient découverts au cours d’une enquête, comme cela s’est produit dans ce cas précis avec GootLoader, Brute Ratel C4 et PlugX. De nombreux acteurs de la menace compromettent les cibles et peuvent coexister simultanément sur la machine affectée.

PlugX

Parce que l’Unit 42 ne peut pas dire de manière concluante si ces échantillons de logiciels malveillants ont été laissés par un groupe ou plusieurs, nous ne pouvons pas attribuer ces outils au groupe de rançongiciels Black Basta. Cependant, la version de Brute Ratel C4 utilisée dans ce cas est la même que celle rapportée par Trend Micro, qui impliquait également le groupe de rançongiciels Black Basta.

PlugX est utilisé par plusieurs groupes de cybercriminels, notamment certains en lien avec la Chine. Il existe depuis plus d’une décennie et a été observé dans certaines cyberattaques très médiatisées, y compris aux Etats-Unis lors de la cyberattaque contre l’Office Gouvernementale de la gestion du personnel en 2015 (OPM/Wired).

Historiquement, une infection PlugX commence par détourner une application logicielle connue et fiable, signée numériquement pour charger une charge utile cryptée créée par l’acteur. Cette technique est utilisée depuis 2010 et est répertoriée dans les techniques MITRE ATT&CK en tant que Hijack execution flow DLL-Side loading ID : T1574.002 Sub-technique T1574.

Dans ce cas, les acteurs de la menace ont décidé de détourner un outil de débogage open source populaire et gratuit pour Windows appelé x64dbg, qui est utilisé par la communauté d’analyse des logiciels malveillants.

La technique utilisée par le logiciel malveillant PlugX pour masquer des fichiers dans un périphérique USB consiste à utiliser un certain caractère Unicode. Cela empêche l’Explorateur Windows et le shell de commande (cmd.exe) d’afficher la structure de répertoire USB et tous les fichiers, les cachant à la victime.

backdoor, Cybersécurité, VPN

24 vulnérabilités découvertes dans le service VPN de Google

L’entreprise américaine Google a engagé le groupe NCC, basé au Royaume-Uni, pour effectuer un audit de sécurité de son service VPN Google One. 24 failles ont été découvertes.

C’est le temps de la promo, c’est le temps de montrer ses biscottos ! Le VPN de Google One est un service de sécurité et de confidentialité des connexions pour les utilisateurs finaux, mis en œuvre par différents clients pour les systèmes d’exploitation les plus utilisés, qui fournissent à la fois une liaison chiffrée et une dissociation des adresses IP.

Sur la base des résultats de l’audit effectué par la société anglaise NCC Group, à la demande de Google, il a été découvert 24 vulnérabilités dans les applications de bureau et mobiles, les bibliothèques et l’architecture VPN, notamment la conception et l’architecture de sécurité, le code de la bibliothèque VPN, la sécurité des applications Windows, l’application MacOS, l’application Android et l’application iOS.

C’est probablement tout ce qu’il y a à savoir sur la sécurité des produits de Google.

backdoor, Cybersécurité

Un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s’appuyant sur Google Drive

Des chercheurs ont analysé une porte dérobée sophistiquée, jusqu’alors inconnue et utilisée par le groupe de pirates ScarCruft. Baptisée Dolphin la porte dérobée dispose d’un large éventail de fonctionnalités d’espionnage, notamment la surveillance des lecteurs et des appareils portables, l’exfiltration de fichiers de valeur, l’enregistrement des frappes de clavier, les captures d’écran et le vol d’identifiants dans les navigateurs. Ses fonctions sont réservées à des cibles sélectionnées sur lesquelles la porte dérobée est déployée, après une compromission initiale à l’aide de malwares moins avancés. Dolphin détourne des services de stockage dans le Cloud, spécifiquement Google Drive, pour les communications de commande et de contrôle.

ScarCruft, également connu sous le nom d’APT37 ou Reaper, est un groupe d’espionnage qui opère depuis au moins 2012. Il se concentre principalement sur la Corée du Sud, mais d’autres pays asiatiques ont également été visés. ScarCruft semble s’intéresser principalement aux organisations gouvernementales et militaires, ainsi qu’aux entreprises de différents secteurs liés aux intérêts de la Corée du Nord.

« Après avoir été déployé sur des cibles sélectionnées, le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive. La possibilité de modifier les paramètres des comptes Google et Gmail des victimes afin de réduire leur sécurité, vraisemblablement pour maintenir l’accès au comptes Gmail pour les auteurs de la menace, est une fonctionnalité inhabituelle présente dans les versions antérieures de la porte dérobée, » explique Filip Jurčacko, le chercheur chez ESET qui a analysé la porte dérobée Dolphin.

En 2021, ScarCruft a mené une attaque de type « watering-hole » contre un journal en ligne sud-coréen consacré à la Corée du Nord. L’attaque se composait de plusieurs éléments, dont l’exploitation d’une vulnérabilité Internet Explorer et un shellcode menant à une porte dérobée appelée BLUELIGHT.

Dans les études précédentes, la porte dérobée BLUELIGHT était décrite comme l’objectif final. Cependant, lors de l’analyse approfondie de l’attaque, une seconde porte dérobée plus sophistiquée déployée sur des victimes sélectionnées via cette première porte dérobée. « Nous avons nommé celle-ci Dolphin, d’après un chemin PDB trouvé dans l’exécutable » continue M. Jurčacko.

Depuis la découverte initiale de Dolphin en avril 2021, les chercheurs ont observé de multiples versions de cette porte dérobée, comprenant des améliorations et des techniques pour échapper à sa détection.

Tandis que la porte dérobée BLUELIGHT effectue une reconnaissance de base et une évaluation de la machine compromise après infection, Dolphin est plus sophistiquée et se déploie manuellement uniquement sur des cibles sélectionnées. Les deux portes dérobées sont capables d’exfiltrer des fichiers à partir d’un chemin spécifié dans une commande, mais Dolphin parcourt également activement les lecteurs et exfiltre automatiquement les fichiers ayant des extensions intéressantes.

La porte dérobée collecte des informations de base sur la machine ciblée, notamment la version du système d’exploitation, la version du malware, la liste des produits de sécurité installés, le nom de l’utilisateur et le nom de l’ordinateur. Par défaut, Dolphin parcourt tous les lecteurs fixes (disques durs) et non fixes (USB), crée des listes de dossiers, et exfiltre les fichiers selon leur extension. Dolphin recherche également les appareils portables, tels que les smartphones, via l’API Windows Portable Device. La porte dérobée vole les identifiants dans les navigateurs. Elle est également capable d’enregistrer les frappes et de faire des captures d’écran. Enfin, elle place ces données dans des archives ZIP chiffrées avant de les téléverser sur Google Drive.

backdoor, Cybersécurité

Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022

Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l’année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d’accéder aux infrastructures informatiques des entreprises.

Des experts ont constaté une augmentation des attaques utilisant les processus de Microsoft SQL Server, un système de gestion de bases de données utilisé dans le monde entier, aussi bien par des multinationales que par des PME. En septembre 2022, le nombre de serveurs SQL touchés s’élevait à plus de 3 000 unités, soit une croissance de 56 % par rapport à la même période l’année précédente.

Le nombre d’attaques suivant ce procédé a progressivement augmenté au cours de l’année dernière, et a dépassé la barre des 3000 attaques tous les mois depuis avril 2022, à l’exception d’une légère baisse enregistrée en juillet et août.

« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une importance suffisante à la protection contre les menaces qui peuvent cibler ce logiciel. Les attaques utilisant des jobs SQL Server malveillants ne sont pas une nouveauté, mais elles sont toujours utilisées par les cybercriminels pour accéder à l’infrastructure d’une entreprise« , indique Kaspersky.

Dans le nouveau rapport consacré aux incidents Managed Detection and Response les plus intéressants, les chercheurs décrivent une attaque employant des jobs Microsoft SQL Server, une séquence de commandes exécutées par l’agent du serveur.

Les pirates ont tenté de modifier la configuration du serveur afin d’accéder au shell pour exécuter un malware via PowerShell. Le serveur SQL corrompu tente d’exécuter des scripts PowerShell malveillants, générant une connexion à des adresses IP externes. Ce script PowerShell exécute le malware déguisé en fichier .png à partir de cette adresse IP externe en utilisant l’attribut « MsiMake », très similaire au fonctionnement du malware PurpleFox.

backdoor, Cybersécurité

Des pirates se font passer pour la chambre des Notaires de Paris

Une campagne d’hameçonnage conduite par le groupe cybercriminel Emotet a exploité l’image de la chambre des Notaires de Paris.

Pour cette campagne d’attaques, le groupe s’est fait passer pour la Chambre des Notaires de Paris et a incité le destinataire de l’email à télécharger un document en pièce jointe. Un grand classique ! La pièce jointe ayant pour but final de permettre l’infiltration de l’ordinateur de la cible.

D’après les chercheurs de Proofpoint ce type de courriers piégés Emotet ont ciblé de nombreux pays, dont les Etats Unis, le Royaume Uni, le Japon, l’Allemagne, l’Italie, la France, le Mexique et le Brésil.

Le groupe Emotet (ou TA542), pourtant démantelé par la police en janvier 2021, a refait surface en novembre 2022. Après une pause, le groupe a testé de nouvelles techniques et procédures pour piéger leurs victimes. Il s’est récemment tristement illustré en volant les informations des cartes de crédit sur Google Chrome, via des campagnes de spam qui incitent les utilisateurs à cliquer sur des fichiers ou des liens infectés.

Emotet sert aussi à des campagnes d’infiltrations qui auront pour missions des demandes de rançons aprés l’exfiltrations de données sensibles. Des affiliés du groupe LockBit 3.0 auraient exploité, dernièrement, cet outil pirate pour lancer des ransomwares.

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.

APT, backdoor, Cybersécurité

SandStrike cible les utilisateurs d’Android avec une application VPN piégée

Au cours du troisième trimestre 2022, des chercheurs ont fait la découverte d’une campagne d’espionnage sur Android jusqu’alors inconnue, baptisée SandStrike. Cette dernière cible une minorité religieuse persanophone, les Baháʼí, en distribuant une application VPN qui contient un logiciel espion très sophistiqué.

Pour inciter leurs victimes potentielles à télécharger les extensions dissimulant les logiciels espions, les acteurs de la menace ont créé des comptes Facebook et Instagram comptabilisant plus de 1000 abonnés, et ont conçu des infographies attrayantes sur le thème de cette religion, constituant ainsi un piège efficace pour ses adeptes. De plus, la plupart de ces profils malveillants contiennent un lien vers un canal Telegram également créé par les cyberpirates.

Sur ce canal, l’acteur à l’origine de SandStrike a distribué une application VPN en apparence inoffensive permettant d’accéder à des sites interdits dans certaines régions comme, par exemple, des ressources relatives à la religion. Pour rendre cette application pleinement fonctionnelle, les criminels ont mis en place leur propre infrastructure VPN.

Mais contrairement aux apparences, le VPN contient un logiciel espion actif, avec des fonctionnalités permettant aux agents malveillants de collecter et de voler des données sensibles: le spyware leur permet de traquer l’activité en ligne des personnes ciblées, de consulter leurs historiques d’appels et leurs listes de contact.

Tout au long du troisième trimestre de 2022, les acteurs APT ont continuellement modifié leurs tactiques, affiné leurs outils et développé de nouvelles techniques. Les découvertes les plus significatives sont les suivantes :

  • Une nouvelle plateforme de logiciels malveillants sophistiqués ciblant les entreprises de télécommunication, les fournisseurs d’accès à Internet et les universités.

En collaboration avec SentinelOne, les chercheurs de Kaspersky ont analysé une plateforme de logiciels malveillants sophistiqués jusqu’alors inconnue, baptisée Metatron.

Metatron cible principalement les entreprises de télécommunications, les fournisseurs de services Internet et les universités des pays d’Afrique et du Moyen-Orient. Metatron est conçue pour contourner les solutions de sécurité natives tout en déployant des plateformes de logiciels malveillants directement dans la mémoire des appareils infectés.

  • La mise à niveau d’outils avancés et sophistiqués

Les experts ont repéré Lazarus utiliser le cluster DeathNote pour faire de nouvelles victimes en Corée du Sud. L’acteur a probablement utilisé une compromission web stratégique, employant une chaîne d’infection similaire à celle que les chercheurs de Kaspersky avaient précédemment signalée, compromettant un dispositif de sécurité des terminaux. Autre élément, les chercheurs de Kaspersky ont observé que le malware et les schémas d’infection ont également été mis à jour. L’acteur a utilisé un logiciel malveillant qui n’avait jamais été observé auparavant, avec une fonctionnalité minimale pour exécuter les commandes du serveur C2. Grâce à l’implémentation de cette porte dérobée, l’opérateur a pu se cacher dans l’environnement numérique de la victime pendant un mois et recueillir des informations sur le système.

  • Le cyber-espionnage reste la finalité principale des campagnes APT

Au troisième trimestre 2022, les chercheurs de Kaspersky ont détecté de nombreuses campagnes APT, prenant essentiellement pour cible les institutions gouvernementales. Les récentes investigations montrent que cette année, à partir de février, HotCousin a tenté de compromettre des ministères des affaires étrangères en Europe, en Asie, en Afrique et en Amérique du Sud.

APT, backdoor, cyberattaque

Cyber attaque : campagne de cyber-espionnage du groupe POLONIUM contre des cibles basées en Israël

Des pirates s’intéressant uniquement à des cibles israéliennes, POLONIUM, ont attaqué plus d’une douzaine d’organisations dans différents secteurs, tels que l’ingénierie, les technologies de l’information, le droit ou encore les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM a ciblé plus d’une douzaine d’organisations en Israël depuis au moins septembre 2021, et les actions les plus récentes du groupe ont même été observées en septembre 2022. Les secteurs ciblés par ce groupe comprennent l’ingénierie, les technologies de l’information, le droit, les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM est un groupe de cyber espionnage décrit par Microsoft pour la première fois en juin 2022. Selon Microsoft, le groupe est basé au Liban et coordonne ses activités avec d’autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité.

Selon ESET Research, POLONIUM est un acteur très actif qui dispose d’un vaste arsenal de malwares, et qui les modifie et en développe constamment de nouveaux. L’utilisation de services dans le Cloud tels que Dropbox, Mega et OneDrive pour les communications de commande et de contrôle (C&C) est une caractéristique commune à plusieurs des outils du groupe. Les renseignements et les signalements publics sur POLONIUM sont très rares et limités, probablement parce que les attaques du groupe sont très ciblées et que le vecteur d’infection initial n’est pas connu.

« Les nombreuses versions et modifications que POLONIUM a introduites dans ses outils personnalisés démontrent un effort continu visant le long terme pour espionner les cibles du groupe. ESET en déduit que ce groupe de pirates est intéressé par la collecte de données confidentielles auprès de ses cibles, et ne semble pas s’engager dans des actions de sabotage ou de ransomwares, » explique Matías Porolli, chercheur chez ESET qui a analysé la campagne.

La boîte à outils de POLONIUM se compose de sept portes dérobées personnalisées : CreepyDrive, qui détourne les services de OneDrive et Dropbox dans le Cloud pour les communications de C&C ; CreepySnail, qui exécute les commandes reçues depuis l’infrastructure des attaquants ; DeepCreep et MegaCreep, qui utilisent respectivement les services de stockage de fichiers Dropbox et Mega; et FlipCreep, TechnoCreep et PapaCreep, qui reçoivent des commandes depuis les serveurs des attaquants. Le groupe a également développé plusieurs modules personnalisés pour espionner ses cibles en prenant des captures d’écran, en enregistrant les frappes au clavier, en espionnant via la webcam, en ouvrant des shells inversés, en exfiltrant des fichiers, etc.

« La plupart des modules malveillants du groupe sont concis, avec des fonctionnalités limitées. Dans un cas, les attaquants ont utilisé un module pour effectuer des captures d’écran et dans un autre pour les transmettre au serveur de C&C. Dans le même ordre d’idée, ils aiment diviser le code de leurs portes dérobées, en répartissant la fonctionnalité malveillante dans plusieurs petites DLL. Espérant peut-être que les défenseurs ou les chercheurs n’observeront pas la chaîne d’attaque complète », termine Matias Porolli.

backdoor, Cybersécurité

Piratage de l’administration fédérale de l’aviation US ?

Un pirate informatique propose à la vente une base de données contenant les employés de l’administration fédérale de l’aviation US.

Le pirate est connu de la scène « leak » mondiale. Baptisé PS, ce blacknaute commercialise des dizaines de bases de données toutes aussi étonnantes les unes que les autres. Je n’en ferai pas la liste ici, mais la dernière en date a de quoi attirer l’œil.

Pour 250 euros « somme négociable« , le hacker propose la base de données des employés de l’administration fédérale de l’aviation américaine. « Un accès en direct » souligne-t-il tout en proposant un échantillon.

On y croise les identités, les numéros de téléphone, les adresses électroniques (@faa.gov), les adresses physiques, etc.

Le pirate a diffusé une capture écran, ci-dessous, affichant 79.757 personnes le 13 août 2022.

« L’accès en direct signifie que nous fournissons des informations d’identification à la base de données pour se connecter et vérifier la source et la date des données » explique ce vendeur.

Une seule copie, pour une seule vente.

backdoor, Cybersécurité

Exploits zero day

Des chercheurs ont découvert deux nouveaux exploits zero day utilisés par le vendeur de logiciels espions islandais Candiru pour cibler, entre autres, des journalistes au Liban.

Le premier est un bogue dans WebRTC, qui a été exploité pour attaquer les utilisateurs de Google Chrome dans des attaques très ciblées de type « watering hole », mais qui a également affecté de nombreux autres navigateurs.

Un autre exploit a permis aux attaquants de s’échapper d’une sandbox dans laquelle ils avaient atterri après avoir exploité le premier zero-day. Le deuxième zéro day découvert par Avast a été exploité pour pénétrer dans le noyau de Windows.

Un autre zero-day décrit dans le dernier rapport en date d’AVAST est Follina, un bug d’exécution de code à distance dans Microsoft Office, qui a été largement exploité par des attaquants allant des cybercriminels aux groupes APT liés à la Russie et opérant en Ukraine.

Ce zero-day a également été exploité par Gadolinium/APT40, un groupe APT chinois connu, dans une attaque contre des cibles à Palau.

backdoor, cyberattaque

Des pirates s’infiltrent dans plusieurs stations de radio ukrainiennes

La guerre de l’information n’est pas prête de s’arrêter entre hacktivistes Russes et hacktivistes Ukrainiens. Des pirates diffusent de faux messages via des radios ukrainiennes.

Les assaillants ont répandu la nouvelle indiquant la présence du président Vladimir Zelensky à l’hôpital, en soins intensifs. Plusieurs radios ont diffusé le message quelques minutes. « Le président Zelensky est dans un état très grave et ses fonctions sont exercées par le président de la Verkhovna Rada« .

Il s’est avéré que les « nouvelles » concernant l’état de santé grave de Zelensky étaient fausses. Les stations de radio ont par la suite démenti ces informations, citant des pirates anonymes qui ont piraté les ondes et répandu la désinformation.

En mars 2022, une fausse vidéo du président ukrainien avait été diffusée via une chaîne locale préalablement piratée. La deepfake annonçait la capitulation de l’Ukraine face à la Russie.

backdoor, Cybersécurité

1 011 domaines pirates contre les youtubeurs

Selon Google, les créateurs de chaînes YouTube sont de plus en plus souvent victimes d’attaques de phishing utilisant des logiciels malveillants pour voler des mots de passe et des cookies.

Les logiciels malveillants détectés lors de ces attaques comprennent des souches de masse telles que RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad et Kantal, ainsi que des programmes open-source tels que Sorano et AdamantiumThief.

Ce malware est utilisé pour voler les informations d’identification du navigateur et les cookies, ce qui permet aux attaquants de détourner les sessions d’autorisation des utilisateurs.

Google a identifié au moins 1 011 domaines associés à ces attaques et environ 15 000 comptes de membres créés spécifiquement pour cette campagne.

backdoor, Chiffrement, cyberattaque

Faire face aux attaques de ransomware de type « Living Off the Land »

Les cyberattaques de type « living off the land » (ou LotL) constituent désormais l’une des menaces les plus redoutables pour les entreprises. La récente campagne de ransomware contre Kaseya n’est ainsi que le dernier exemple en date, dans lequel les cybercriminels ont utilisé les ressources technologiques de l’organisation contre elle. Ces types d’attaques procurent en effet aux cybercriminels deux leviers clés : l’accès et le temps.

Si ces attaques LotL ne se concluent pas toujours par un ransomware, les deux vont de plus en plus souvent de pair et sont aussi difficiles à évaluer qu’à prévenir. Une stratégie de protection efficace commence donc par une solide compréhension de ce qui constitue une attaque par ransomware LotL et des dommages qu’elle peut causer.

Dès 2017, les attaques de malwares sans fichier ont commencé à attirer l’attention du grand public après la divulgation de rapports faisant état d’infections de systèmes IT de plusieurs grandes organisations. Or, ces malwares sans fichier ont rendu possibles les attaques LotL. En éliminant la nécessité de stocker la charge utile malveillante dans un fichier, ou de l’installer directement sur une machine, les cybercriminels peuvent alors échapper aux antivirus, et aux autres outils traditionnels de sécurité des terminaux. Ils se déplacent ensuite latéralement dans l’environnement, en escaladant les privilèges et en dévoilant de nouveaux niveaux d’accès, jusqu’à ce qu’ils atteignent le but ultime : les systèmes, les applications et les bases de données contenant des actifs commerciaux essentiels, tels que les données clients, la propriété intellectuelle, les ressources humaines.

Malwares sans fichier

Pour se maintenir dans les systèmes sans être détectés, ces malwares sans fichier se font souvent passer pour un outil de confiance doté de privilèges et d’accès élevés. Cela permet aux attaquants de surveiller l’environnement, de récupérer des identifiants, en prenant tout le temps nécessaire. Il est extrêmement difficile d’identifier, et encore plus d’arrêter, ces attaques, surtout s’il s’agit d’un ransomware sophistiqué qui cible spécifiquement l’organisation. Pour y faire, il n’y a pas d’autre choix que de penser comme des attaquants, tout en gardant à l’esprit qu’une campagne n’est pas nécessairement identique à une autre. Le cheminement des attaques LotL n’est en effet pas linéaire. L’objectif est donc de déchiffrer l’environnement et de développer une approche fondée sur ce qui s’y trouve.

La plupart des attaques LotL suivent ainsi un schéma similaire : usurper des identités pour s’infiltrer dans un réseau d’entreprise, compromettre des systèmes, élever des privilèges et se déplacer latéralement jusqu’à obtenir l’accès aux systèmes sensibles nécessaires à l’exécution de l’attaque ou à la propagation du ransomware. Mais à chaque étape, il existe des possibilités divergentes qui rendent le suivi et l’anticipation de ces attaques très complexes. Les équipes IT doivent donc bénéficier des outils nécessaires pour décomposer les comportements et les indicateurs d’alerte à surveiller, lors des étapes critiques d’une attaque par ransomware LotL, et ce, afin d’accélérer la détection et de réduire l’exposition et les dommages.

Cependant, compte tenu du nombre de techniques éprouvées dont disposent les cybercriminels, il peut se révéler difficile de savoir comment traiter les points de vulnérabilité ou par où commencer. L’élaboration d’une stratégie de protection efficace contre les ransomwares exige des organisations qu’elles étudient les maillons de la chaîne d’attaque qui présentent les niveaux de risque les plus élevés et qu’elles les classent par ordre de priorité. Ainsi, une sécurisation des terminaux à plusieurs niveaux – combinant la défense par le moindre privilège, l’authentification forte des identités, la protection contre le vol d’informations d’identification, le contrôle des applications et le blocage des ransomwares – compliquera considérablement la tâche des hackers qui voudront s’introduire et maintenir leur présence. Car une fois qu’ils ont un pied dans le réseau informatique, il leur est facile de brouiller les pistes et d’intensifier leur action. (Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk)

backdoor, Cybersécurité, Social engineering

CHARMING KITTEN : des pirates venus d’Iran

Alors qu’ils ciblaient en mars dernier les éminents chercheurs en médecine via des campagnes de phishing principalement aux États-Unis et en Israël, l’acteur malveillant TA453, qui serait affilié au gouvernement iranien, également connu sous les noms de CHARMING KITTEN et PHOSPHORUS, est de retour avec une nouvelle campagne de leurres par email.

Baptisée « SpoofedScholars », cette opération représente l’une des campagnes les plus sophistiquées de TA453 selon la société en cybersécurité Proofpoint. Cet acteur malveillant procèderait en usurpant des infrastructures légitimes et reconnues pour atteindre leurs cibles. C’est en initiant des campagnes d’emails malveillants que TA453 a pu obtenir illégalement l’accès à un site Web appartenant à une institution universitaire de renommée mondiale afin de récolter les identifiants des cibles victimes.

SpoofedScholars

Les attaques de TA453 sont toujours plus innovantes et complexes. La finalité de l’opération « SpoofedScholars » ? Dérober des informations qui seront ensuite détenues par l’IRGC (Corps des gardiens de la révolution iranienne). Pour le moment, rien ne prouve la réelle appartenance de ces pirates avec l’IRGC.

C’est après avoir établi une pseudo relation de confiance par le biais de nombreuses conversations, que TA453 a pu infiltrer les systèmes d’information de ses infrastructures cibles comme l’Université de Londres. En effet, TA453 fournissait dans ses échanges par emails, un « lien d’enregistrement » vers un site Web compromis hébergeant une page de collecte d’informations d’identification de la radio SOAS de l’Université de Londres.

Ce site de phishing, aux apparences trompeuses était en réalité configuré pour dérober une variété de données d’identification.

Sur la durée, TA453 a changé de tactique et a décidé de fournir le lien d’enregistrement phishing plus tôt et plus furtivement dans ses interactions avec ses cibles, rendant ainsi la phase de conversation non-nécessaire.

Bien qu’à l’heure actuelle cette campagne ait été démasquée et qu’une partie du groupe de TA453 ne semblent plus être actifs, la société estime avec une grande confiance que TA453 continuera d’usurper les universitaires du monde entier pour soutenir les opérations de collecte de renseignements de TA453 en faveur des intérêts du gouvernement iranien. Les universitaires, les journalistes et le personnel des groupes de réflexion devront redoubler de vigilance et vérifier l’identité des personnes qui souhaiteront échanger avec eux par mail pour des opportunités professionnelles.

Android, backdoor, Cybersécurité

Des Trojans Android volent des logins et mots de passe d’utilisateurs Facebook

Détection de plusieurs applications malveillantes sur Google Play. De fausses applications qui volent des logins et des mots de passe d’utilisateurs de Facebook. Plus de 5,8 millions d’installations.

Un éditeur photo nommé Processing Photo. Il a été propagé par son développeur chikumburahamilton, ce malware a été installé plus de 500 000 fois.

Des applications App Lock Keep du développeur Sheralaw Rence, App Lock Manager éditée par Implummet col et Lockit Master du développeur Enali mchicolo, ces programmes malveillants permettent de configurer une limitation d’accès aux appareils Android et aux logiciels installés sur les appareils. Ces malwares ont été téléchargés au moins 50 000, 10 et 5 000 fois respectivement.

Un utilitaire destiné à optimiser le fonctionnement d’appareils Android – Rubbish Cleaner du développeur SNT.rbcl qui a été téléchargé plus de 100 000 fois.

Des programmes d’astrologie Horoscope Daily du développeur HscopeDaily momo et Horoscope Pi du développeur Talleyr Shauna. La première application a été installée plus de 100 000 fois et la deuxième plus de 1000 fois. Un programme de fitness Inwell Fitness du développeur Reuben Germaine, qui a connu plus de 100 000 installations.

Stealers

Un éditeur d’image PIP photo diffusé par le développeur Lillians. Les différentes versions de ce programme sont détectées comme Android.PWS.Facebook.17 et Android.PWS.Facebook.18. Cette application a été téléchargée plus de 5 millions de fois.
Dès que les experts de Doctor Web ont rapporté le problème à Google Inc., une partie des applications malveillantes ont été retirées mais au moment de la sortie de cette publication, certaines d’entre elles restent encore disponibles en téléchargement.

De plus, l’étude de ces stealers a montré l’existence d’une version antérieure d’un de ces malwares, propagée via Google Play sous couvert de l’éditeur photo EditorPhotoPip. Bien qu’il ait été retiré du catalogue, il restait disponible en téléchargement sur les sites d’agrégateurs d’applications.

Les applications étaient pleinement opérationnelles, ce qui devrait affaiblir la vigilance de leurs victimes potentielles. Pour accéder à toutes leurs fonctions, ainsi que pour prétendument désactiver la publicité, les utilisateurs étaient invités à se connecter à leurs comptes Facebook. Certaines applications contenaient des publicités, ce qui pouvait également affaiblir l’attention des utilisateurs et les pousser à exécuter une action proposée par les pirates. Si l’utilisateur acceptait la proposition et qu’il cliquait sur le bouton, il voyait un formulaire standard de saisie de login et de mot de passe.

Paramètres nécessaires pour voler des noms d’utilisateur et mots de passe

Il faut noter que les champs de saisie sont authentiques. Les Trojans utilisent un mécanisme spécialisé pour tromper leurs victimes. Après avoir reçu les paramètres d’un des serveurs de contrôle, les pirates téléchargent la page légitime de Facebook https://www.facebook.com/login.php dans WebView. Dans cette même WebView, ils téléchargent JavaScript depuis leur serveur qui intercepte les données d’authentification saisies. Ensuite, le JavaScript, en utilisant les méthodes fournies via JavascriptInterface, transmet les logins et les mots de passe volés aux applications, qui à leur tour les envoient au serveur des pirates. Une fois qu’une victime était connectée à son compte, les Trojans volaient également les fichiers cookies de la session d’authentification pour les envoyer aux pirates.

L’analyse de ces programmes malveillants a montré qu’ils ont tous reçu les paramètres nécessaires pour voler des noms d’utilisateur et mots de passe des comptes Facebook. Cependant, les attaquants sont en mesure de changer facilement les paramètres et de donner la commande de télécharger la page d’un service légitime ou d’utiliser un formulaire de saisie contrefait publié sur un site de phishing. Ainsi, les chevaux de Troie peuvent être utilisés pour voler des noms d’utilisateur et mots de passe de n’importe quel service. Le programme malveillant Android.PWS.Facebook.15 qui est une modification antérieure, est identique aux autres, mais il comprend également la sortie des données vers un fichier log dans la langue chinoise, ce qui peut indiquer son origine.

APT, backdoor, Cybersécurité

Tibet, OMS et diplomates dans le viseur du groupe de cybercriminels chinois APT TA413

Initialement connu pour ses campagnes contre la diaspora tibétaine, le groupe APT (Advanced Persistent Threat) associé aux intérêts de l’État Chinois, a montré une évolution de ses priorités ces derniers mois. Leur objectif ? Cibler des entités spécifiques pour des motifs économiques, des États pour des motifs politiques ou des organisations mondiales à but non lucratif. Contrairement à leur intention habituelle de cibler la communauté tibétaine, ces campagnes ont cherché à recueillir des renseignements sur les économies occidentales.

Depuis plusieurs mois déjà, la propagation mondiale du virus COVID-19 a entrainé un changement majeur dans le paysage de la menace. Les cybercriminels en profitent pour utiliser des leurres d’ingénierie sociale sur le thème de la pandémie et des recherches publiques ont révélé que plusieurs groupes APT ont adopté des leurres liés au COVID-19 au cours des derniers mois pour mener des campagnes d’espionnage.

En mars 2020, Proofpoint a observé une campagne de phishing imitant les directives de l’Organisation Mondiale de la Santé (OMS) sur la préparation au COVID-19 pour propager une nouvelle famille de malware surnommée « Sepulcher ». Cette campagne visait principalement des entités diplomatiques et législatives européennes, des organismes à but non lucratif et des organisations mondiales économiques.

Selon les chercheurs, on observe depuis juillet 2020 le retour d’un groupe APT avec des campagnes précédemment attribuées à l’acteur Chinois APT TA413. Une campagne de phishing datant de juillet 2020 ciblant les dissidents tibétains a notamment été identifiée, livrant la même souche de malware Sepulcher. En outre, les comptes de messagerie des opérateurs identifiés dans cette campagne ont été publiquement liés à des campagnes historiquement menées par le groupe Chinois APT TA413 ciblant la communauté tibétaine et diffusant le malware ExileRAT.

En se basant sur l’utilisation d’adresses d’expéditeurs connues du public, associées au ciblage des dissidents tibétains et à la livraison de la charge utile du malware Sepulcher, les chercheurs de Proofpoint ont attribué les deux campagnes à l’acteur APT TA413.

Il est clairement devenu indispensable de s’armer face à ces ennemis numériques. Les logiciels de sécurité, la formation, … ne peuvent être oubliés. Un antivirus pas cher ? L’important est d’en posséder un… à jour ! Qu’il se nomme Eset, Kaspersky, Gdata ou Bitdefender.

backdoor, Cybersécurité

La surveillance numérique par les services de renseignement : les États doivent prendre des mesures pour mieux protéger les individus

Dans une déclaration conjointe publiée ce jour, la Présidente du Comité de la « Convention 108 » du Conseil de l’Europe sur la protection des données, Alessandra Pierucci, et le Commissaire à la protection des données du Conseil de l’Europe, Jean-Philippe Walter, ont appelé les États à renforcer la protection des données à caractère personnel dans le contexte de la surveillance numérique effectuée par les services de renseignement, en adhérant à la convention du Conseil de l’Europe sur la protection des données, la « Convention 108+ », et en promouvant un nouvel instrument juridique international prévoyant des garanties effectives et démocratiques dans ce domaine.

« Les pays doivent s’accorder au niveau international sur la portée autorisée de la surveillance exercée par les services de renseignement, sur les conditions dans lesquelles elle s’exerce et selon quelles garanties, incluant le contrôle effectif et indépendant », ont-ils souligné. L’élaboration d’une nouvelle norme juridique pourrait se fonder sur les nombreux critères déjà développés par les tribunaux, dont la Cour européenne des droits de l’homme et la Cour suprême des États-Unis.

Citant l’arrêt de la Cour européenne de justice du 16 juillet 2020 sur « Schrems II », qui conclut que l’accord sur le « Bouclier de protection des données UE – États-Unis » ne fournit pas un niveau suffisant de protection des données à caractère personnel transférées de l’UE vers les États-Unis, en raison de garanties insuffisantes relatives aux droits de l’homme dans le contexte de l’accès aux données par les programmes de surveillance du gouvernement américain, la déclaration met en lumière que cette décision a des conséquences qui vont au-delà des transferts de données UE – États-Unis et offre l’occasion de renforcer le cadre universel de protection des données.

La déclaration rappelle le rôle que le traité modernisé de protection des données du Conseil de l’Europe, qui n’est pas encore entré en vigueur, pourra jouer en tant qu’accord solide juridiquement contraignant pour la protection de la vie privée et des données à caractère personnel au niveau mondial, notamment en ce qui concerne le flux transfrontière des données à caractère personnel.

Certes, la convention fournit déjà un cadre juridique international important pour la protection des données à caractère personnel, qui porte plus spécifiquement sur la nécessité d’un examen effectif et indépendant et d’une surveillance des restrictions à la protection des données à caractère personnel justifiées par des impératifs de sécurité nationale ou de défense ; toutefois, elle n’aborde pas explicitement et de manière exhaustive certains des défis posés au niveau international par les capacités de la surveillance de masse, ce qui nécessite la rédaction d’une nouvelle norme juridique internationale spécifique.

La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, connue également sous le nom de « Convention 108 », est le seul instrument international juridiquement contraignant dédié à la protection des données et de la vie privée qui soit ouvert à la signature de tous les pays du monde. Adopté en 1981, ce traité a été mis à jour en 2018 par un protocole, pas encore entré en vigueur, qui garantit que ses principes de protection des données sont toujours adaptés aux outils et pratiques actuels et renforce son mécanisme de suivi. À ce jour, 55 pays ont ratifié la « Convention 108 » et de nombreux autres pays du monde s’en sont inspirés comme modèle de leur nouvelle législation relative à la protection des données.

backdoor, Cybersécurité

Des failles de sécurité dans des décodeurs Thomson et Philips

Une équipe de chercheurs découvre d’importantes failles de sécurité dans deux des décodeurs numériques (STB) les plus courants du marché. Ces vulnérabilités peuvent permettre à des cybercriminels de stocker des logiciels malveillants dans ces boîtiers de décodage pour lancer des attaques, par botnet ou ransomware, en utilisant un service de prévisions météo. Les boîtiers concernés sont fabriqués par les deux grands noms de l’électronique grand public, THOMSON et Philips. Les boîtiers « THOMSON THT741FTA » et « Philips DTR3502BFTA » sont disponibles dans toute l’Europe et utilisés par de nombreux particuliers dont le téléviseur ne prend pas en charge le standard DVB-T2 ; soit le système de diffusion de signal numérique le plus récent pour la télévision terrestre (TNT) permettant d’accéder à un large éventail de services de télévision haute définition (HD).

Menée par Vladislav Iluishin, responsable d’équipe de l’IoT Lab, et Marko Zbirka, chercheur spécialisé dans les menaces concernant l’Internet des objets, cette enquête entamée en janvier 2020 s’inscrit dans le cadre d’une initiative entreprise par Avast pour explorer et tester le niveau de sécurité des appareils connectés à l’Internet des objets.

Dès le début de leurs travaux, Vladislav Iluishin et Marko Zbirka de chez Avast ont découvert qu’au moment de leur livraison, le port TelNet de ces deux décodeurs connectés à Internet est ouvert. Pour mémoire, ce protocole non chiffré qui date de plus de 50 ans est utilisé pour communiquer avec des appareils ou des serveurs distants. En raison de cette exposition, un cyberattaquant peut accéder à distance aux décodeurs et les ajouter à des réseaux de botnets, dans l’optique de lancer des attaques par déni de service distribué (DDoS) ou tout autre initiative malveillante. Les deux experts ont réussi à exécuter sur les deux appareils le code du botnet Mirai, un malware largement répandu.

Les chercheurs ont également mis en évidence une lacune liée à l’architecture des décodeurs : ces deux produits s’appuient sur le noyau Linux 3.10.23, un programme à privilèges installé sur les boîtiers depuis 2016 et qui sert de passerelle entre les éléments matériel et logiciel en allouant à ce dernier les ressources nécessaires à son bon fonctionnement. Or, la version 3.10.23 n’est plus prise en charge depuis novembre 2017, de sorte que les correctifs (bugs et vulnérabilités) ont été publiés pendant seulement un an, exposant les utilisateurs à des attaques potentielles depuis environ 3 ans.

Parmi les autres problèmes de sécurité qui affectent ces décodeurs, citons une connexion non chiffrée avec une application préinstallée du service de prévisions météorologiques AccuWeather. Cette découverte a eu lieu en analysant le trafic échangé entre les décodeurs et le routeur. La connexion non sécurisée entre les boîtiers et le service d’AccuWeather pourrait permettre à un acteur malveillant de modifier le contenu visualisé sur le téléviseur lorsque l’utilisateur consulte son application météo. Par exemple, un intrus pourrait afficher une demande de rançon en affirmant à l’utilisateur que son téléviseur a été piraté avant d’exiger un paiement pour le « libérer ».

« Les fabricants ne sont pas seulement responsables de veiller à la sûreté des produits qu’ils vendent : ils doivent également en assurer la sécurité et, par conséquent, celle de leurs utilisateurs, analyse Vladislav Iliouchine. Malheureusement, il est rare que les fabricants d’appareils connectés évaluent la manière dont la surface d’attaque de leurs produits peut être réduite. Dans la plupart des cas, ils se contentent du strict minimum, sans tenir compte des enjeux liés à l’IoT et à la sécurité des clients, afin de réduire leurs coûts et de commercialiser leurs produits plus rapidement»

Les propriétaires de décodeurs DVB-T2 Philips ou Thomson sont invités à suivre les conseils suivants :

  1. Si les fonctions Internet ne sont pas utilisées, il est recommandé de ne pas connecter le décodeur au réseau domestique ;
  2. Renseignez-vous : achetez toujours des produits proposés par des marques établies, crédibles et réputées pour la prise en charge à long terme de leurs appareils et le respect de la sécurité ;
  3. Les utilisateurs plus avancés peuvent se connecter à l’interface de leur routeur afin de vérifier dans les paramètres si la fonction « Universal Plug and Play » (UPnP) est activée. Si c’est le cas, nous recommandons de la désactiver. Nous suggérons également de vérifier la configuration du routage de port (port forwarding) et de désactiver cette fonction, sauf si elle est absolument indispensable.

Dans le cadre de cette enquête, l’éditeur d’antivirus a contacté Philips et THOMSON pour leur faire part de ces découvertes et des suggestions permettant d’améliorer la sécurité de leurs produits. Vous trouverez plus de détails, notamment des illustrations, des chronologies et une liste de vulnérabilités et expositions de cybersécurité (CVE — Cybersecurity Vulnerabilities and Exposuresici.

backdoor

Comment lutter contre le Shadow IT ?

Le Shadow IT se définit par l’accessibilité au service informatique (généralement par le Cloud) d’une entreprise par une personne externe sans l’accord des gestionnaires informatiques de ladite entreprise. Ce phénomène représente une réelle menace pour les sociétés qui en sont victime, car il peut entrainer une fuite de données sensibles. Pour éviter de subir les effets néfastes du Shadow IT sur vos activités, voici quelques mesures à prendre.

Utiliser le CASB

CASB signifie en Anglais Cloud Access Security Broker. Il s’agit d’un logiciel ultra efficace pour signaler les menaces liées à l’utilisation des applications au sein d’une société. Il représente une réelle alternative pour lutter contre le Shadow IT d’autant plus qu’il permet de renforcer la protection complète des données en partant du Cloud jusqu’à la totalité de votre système informatique. En gros, il permet d’examiner le comportement des utilisateurs, et de maitriser les accès. L’idéal serait d’imposer son utilisation au sein de votre direction informatique en vue d’avoir un contrôle général sur l’utilisation du service Cloud afin de pouvoir dévoiler d’éventuelles contraintes liées au Shadow IT. Cliquez ici pour en savoir plus sur le Shadow IT.

Communiquer efficacement sur les risques liés à ce phénomène

L’informatique est omniprésente dans la quasi-totalité des activités humaines. Ces dernières années, environ 23 % des entreprises ont opté pour l’usage du service Cloud dans le cadre de leurs activités. Si vous êtes chef de société, même si vous n’adoptez pas ce type de service, il y a fort à parier que vos employés en font usage sans passer par votre direction informatique. En réalité, il s’agit d’une technologie qu’on peut obtenir et utiliser gratuitement. L’idéal serait donc de mettre en œuvre une méthode de surveillance capable d’identifier la présence du service Cloud et des appareils qui peuvent poser problème. À la suite à cette démarche, vous allez identifier « qui utilise quoi » au sein de vos locaux. Ainsi, vous pourrez sensibiliser vos salariés sur les risques probables et les conséquences qui peuvent en découler.

backdoor, Cybersécurité

Chasse aux backdoors dans des appareils Cisco contrefaits

Une enquête met en lumière l’impact des composants contrefaits dans une infrastructure informatique. Et si derrière la copie se cachait une backdoor.

Des spécialistes de la sécurité matérielle viennent de publier un rapport détaillant une enquête concernant des commutateurs réseau contrefaits. L’enquête a conclu que les contrefaçons étaient conçues pour contourner les processus qui authentifient les composants du système.

L’équipe de sécurité matérielle de F-Secure Consulting a enquêté sur deux versions contrefaites différentes de commutateurs Cisco Catalyst série 2960-X. Les contrefaçons ont été découvertes par une société informatique après une mise à jour logicielle ratée. Une panne courante du matériel contrefait/modifié aux nouveaux logiciels.

D’abord, les enquêteurs ont découvert que si les contrefaçons ne possédaient pas de fonctionnalités de type « backdoor » (porte cachée), elles employaient néanmoins diverses mesures pour tromper les contrôles de sécurité. Par exemple, l’une des unités a exploité ce que l’équipe de recherche pense être une vulnérabilité logicielle non découverte auparavant pour miner les processus de démarrage sécurisés qui assurent une protection contre la falsification des microprogrammes.

« Nous avons découvert que les contrefaçons étaient construites pour contourner les mesures d’authentification, mais nous n’avons pas trouvé de preuves suggérant que les unités présentaient d’autres risques« , a déclaré Dmitry Janushkevich, consultant senior de l’équipe « Sécurité matérielle » de F-Secure Consulting, et auteur principal du rapport. « Les motifs des faussaires se limitaient probablement à gagner de l’argent en vendant les composants.« . Bref, il est indispensable de vérifier minutieusement tout matériel rentrant dans l’entreprise.

Derrière la contrefaçon

Ensuite, les contrefaçons étaient physiquement et opérationnellement similaires à un authentique commutateur Cisco. L’une des études techniques de l’unité suggère :

  • Les contrefacteurs investissent massivement dans la reproduction du design original de Cisco ;
  • Ils ont eu accès à une documentation technique propriétaire pour les aider à créer une copie convaincante.

« Les services de sécurité ne peuvent pas se permettre d’ignorer le matériel altéré/modifié. Ils doivent enquêter sur toutes les contrefaçons présentes dans la société« . Sans démolir le matériel et l’examiner de fond en comble, les organisations ne peuvent pas savoir si un dispositif modifié a eu un impact plus important sur la sécurité.

Enfin, l’impact peut être suffisamment important pour saper complètement les mesures de sécurité et de protection mises en place dans l’organisation.

Pour conclure, voici quelques conseils pour aider les organisations à se prémunir contre l’utilisation de composants contrefaits :

Procurez-vous tous vos composants auprès de revendeurs autorisés
Disposer de processus et de politiques internes clairs qui régissent les procédures de passation de marchés ;
S’assurer que tous les composants fonctionnent avec les derniers logiciels disponibles fournis par les fournisseurs ;
Notez les différences physiques entre les différentes unités d’un même produit, même si elles sont subtiles.

backdoor, Chiffrement, Cybersécurité

Tycoon, le ransomware qui infiltre les petites et moyennes entreprises dans les domaines de l’éducation et du logiciel

Le rançongiciel Tycoon tente d’infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel.

La société Blackberry Research & Intelligence vient de publier une étude concernant le ransomware Tycoon. La découverte d’une « nouvelle » souche montre que les attaquants deviennent de plus en plus créatifs et ont des programmes R&D qui ne se cachent plus.

Jusqu’à présent, les acteurs de cette menace ont utilisé ce rançongiciel pour infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel. Ce code malveillant utilise un format d’image inhabituel afin de passer inaperçu (Java IMAGE). Il verrouille les accès des administrateurs systèmes en attaquant leur contrôleur de domaine et leurs serveurs de fichiers. La typologie des victimes et le texte de rançon suggèrent un lien avec le ransomware Dharma/CrySIS.

Les pirates désactivent les solutions anti-malware à l’aide de l’utilitaire ProcessHacker. Ensuite, ils modifient les mots de passe des serveurs Active Directory. Cela laisse la victime incapable d’accéder aux systèmes infiltrés.

Le rançongiciel Tycoon se présente sous la forme d’une archive ZIP contenant une version JRE (Trojanized Java Runtime Environment). Le malware est compilé dans un fichier image Java (JIMAGE) situé dans lib\modules.

Il semble exister plusieurs versions de ce code malveillant. Il rajoute comme extension aux documents pris en otage : .grinch ou encore .thanos.

Les victimes, des cibles classiques. Plus fragile à une cyber attaque et plus à même de payer face à la perte de toutes leurs données. A lire, à ce sujet, une technique employée par les pirates opérateurs du ransomware Sodinokibi, découverte par la société en cyber sécurité de Montréal The 8 Brains, à destination des particuliers, PME et étudiants.

backdoor, Cybersécurité, IOT

NAS et Routeurs Zyxel/Linksys dans la ligne de mire de pirates

Découvertes de plusieurs cyber attaques visant les utilisateurs de stockages connectés Zyxel et routeurs Linksys.

Une ne nouvelle variante de Mirai vise les stockages connectés Zyxel.

Appelé Mukashi, ce malware utilise des attaques par force brute. Mission, s’infiltrer via différentes combinaisons d’identifiants par défaut afin de se connecter aux produits de stockage en réseau Zyxel.

Une cyber attaque qui a pour mission de prendre le contrôle et d’ajouter à un réseau de dispositifs pouvant être utilisés pour conduire des attaques DDoS.

Le PoC (proof-of-concept) de la faille CVE-2020-9054 a été rendu public en février 2019. Une vulnérabilité rapidement exploitée pour infecter des modèles NAS de chez Zyxel avec une nouvelle variante de Mirai : Mukashi. Ce code malveillant utilise la force brute pour s’infiltrer en utilisant différentes combinaisons d’identifiants par défaut, tout en informant son serveur C2 (command & contrôle) de ses réussites. De nombreux serveurs NAS de Zyxel, si ce n’est tous, utilisant les versions de firmware allant jusqu’à 5.21 sont concernés par cette vulnérabilité.

Cette vulnérabilité classée critique (c’est-à-dire un score de 9,8 selon le CVSS v3.1) en raison de son incroyable facilité d’exploitation. Faille découverte à l’origine par la vente de son code en tant que 0-day. Les pirates indiquaient que cet exploit était désormais dans les mains d’un groupe de cyber criminels qui cherchaient à l’intégrer dans l’autre code malveillant, Emotet.

Bot contre Zyxel

Mukashi est un bot qui scanne les ports 23 TCP d’hôtes au hasard. Il utilise la force brute pour s’infiltrer en utilisant différentes combinaisons d’identifiants par défaut et qui renvoie ses essais réussis vers un serveur C2. Comme les autres variantes de Mirai, Mukashi peut également recevoir des ordres de son serveur C&C et de lancer des attaques par déni de service (DoS). Une fois exécuté, Mukashi affiche le message « Protecting your device from further infections. » sur la console. Le malware change alors le nom de son processus en dvrhelper, suggérant que Mukashi a pu hériter de certaines particularités de son prédécesseur.

Avant d’exécuter son opération, Mukashi se lie au port TCP 23448 pour s’assurer qu’il n’y a qu’une seule instance tournant sur le système infecté. Le malware décode quelques chaînes de caractères à la volée lors de son initialisation. Contrairement à ses prédécesseurs qui utilisent le chiffrement xor classique, Mukashi utilise une routine de décryptage personnalisée pour chiffrer ces commandes et ces informations d’identification.

Il est indispensable de mettre à jour le firmware pour ne pas laisser entrer les attaquants. Les dernières versions du firmware sont disponibles en téléchargement. Mieux vaut utiliser des couples identifiants/mots de passe complexes pour éviter les attaques par la force brute.

Chez Linksys

Pendant ce temps, Bitdefender découvrait une nouvelle attaque ciblant les routeurs Linksys. La cyber attaque a pour mission de modifier les paramètres DNS des matériels. Mission, diriger les utilisateurs vers une page web liée au COVID-19. Une page ayant pour mission diffuser des logiciels malveillants. L’attaque a débuté le 18 mars 2020. Elle utilisait le service de raccourcissement d’adresse web TinyURL et quatre stockages Bitbucket.

Les principaux pays touchés auraient été la France, l’Allemagne et les États-Unis. 1 193 téléchargements auraient été détectées en deux jours.

Kit Covi-19 : protéger son entreprise et ses employés

Besoin d’un outil pour sécuriser vos équipes lors du confinement ? Le Kit Cyber Covid-19 a été mis en place par plusieurs entreprises Françaises, à l’initiative de ITrust.

backdoor, Chiffrement

Snake : un ransomware venu d’Iran ?

Le ransomware Snake capable de prendre en otage des systèmes de contrôle industriels. Le code malveillant viendrait d’Iran.

Le rançongiciel « Snake », comme d’autres du genre, chiffre les programmes et les documents sur les machines infectées. Étonnant, les auteurs présumés de ce code serait Iranien, mais surtout, le logiciel de rançonnage pourrait supprimer les copies de fichiers des stations infectées. Ecrit en langage Golang, il chiffre tous les fichiers qu’il rencontrera.

Snake s’attaque à tous les processus du système liés aux ICS et SCADA. En cas de non paiement, il efface l’ensemble des données. Des chercheurs de la société Israélienne Otorio indique que Snake s’attaque à la compagnie nationale de pétrole de Barheïn, BAPCO (Bahrain Petroleum Co.). La société est mentionnée dans la demande de rançon sauvegardé en fichier texte sur la machine prise en otage.

A noter que le code de Snake s’échange sur certains forums pirates comme a pu le constater la société Québécoise spécialiste en cybersécurité The 8Brains. Code simple, mais efficace face à des entreprises qui n’ont pas pris soin de se protéger… un minimum !