Alerte sécurité Android : Mise à jour requise pour corriger une faille activement exploitée - Actus du 10/09/2024
Découvrez pourquoi il est crucial de mettre à jour vos systèmes Windows 22H2 et Android ce mois-ci. Microsoft et Android lancent des mises à niveau importantes pour renforcer la sécurité. Infos clés pour RSSI et administrateurs sur la gestion des privilèges des terminaux. Ne manquez pas cette...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft va lancer la mise à niveau forcée des systèmes Windows 22H2 le mois prochain
Microsoft a annoncé que les systèmes Windows 11 22H2 atteignant la fin de leur support le 8 octobre 2024 seront automatiquement mis à niveau vers Windows 11 23H2. Cette décision concerne les éditions Home, Pro, Pro Education, Pro for Workstations et SE, lancées le 20 septembre 2022. Les éditions Enterprise, Education et IoT Enterprise de Windows 11 21H2 atteindront également la fin de leur service le même jour, un an après les éditions Home et Pro. Microsoft a précisé que cette mise à jour automatique vise à garantir la sécurité et la productivité des utilisateurs, en maintenant leurs appareils à jour avec des mises à jour mensuelles essentielles. Les clients peuvent consulter les dates de fin de service des autres versions de Windows via l'outil de recherche de politique de cycle de vie et la FAQ sur le cycle de vie de Windows. La mise à jour Windows 11 23H2, également connue sous le nom de Windows 11 2023 Update, a été d'abord proposée aux Insiders en septembre pour des tests en entreprise, avant son déploiement officiel fin octobre. Les utilisateurs peuvent vérifier la compatibilité de leur PC avec cette mise à jour à l'aide de l'application PC Health Check.
Sources :
Navigation dans la gestion des privilèges des terminaux : informations pour les RSSI et les administrateurs
Dans le contexte actuel de la cybersécurité, la gestion des privilèges des points de terminaison (EPM) est cruciale pour protéger les actifs organisationnels. Les responsables de la sécurité doivent comprendre les enjeux de l'EPM pour renforcer leurs défenses contre les menaces avancées. Cette approche vise à limiter le nombre d'utilisateurs pouvant exécuter des logiciels avec des privilèges élevés, réduisant ainsi la surface d'attaque. Cependant, une mauvaise configuration des politiques EPM peut entraîner des problèmes d'accès et des perturbations opérationnelles. Les utilisateurs soutiennent que les privilèges administratifs sont nécessaires pour leur efficacité, tandis que les administrateurs IT soulignent les vulnérabilités de sécurité associées. Une idée reçue est que retirer les droits administratifs empêche l'installation de logiciels non fiables, alors que certains peuvent encore être exécutés sans ces droits. Des statistiques récentes montrent une augmentation des attaques par ransomware, représentant 62 % des violations motivées financièrement, soulignant l'importance d'une gestion efficace des privilèges. Les solutions comme ThreatLocker® Ringfencing™ permettent de réduire les risques en isolant les composants critiques. Pour les responsables de la sécurité, le défi est de trouver un équilibre entre productivité des utilisateurs et sécurité robuste, tout en minimisant les perturbations.
Sources :
Alerte sécurité Android : Mise à jour requise pour corriger une faille activement exploitée
Google a récemment publié ses mises à jour de sécurité mensuelles pour Android, visant à corriger une vulnérabilité critique, identifiée sous le numéro CVE-2024-32896, qui est activement exploitée. Cette faille, avec un score CVSS de 7,8, concerne une escalade de privilèges dans le composant Android Framework. Selon le NIST, il s'agit d'une erreur logique permettant une élévation locale des privilèges sans nécessiter de privilèges d'exécution supplémentaires. Bien que cette vulnérabilité ait été initialement signalée en juin 2024 comme affectant uniquement les appareils Pixel, Google a confirmé qu'elle touche l'ensemble de l'écosystème Android. La société collabore avec les fabricants d'équipements d'origine pour déployer les correctifs nécessaires. Il est important de noter que l'exploitation de cette vulnérabilité requiert un accès physique à l'appareil et perturbe le processus de réinitialisation d'usine. Google a également souligné l'importance pour les utilisateurs de mettre à jour leurs appareils dès que des mises à jour de sécurité sont disponibles. Cette situation met en lumière la nécessité d'une vigilance continue face aux menaces de sécurité sur les appareils Android.
Sources :
Les téléphones portables nous espionnent-ils vraiment ?
Lors d'échanges entre amis, il arrive souvent que des publicités en ligne apparaissent en lien avec des sujets discutés, ce qui suscite des inquiétudes quant à une écoute des conversations par les téléphones. Cependant, les experts de Kaspersky démentent ce mythe, expliquant que cette impression provient principalement de la traçabilité des habitudes en ligne et du partage d'informations entre appareils. Les smartphones collectent des données sur les comportements des utilisateurs, comme les sites visités et les produits recherchés, permettant ainsi aux entreprises de proposer des publicités ciblées. Par ailleurs, les appareils à proximité échangent des métadonnées sur les préférences d'achat, sans lier ces informations à des identités personnelles, mais plutôt à des adresses IP. Cela crée une illusion d'écoute lorsque des publicités spécifiques apparaissent après des discussions. Kaspersky recommande de surveiller les applications qui suivent les habitudes de navigation et de modifier les paramètres de confidentialité pour limiter le partage de données personnelles. En désactivant les autorisations jugées invasives, les utilisateurs peuvent mieux protéger leur vie privée tout en continuant à bénéficier de services en ligne personnalisés.
Sources :
Guide pour les dirigeants des systèmes d’information qui souhaitent le rester
Le cyber-risque est désormais reconnu comme un risque majeur, comparable aux désastres climatiques et aux incertitudes économiques. Alain Sanchez, CISO chez Fortinet, souligne l'importance croissante des actifs numériques, transformant chaque menace sur les systèmes d'information en un enjeu critique. Les lois et réglementations, qui protègent les libertés et la propriété intellectuelle, offrent aux responsables de la sécurité des opportunités pour renforcer leur rôle. Cependant, l'intégration d'une approche juridique dans la cybersécurité reste un défi pour de nombreux RSSI. Pour gagner la confiance des conseils d'administration, il est essentiel de démontrer une compréhension des risques juridiques liés à la transformation numérique. La résilience, autrefois un concept technique, est désormais une exigence légale, nécessitant des plans vérifiables. Quatre considérations clés doivent guider ces plans : la priorisation des contraintes, qui nécessite un dialogue constant entre le conseil d'administration et l'équipe opérationnelle ; l'élaboration de stratégies de défense équilibrant produits, processus et ressources humaines ; et la capacité du RSSI à présenter des options claires au conseil, qui prend la décision finale. Cela permet au RSSI de devenir un acteur légitime dans la gestion des risques, plutôt que d'être le seul responsable en cas de crise.
Sources :
Flipper Zero publie le firmware 1.0 après trois ans de développement
Après trois ans de développement, l'équipe de Flipper Zero a annoncé la sortie de la première version majeure de son firmware, la version 1.0, pour son dispositif de hacking portable et personnalisable. Ce gadget, destiné aux testeurs de pénétration, a suscité des controverses en raison de son utilisation dans des activités illégales, entraînant des interdictions dans certains pays comme le Canada et le Brésil. La nouvelle version stabilise le support de 89 protocoles radio, 4 infrarouges et 20 RFID, tout en améliorant la communication Bluetooth et NFC, et en offrant une autonomie d'un mois en veille. Parmi les principales nouveautés, on trouve le chargement dynamique d'applications, un système NFC entièrement réécrit, et le support de JavaScript pour faciliter le développement d'applications. Des améliorations ont également été apportées aux protocoles Sub-GHz et aux fonctionnalités infrarouges. Les utilisateurs sont encouragés à mettre à jour leur firmware pour bénéficier d'une meilleure fiabilité. La mise à jour est gratuite et peut être effectuée via Bluetooth ou USB. L'équipe se concentrera désormais sur le développement d'un nouveau produit tout en continuant d'améliorer Flipper Zero.
Sources :
Les États-Unis offrent 1 million de dollars pour des informations sur un présumé pirate informatique russe
Le département d'État américain a annoncé une récompense d'un million de dollars pour des informations sur Tim Vakhaevich Stigal, un pirate informatique russe recherché pour des cyberattaques contre des entreprises américaines. Stigal fait face à 24 chefs d'accusation, dont la fraude électronique et le vol d'identité aggravé, ayant causé des pertes financières importantes. Sa capture est une priorité pour les autorités, qui espèrent que cette récompense incitera des informateurs à fournir des renseignements cruciaux. Cette initiative s'inscrit dans un contexte de tensions croissantes entre les États-Unis et la Russie, notamment en raison de l'ingérence présumée de Moscou dans les élections américaines. Parallèlement, le gouvernement américain intensifie ses efforts pour contrer la désinformation et les cyberattaques, surtout à l'approche des élections présidentielles de 2024. Trois entreprises russes, sous la direction de Sergueï Kirienko, ont été identifiées comme responsables de la diffusion de propagande pro-russe, visant à influencer l'opinion publique américaine et à réduire le soutien international à l'Ukraine. Ces actions exploitent les tensions politiques aux États-Unis, ciblant des électeurs clés pour manipuler les perceptions sur des sujets sensibles.
Sources :
Des experts identifient trois groupes de cyberattaques liées à la Chine en Asie du Sud-Est
Un trio de groupes d'activités de menaces lié à la Chine a été observé compromettant davantage d'organisations gouvernementales en Asie du Sud-Est dans le cadre d'une opération d'espionnage renouvelée, nommée Crimson Palace. Selon la société de cybersécurité Sophos, cette offensive comprend trois ensembles d'intrusion : Cluster Alpha, Cluster Bravo et Cluster Charlie. Les attaquants ont utilisé des réseaux d'organisations compromises pour livrer des malwares, se servant d'un système non identifié comme point de relais de commande et de contrôle (C2). Les attaques, documentées pour la première fois en juin 2024, ont eu lieu entre mars 2023 et avril 2024, ciblant 11 organisations. Cluster Charlie, également connu sous le nom d'Earth Longzhi, a été actif entre septembre 2023 et juin 2024, utilisant des frameworks C2 comme Cobalt Strike pour faciliter l'exploitation post-attaque. Les chercheurs ont noté que l'exfiltration de données demeurait un objectif, mais que l'accent était mis sur le rétablissement de l'accès aux réseaux ciblés. Les clusters collaborent en se concentrant sur des tâches spécifiques : infiltration (Alpha), approfondissement (Bravo) et exfiltration de données (Charlie), tout en affinant continuellement leurs techniques et outils.
Sources :
Le gang de ransomware NoName déploie le malware RansomHub lors d'attaques récentes
Le groupe de ransomware NoName, actif depuis plus de trois ans, cible principalement les petites et moyennes entreprises à l'échelle mondiale. Récemment, il a commencé à se positionner comme un affilié de RansomHub, utilisant des outils personnalisés de la famille de malwares Spacecolon. Les attaques s'appuient sur des méthodes de force brute et l'exploitation de vulnérabilités anciennes, telles qu'EternalBlue et ZeroLogon. NoName a remplacé son ancien encryptor, Scarab, par ScRansom, qui désactive des processus critiques sur les systèmes Windows avant de chiffrer les fichiers. En cas de réexécution, de nouvelles clés de déchiffrement sont générées, rendant la récupération des données complexe. Des rapports indiquent que des victimes ont reçu jusqu'à 31 identifiants de déchiffrement sans pouvoir récupérer tous leurs fichiers. En parallèle, NoName a tenté de se faire connaître en imitant le site de fuite de données de LockBit et en utilisant des échantillons de ransomware LockBit tout en liant des identifiants de victimes à CosmicBeetle, un acteur de la menace. Les chercheurs d'ESET ont également observé l'utilisation d'un outil d'escalade de privilèges avant le déploiement de RansomHub, suggérant une évolution continue des capacités de NoName dans le paysage du ransomware.
Sources :
Enquête ESET : le cybergang CosmicBeetle cible des entreprises françaises et devient affilié de RansomHub
ESET a récemment découvert que le groupe de cybercriminalité CosmicBeetle, actif depuis 2020, s'associe à d'autres gangs de ransomwares, notamment RansomHub, pour cibler des petites et moyennes entreprises (PME) en France et dans d'autres régions d'Europe et d'Asie. Les chercheurs d'ESET ont analysé ScRansom, un ransomware en développement continu, qui utilise des outils malveillants issus de LockBit, un ransomware bien connu. CosmicBeetle exploite des vulnérabilités anciennes et utilise des techniques de « brute force » pour infiltrer ses cibles, qui sont souvent des PME manquant de mises à jour de sécurité. ScRansom est capable de chiffrer des fichiers et de tuer des processus sur les machines infectées, mais son déchiffrement est complexe et incertain, rendant la restauration des données problématique. ESET souligne que même si un déchiffreur a été obtenu, la récupération des fichiers reste aléatoire et peut entraîner des pertes irrémédiables. CosmicBeetle semble tirer parti de la réputation de LockBit pour masquer les faiblesses de son propre ransomware, augmentant ainsi les chances que les victimes paient la rançon. Les attaques touchent divers secteurs, notamment la fabrication, la santé et les services financiers.
Sources :
Mettre en lumière les applications fantômes : la passerelle invisible vers les violations de données SaaS
Les applications non sanctionnées, ou "shadow apps", représentent un risque pour la sécurité des entreprises en raison de leur utilisation en dehors des contrôles des équipes de sécurité. Par exemple, une équipe de développement peut créer une instance de GitHub pour isoler son travail, mais cela peut entraîner le stockage de données sensibles sans protections adéquates, comme l'authentification multifacteur (MFA) ou des contrôles d'accès robustes. Ces configurations inappropriées peuvent mener à des vols de code source et à d'autres problèmes de sécurité. Les employés utilisant ces applications peuvent traiter des données sensibles sans chiffrement, augmentant ainsi le risque de fuites ou d'accès non autorisés. Les équipes informatiques peuvent ne pas détecter ces menaces, car elles manquent de visibilité sur les transferts de données non autorisés. Les solutions de gestion de la sécurité des applications SaaS (SSPM) sont cruciales pour identifier ces applications non autorisées. Elles peuvent s'intégrer à des systèmes de sécurité des e-mails pour récupérer des informations pertinentes sans être intrusives. De plus, des outils de sécurité par extension de navigateur peuvent aider à comparer les applications utilisées avec celles autorisées, déclenchant des alertes en cas de détection d'applications non sanctionnées. La montée des applications SaaS accentue cette préoccupation.
Sources :
L’évolution des ransomwares : comment les cybercriminels élargissent leurs tactiques avec la collecte de mots de passe et l’exploitation des identifiants
Le groupe cybercriminel Qilin cible récemment le navigateur Chrome avec des attaques par ransomware, se distinguant par sa capacité à exfiltrer des identifiants stockés. Cette évolution des tactiques représente une menace accrue pour la sécurité des utilisateurs et des entreprises, facilitant des intrusions et du chantage numérique. Selon Ilia Sotnikov de Netwrix, les opérateurs de ransomware adoptent une stratégie de double extorsion : ils chiffrent d'abord les systèmes, puis volent des données sensibles pour exiger une rançon. Qilin, en plus de ces méthodes, collecte les mots de passe des utilisateurs, ce qui leur permet d'analyser les ressources d'une organisation et de cibler leurs attaques plus efficacement. L'authentification multi-facteurs (MFA) est difficile à déployer rapidement, laissant les identifiants volés vulnérables à des attaques futures. De plus, ces informations peuvent être revendues sur le dark web, ajoutant une source de revenus pour les cybercriminels. Sophos a décrit les étapes de l'attaque, notamment l'ajout de scripts malveillants via des objets de stratégie de groupe (GPO) et l'effacement des journaux d'événements pour dissimuler les activités. Les équipes de sécurité doivent donc renforcer la détection des modifications suspectes pour contrer ces menaces.
Sources :
Une nouvelle attaque PIXHELL exploite le bruit de l'écran pour exfiltrer les données des ordinateurs isolés
Une nouvelle attaque par canal auxiliaire, nommée PIXHELL, cible les ordinateurs isolés en exploitant le "gap audio" pour exfiltrer des informations sensibles via le bruit généré par les pixels à l'écran. Selon Dr. Mordechai Guri de l'Université Ben Gurion, le malware crée des motifs de pixels qui produisent des sons dans la plage de fréquence de 0 à 22 kHz. L'attaque n'exige aucun matériel audio spécialisé, se servant plutôt de l'écran LCD pour générer des signaux acoustiques. Les vulnérabilités peuvent être introduites par des employés malveillants ou des compromissions de la chaîne d'approvisionnement. Des techniques de phishing ou d'ingénierie sociale peuvent également être utilisées pour tromper les utilisateurs ayant accès au système. PIXHELL utilise les vibrations mécaniques des composants internes de l'écran pour transmettre des données sous forme de signaux acoustiques à des appareils à proximité. Bien que l'attaque soit visible, elle peut être rendue discrète en ajustant les couleurs des pixels. Des études antérieures de Dr. Guri ont exploré d'autres méthodes d'exfiltration sonore. En guise de contre-mesures, il est conseillé d'utiliser des brouilleurs acoustiques, de surveiller le spectre audio et de restreindre l'accès physique aux systèmes sensibles.
Sources :
Seventh Sense dévoile une solution révolutionnaire d'infrastructure à clé publique basée sur le visage et de protection de la vie privée ainsi qu'une solution d'identification électronique
Le 10 septembre 2024, Seventh Sense a lancé SenseCrypt, une plateforme révolutionnaire intégrant la cryptographie post-quantique (PQC) et la sécurité SSL pour des solutions d'identité électronique (eID) basées sur la reconnaissance faciale. Cette innovation crée une infrastructure de clé publique (PKI) et des eID qui préservent la vie privée, en générant des identifiants électroniques sous forme de données chiffrées, appelées SensePrints, pouvant être imprimées en QR codes ou stockées sur des puces NFC. Contrairement aux solutions existantes, ces QR codes ne contiennent aucune donnée biométrique, réduisant ainsi les risques en cas de compromission des clés. SenseCrypt offre une précision de vérification inégalée, avec un taux de faux acceptation de 0 et un taux de faux rejet inférieur à 1 %. Les SensePrints sont non seulement vérifiables hors ligne, mais aussi renouvelables et révocables. De plus, la technologie Face PKI permet des transactions sans traitement de données biométriques, facilitant des cas d'utilisation variés tels que la signature de documents et l'authentification multi-facteurs. En intégrant la technologie de registre distribué, SenseCrypt assure la confidentialité des utilisateurs tout en soutenant des systèmes d'identité centralisés et décentralisés.
Sources :
Mustang Panda déploie un logiciel malveillant avancé pour espionner les gouvernements de la région Asie-Pacifique
Le groupe de cybercriminalité Mustang Panda a amélioré son arsenal de logiciels malveillants pour faciliter l'exfiltration de données et le déploiement de charges utiles avancées, selon Trend Micro. Suivant l'activité de ce groupe, nommé Earth Preta, les chercheurs ont observé la propagation de PUBLOAD via une variante du ver HIUPAN. PUBLOAD, un malware téléchargeur lié à Mustang Panda depuis 2022, cible principalement des entités gouvernementales dans la région Asie-Pacifique pour livrer le malware PlugX. En plus de PUBLOAD, des outils supplémentaires comme FDMTP et PTSOCKET ont été introduits pour le contrôle et l'exfiltration des données. Mustang Panda utilise également des clés USB pour propager HIUPAN, une méthode documentée par Trend Micro. En juin 2024, une campagne de spear-phishing rapide a été détectée, distribuant des emails avec un fichier .url pour livrer un téléchargeur nommé DOWNBAIT, qui exécute ensuite un shellcode pour télécharger un backdoor appelé CBROVER. Ce dernier permet le téléchargement de fichiers et l'exécution de commandes à distance, tout en servant de vecteur pour PlugX et un collecteur de fichiers nommé FILESAC. Les chercheurs notent une évolution significative des tactiques de Mustang Panda, notamment l'exploitation des services cloud de Microsoft pour l'exfiltration de données.
Sources :
Espionnage russe et chinois, sabotage iranien : les chercheurs français sont dans le viseur de l’élite des hackers
Un rapport de l'ANSSI, publié le 9 septembre 2024, met en lumière les menaces de cybersécurité pesant sur les chercheurs en France. Dans un environnement de recherche ouvert, les échanges d'informations facilitent le ciblage par des attaquants, notamment des puissances étrangères. Le rapport souligne des incidents récents, comme l'infiltration d'un géant russe de l'aéronautique par des hackers chinois en 2022, attribuée au FSB. Les menaces chinoises se concentrent sur l'espionnage industriel et scientifique, illustré par l'attaque de 2021 contre des entités françaises, où des informations sensibles ont été volées. L'Iran, via des groupes comme "Charming Kitten", cible également des centres de recherche pour influencer les politiques internationales, notamment sur la non-prolifération nucléaire. En 2023, des identifiants d'organismes français ont été dérobés. La Corée du Nord, quant à elle, cherche à infiltrer des réseaux diplomatiques. Ces cyberattaques soulignent l'importance de la vigilance et de la sécurité dans le domaine de la recherche, où un simple ordinateur laissé sans surveillance peut ouvrir la voie à l'espionnage.
Sources :
Sécuriser ses données personnelles avec le justificatif d’identité à usage unique
Le justificatif d’identité à usage unique est une innovation sécurisée proposée par l’administration française pour protéger les données personnelles lors de démarches administratives. Ce document numérique temporaire, signé par le ministère de l’Intérieur, ne peut être utilisé qu’une seule fois, ce qui limite les risques de falsification. Le processus débute par la connexion à l’espace France Identité, où le citoyen crée son justificatif. Ce dernier est ensuite vérifiable grâce à une signature numérique, garantissant son authenticité. Sa durée de validité limitée renforce encore sa sécurité, le rendant infalsifiable contrairement aux photocopies de cartes d’identité. Les avantages incluent une sécurité accrue et une facilité d’utilisation, rendant les démarches plus efficaces et moins coûteuses. Si le dispositif est largement adopté par les organisations, il pourrait devenir un standard pour les échanges sécurisés de données personnelles. Cependant, des interrogations subsistent quant à la confiance envers les autorités en France et en Europe, notamment en ce qui concerne la souveraineté des données. En somme, le justificatif d’identité à usage unique représente une avancée significative dans la protection des informations personnelles, tout en soulevant des questions sur la confiance envers les institutions.
Sources :
Un pirate annonce la diffusion de données volées à Capgemini
Un pirate informatique a récemment annoncé avoir volé des données sensibles de Capgemini, une multinationale française spécialisée dans les services de conseil en technologie. Le 9 septembre 2024, il a déclaré avoir exfiltré 20 gigaoctets d'informations, incluant des adresses électroniques, des identités d'employés, des bases de données internes, ainsi que des fichiers confidentiels tels que des clés API et des rapports de menaces. Les données compromises proviennent probablement d'une filiale indienne de Capgemini, comme l'indiquent les identités des employés publiées par le hacker, confirmées par des recherches sur LinkedIn. Parmi les informations divulguées, on trouve également des mots de passe hashés, dont la sécurité est jugée faible, utilisant un algorithme MD5. Un test a révélé que certains mots de passe étaient très courts, ne comportant que quatre caractères alphanumériques. Cette violation de données soulève des inquiétudes quant à la sécurité des informations au sein de l'entreprise. Ce n'est pas la première fois que Capgemini est confrontée à des problèmes de sécurité, un incident similaire ayant été signalé récemment en France.
Sources :
Un bug critique de SonicWall SSLVPN exploité dans des attaques de ransomware
Une vulnérabilité critique dans les dispositifs de pare-feu SonicWall, identifiée comme CVE-2024-40766, est exploitée par des affiliés de ransomware pour infiltrer les réseaux des victimes. Cette faille, qui concerne les pare-feu Gen 5, Gen 6 et Gen 7, a été corrigée par SonicWall le 22 août, mais la société a récemment révélé qu'elle affectait également la fonctionnalité SSLVPN des pare-feu. Les chercheurs d'Arctic Wolf ont établi un lien entre ces attaques et des groupes de ransomware, notamment Akira, qui ciblent les dispositifs SonicWall pour accéder aux réseaux. Les comptes compromis étaient locaux et l'authentification multi-facteurs (MFA) était désactivée. Rapid7 a également observé des groupes de ransomware exploitant des comptes SSLVPN, bien que les preuves reliant cette vulnérabilité à ces incidents soient encore circonstancielles. En réponse, la CISA a ajouté cette faille à son catalogue de vulnérabilités exploitées et a ordonné aux agences fédérales de sécuriser leurs pare-feu SonicWall d'ici le 30 septembre. SonicWall recommande de restreindre l'accès aux interfaces de gestion et SSLVPN, ainsi que d'activer la MFA pour tous les utilisateurs.
Sources :
Le botnet Quad7 cible davantage les routeurs SOHO et VPN, ainsi que les serveurs multimédias
Le botnet Quad7 évolue en ciblant davantage de dispositifs SOHO, notamment des routeurs VPN Zyxel, des routeurs sans fil Ruckus et des serveurs multimédias Axentra, en plus des routeurs TP-Link déjà signalés. Selon un rapport de Sekoia, cette évolution inclut la mise en place de nouveaux serveurs de staging, le lancement de nouveaux clusters, et l'utilisation de nouvelles portes dérobées et shells inversés, tout en abandonnant les proxies SOCKS pour des opérations plus discrètes. Les objectifs opérationnels de Quad7 restent flous, mais pourraient inclure des attaques par force brute distribuées sur des VPN, Telnet, SSH et des comptes Microsoft 365. Les clusters identifiés, comme 'xlogin' pour TP-Link et 'rlogin' pour Ruckus, montrent une diversité dans les dispositifs ciblés. Les méthodes de communication ont également évolué, avec l'adoption du protocole KCP et d'un nouvel outil, 'FsyNet', pour rendre les attaques moins détectables. Les opérateurs utilisent désormais une nouvelle porte dérobée, 'UPDTAE', pour un contrôle à distance plus discret. Pour se protéger, il est conseillé de mettre à jour le firmware des appareils, de changer les mots de passe par défaut et de désactiver les portails d'administration web inutilisés.
Sources :
Des pirates informatiques chinois utilisent un nouveau malware de vol de données dans des attaques contre le gouvernement
Des chercheurs de Trend Micro ont révélé que le groupe de cyberespionnage chinois Mustang Panda a adopté de nouvelles stratégies et malwares, notamment FDMTP et PTSOCKET, pour voler des données lors d'attaques ciblant des réseaux gouvernementaux. Utilisant une variante du ver HIUPAN, les hackers diffusent le malware PUBLOAD via des clés USB infectées, dissimulant leur présence en rendant les fichiers invisibles. PUBLOAD, principal outil de contrôle, s'installe sur le système par chargement de DLL et modifie le registre Windows pour assurer sa persistance. Les données sont collectées dans des archives RAR, ciblant des fichiers spécifiques comme .DOC et .PDF, et exfiltrées via PUBLOAD ou le nouvel outil PTSOCKET. En juin, une campagne de spear-phishing a été observée, utilisant le downloader DOWNBAIT pour introduire le malware PULLBAIT, suivi du backdoor CBROVER. Mustang Panda, également connu sous d'autres noms, continue d'évoluer dans ses méthodes, ciblant des entités gouvernementales en Asie-Pacifique, et montre une activité soutenue avec des opérations hautement ciblées et sensibles au temps. Les chercheurs soulignent l'importance de surveiller ces nouvelles tactiques.
Sources :
Clients Boulanger, Cultura, GrosBill piratés ?
Le 6 septembre 2024, un hacker connu sous le pseudonyme Horror404x/horrormar44 a annoncé sur le forum Breached avoir volé plus de 27 millions de données clients de Boulanger, ainsi que des millions d'informations d'autres enseignes comme Cultura, GrosBill, et PepeJeans. Selon ses déclarations, il aurait accédé à des données sensibles, incluant des adresses, numéros de téléphone et codes d'accès, bien que Boulanger ait précisé qu'aucune donnée bancaire n'avait été compromise. Le pirate a détaillé la nature des informations volées, comprenant des identifiants, coordonnées et autres données personnelles. En plus de Boulanger, il a revendiqué le vol de 684 966 données de GrosBill et CyberTek, 2,6 millions de Cultura, 248 501 de DIVIA Mobilité, et 2,7 millions de PepeJeans. Cette fuite survient après une alerte en mars 2024 concernant des données similaires liées à Boulanger. Le hacker aurait également l'intention de commercialiser ces données, soulignant l'importance de la protection des informations personnelles en ligne. Les utilisateurs sont donc invités à faire preuve de prudence avant de partager des informations sur les réseaux sociaux pour éviter la propagation de rumeurs non vérifiées.
Sources :
Les écoles publiques de Highline ferment leurs portes suite à une cyberattaque
Les Highline Public Schools, un district scolaire K-12 de l'État de Washington, ont fermé toutes leurs écoles et annulé les activités scolaires suite à un cyberattaque qui a compromis leurs systèmes technologiques. Dans un communiqué, le district a annoncé que les écoles resteraient fermées le 9 septembre, jour qui coïncidait avec le premier jour de maternelle pour de nombreux élèves. Bien que les écoles soient fermées, le bureau central du district reste ouvert et le personnel est invité à se présenter au travail. Les administrateurs scolaires pourraient également être appelés à aider si nécessaire. Le district a détecté une activité non autorisée sur ses systèmes et travaille avec des partenaires externes pour restaurer et tester ses systèmes de manière sécurisée. L'impact de cette fermeture est particulièrement ressenti par les familles, mais la sécurité des élèves reste la priorité. L'enquête sur l'attaque est en cours, et aucune information supplémentaire n'a été fournie concernant la nature de l'incident ou la possible exposition de données personnelles. Cette attaque s'inscrit dans une série croissante de cyberattaques touchant les districts scolaires en Amérique du Nord et dans le monde.
Sources :
Une nouvelle attaque RAMBO utilise les signaux radio RAM pour voler des données sur des réseaux isolés
Une nouvelle attaque par canal auxiliaire, nommée RAMBO (pour "Radiation of Air-gapped Memory Bus for Offense"), a été développée par le Dr Mordechai Guri de l'Université Ben Gurion en Israël. Cette technique exploite les signaux radio émis par la mémoire vive (RAM) d'un appareil pour exfiltrer des données, représentant une menace pour les réseaux isolés. Le malware peut encoder des informations sensibles telles que des fichiers, des images et des clés de chiffrement, qui peuvent être interceptées à distance à l'aide de matériel de radio définie par logiciel (SDR) et d'une antenne standard. Dr. Guri a précédemment conçu d'autres méthodes pour extraire des données de réseaux hors ligne, utilisant divers dispositifs comme des câbles SATA et des signaux acoustiques. L'attaque RAMBO nécessite d'abord de compromettre le réseau isolé par des moyens tels que des clés USB piégées. Une fois le malware en place, il manipule la RAM pour générer des signaux radio modulés, qui peuvent être reçus et décodés par un attaquant distant. Les données exfiltrées peuvent inclure des frappes au clavier et des informations biométriques. Des contre-mesures, comme l'utilisation de cages de Faraday et de systèmes de détection d'intrusion, sont recommandées pour contrer cette menace.
Sources :
Les correctifs méta ont facilement contourné la fonctionnalité de confidentialité « Afficher une fois » de WhatsApp
Une faille de confidentialité dans WhatsApp permet à des attaquants de contourner la fonction "View Once", qui est censée permettre l'envoi de messages éphémères. Introduite il y a trois ans, cette fonctionnalité vise à garantir que les photos, vidéos et messages vocaux envoyés ne peuvent être vus qu'une seule fois, sans possibilité de capture d'écran ou de sauvegarde. Cependant, des chercheurs de Zengo X ont découvert que cette fonction est mal implémentée, permettant aux utilisateurs malveillants de sauvegarder et partager ces messages. Bien que WhatsApp ait mis en place des mesures de sécurité, la fonctionnalité ne bloque pas les captures d'écran sur les versions de bureau, et les messages sont envoyés à tous les appareils du destinataire, ce qui compromet leur confidentialité. Les chercheurs ont signalé que des extensions de navigateur existent pour contourner cette protection. Meta, la société mère de WhatsApp, a reconnu le problème et travaille sur des mises à jour pour corriger cette faille, mais il reste incertain si les applications personnalisées pourraient encore exploiter cette vulnérabilité. Les experts soulignent que cette situation crée une "fausse impression de confidentialité" pour les utilisateurs.
Sources :
Fuite de données massive chez Boulanger : attention au phishing pendant les French Days
L'entreprise française Boulanger, spécialisée dans l'électroménager et l'électronique, a récemment subi une fuite de données. L'incident, survenu entre le 6 et le 7 septembre, a été signalé aux clients par email et sur X (ex-Twitter) le 8 septembre. Bien que la nature précise de la fuite ne soit pas divulguée, il est confirmé que seules des adresses de livraison ont été compromises, incluant potentiellement des noms, adresses, codes postaux, villes, et possiblement des numéros de téléphone ou adresses email. En revanche, aucune donnée bancaire n'est concernée, Boulanger assurant que les informations sensibles sont stockées de manière sécurisée.
L'entreprise a réagi rapidement, informant ses clients et renforçant la sécurité de ses plateformes. Cependant, le risque de phishing est élevé, avec des tentatives d'escroquerie à prévoir, surtout avec l'approche des French Days, un événement de vente en ligne prévu du 24 au 30 septembre. Les clients sont donc avertis de rester vigilants face à d'éventuels mails ou SMS frauduleux. Boulanger doit également notifier la CNIL en raison de la nature des données impliquées.
