Botnet Murdoc exploite caméras IP et routeurs Huawei - Actus du 21/01/2025
Découvrez comment le botnet Mirai cible les caméras IP d'AVTECH et les routeurs Huawei, tandis que 84 % des organisations de santé font face à des cyberattaques. En parallèle, 13 000 routeurs MikroTik sont détournés pour des attaques massives. Ne manquez pas notre analyse complète !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La variante Mirai du botnet Murdoc exploite les caméras IP d'AVTECH et les routeurs Huawei
Des chercheurs en cybersécurité ont alerté sur une campagne à grande échelle exploitant des vulnérabilités dans des caméras IP AVTECH et des routeurs Huawei HG532, intégrant ces dispositifs dans une variante du botnet Mirai, nommée Murdoc_Botnet. Active depuis au moins juillet 2024, cette campagne a infecté plus de 1 370 systèmes, principalement en Malaisie, au Mexique, en Thaïlande, en Indonésie et au Vietnam. Les attaquants exploitent des failles connues, telles que CVE-2017-17215 et CVE-2024-7029, pour accéder aux dispositifs IoT et télécharger un script shell qui exécute le malware en fonction de l'architecture CPU. L'objectif est de militariser le botnet pour réaliser des attaques par déni de service distribué (DDoS). Cette activité survient après la découverte d'une autre variante de Mirai, gayfemboy, exploitant une faille récente dans des routeurs industriels. Les attaques DDoS ciblent principalement les secteurs des télécommunications, de la technologie, de l'hébergement, de la banque et des services financiers, avec plus de 55 % des dispositifs compromis situés en Inde. Pour se protéger, il est conseillé de surveiller les processus suspects, d'appliquer des mises à jour de firmware et de changer les identifiants par défaut.
Sources :
84 % des organisations du secteur de la santé ont détecté une cyberattaque au cours des 12 derniers mois, et 69 % ont signalé des pertes financières en résultant
Une enquête menée par Netwrix auprès de 1 309 professionnels de l'informatique révèle que 84 % des organismes de santé ont subi une cyberattaque au cours de l'année écoulée, avec le phishing comme incident le plus courant. Les attaques ciblant le cloud, notamment la compromission de comptes utilisateurs, touchent 74 % des organisations attaquées. Les professionnels de santé, souvent en contact avec de nombreuses personnes, peinent à vérifier l'authenticité des messages, ce qui augmente les risques de sécurité. En conséquence, 69 % des organismes de santé ont enregistré des pertes financières dues à ces cyberattaques, un chiffre supérieur à celui des autres secteurs (60 %). De plus, 21 % des établissements ont connu un changement de direction et 19 % ont fait face à des poursuites judiciaires, contre 13 % dans d'autres domaines. La nature sensible des données de santé et la réglementation stricte exposent ces organisations à des sanctions sévères en cas de non-conformité, ce qui accroît le risque de litiges. Pour regagner la confiance, certaines organisations se sentent contraintes de remplacer leur personnel IT ou leur direction. L'étude souligne l'urgence d'améliorer la sensibilisation à la sécurité dans le secteur de la santé.
Sources :
13 000 routeurs MikroTik détournés par un botnet pour du spam et des cyberattaques
Un réseau mondial d'environ 13 000 routeurs MikroTik détournés a été utilisé comme botnet pour propager des malwares via des campagnes de spam. Selon David Brunsdon, chercheur en sécurité chez Infoblox, cette activité exploite des enregistrements DNS mal configurés pour contourner les techniques de protection par e-mail. Nommée Mikro Typo, la campagne a été identifiée suite à une campagne de malspam en novembre 2024, utilisant des leurres liés à des factures de fret pour inciter les destinataires à ouvrir un fichier ZIP contenant un script JavaScript obfusqué. Ce script exécute un script PowerShell qui établit une connexion à un serveur de commande et de contrôle. Bien que le vecteur d'accès initial soit inconnu, plusieurs versions de firmware vulnérables, y compris celles affectées par une faille critique (CVE-2023-30799), ont été identifiées. Les dispositifs compromis fonctionnent comme des proxys SOCKS, masquant l'origine du trafic malveillant. Les enregistrements SPF de 20 000 domaines ont été exploités, permettant aux attaquants d'envoyer des e-mails en utilisant ces domaines. Les propriétaires de routeurs MikroTik sont conseillés de mettre à jour leurs appareils et de changer les identifiants par défaut pour éviter les exploitations.
Sources :
Pas de déploiement de Copilot sans sécurité optimale
L'intégration d'outils d'IA avancés comme Copilot dans une entreprise nécessite une politique de sécurité rigoureuse pour protéger les informations sensibles. Bertrand Dumenil, CMO de Provectio, souligne les risques associés à l'accès non contrôlé aux documents RH et aux grilles de salaires, qui contiennent des données personnelles et des informations financières critiques. Un accès inapproprié pourrait entraîner des fuites de données et nuire à la confiance des employés ainsi qu'à la réputation de l'entreprise. Pour éviter de tels scénarios, il est crucial d'établir des mesures de sécurité, telles que le contrôle des accès, la gestion des identités, la surveillance des activités et la protection des données. Des exemples concrets incluent un accès granulaire aux informations sensibles, une authentification à deux facteurs pour les demandes d'accès, et un audit proactif des demandes inhabituelles. De plus, des outils comme Microsoft Information Protection (AIP) et Data Loss Prevention (DLP) peuvent classer et protéger automatiquement les documents sensibles. En somme, une approche réfléchie et structurée est essentielle pour tirer parti des capacités de Copilot tout en garantissant la sécurité des données de l'entreprise.
Sources :
Un ancien analyste de la CIA plaide coupable d'avoir partagé des données confidentielles avec des personnes non autorisées
Un ancien analyste de la CIA, Asif William Rahman, a plaidé coupable d'avoir transmis des informations top secrètes sur la défense nationale à des personnes non autorisées et d'avoir tenté de dissimuler ses actes. Âgé de 34 ans et employé de la CIA depuis 2016, Rahman avait un accès à des informations sensibles. Il a été reconnu coupable de deux chefs d'accusation concernant la rétention et la transmission intentionnelle d'informations classifiées. Selon les documents judiciaires, il aurait conservé sans autorisation deux documents top secrets en octobre 2024 et les aurait transmis à plusieurs individus non habilités. Rahman a également partagé dix autres documents classifiés de manière similaire. Les informations divulguées sont liées à des plans d'Israël pour attaquer l'Iran. En parallèle, une enquête a révélé un groupe de six personnes, dont trois membres ont été identifiés, impliquées dans des opérations de surveillance illégales pour obtenir des informations sensibles. Parmi eux, Deng Yuanqing, un ingénieur logiciel, aurait des liens avec l'armée chinoise. L'enquête a également mis en lumière des activités de reconnaissance en lien avec des tensions géopolitiques en Asie du Sud-Est, notamment en mer de Chine méridionale.
Sources :
Infection par périphériques USB : 5 conseils pour s’en prémunir
La cybersécurité est devenue un enjeu majeur pour les entreprises, notamment en raison des menaces posées par les périphériques USB, qui représentent environ un tiers des attaques cybernétiques. Christophe Boure, CEO de Tyrex Cyber, souligne l'importance d'adopter des mesures préventives pour se protéger contre ces risques. Parmi les recommandations, il est crucial de désactiver l'exécution automatique des fichiers lors de l'insertion d'un USB, afin d'éviter l'exécution de logiciels malveillants. L'utilisation de bornes de décontamination USB est également essentielle pour analyser et quarantainer les supports avant leur connexion au réseau. De plus, il est conseillé d'interdire l'utilisation de périphériques non approuvés et de restreindre l'accès aux ports USB sur les machines critiques. La formation et la sensibilisation des employés aux bonnes pratiques de cybersécurité sont primordiales pour réduire les erreurs humaines. Il est également recommandé de maintenir à jour les systèmes antivirus et d'effectuer des audits de sécurité réguliers pour identifier les vulnérabilités. En intégrant ces mesures, les entreprises peuvent renforcer leur défense contre les cybermenaces liées aux supports amovibles.
Sources :
HackGATE : définition de nouvelles normes en matière de visibilité et de contrôle dans les projets de tests de pénétration
Les rapports de tests de pénétration (pentests) sont essentiels, mais souvent insuffisants en profondeur pour évaluer le succès des projets. Malgré notre expérience avec des équipes de cybersécurité et la gestion de projets de hacking éthique, nous avons constaté des lacunes dans la couverture des tests. Environ 65 % des répondants s'appuient uniquement sur les informations fournies par les prestataires de pentests, soulignant un manque de visibilité dans les activités de pentesting. Cela entraîne des difficultés pour les équipes de sécurité, qui manquent d'informations sur l'étendue, la durée et les techniques utilisées lors des tests. Ces lacunes peuvent provoquer des retards et des tâches incomplètes, laissant des vulnérabilités critiques non découvertes. Bien que le cadre OWASP offre une évaluation des applications web, il est nécessaire d'auditer les tests de sécurité pour garantir le respect des directives. HackGATE propose un tableau de bord unifié qui centralise les informations clés, facilitant le suivi des activités de hacking éthique. Il permet une couverture complète des tests et génère des rapports détaillés, renforçant ainsi la responsabilité. Pour garantir la conformité et l'exhaustivité des projets de pentesting, l'intégration d'outils de surveillance innovants comme HackGATE est recommandée.
Sources :
Le chargeur PNGPlug diffuse le malware ValleyRAT via de faux installateurs de logiciels
Des chercheurs en cybersécurité mettent en lumière une série d'attaques informatiques ciblant des régions sinophones, notamment Hong Kong, Taïwan et la Chine continentale, utilisant un malware connu sous le nom de ValleyRAT. Selon un rapport technique d'Intezer, ces attaques exploitent un chargeur multi-étapes appelé PNGPlug pour déployer le payload de ValleyRAT. La chaîne d'infection débute par une page de phishing incitant les victimes à télécharger un package MSI malveillant déguisé en logiciel légitime. Une fois exécuté, l'installateur déploie une application bénigne pour ne pas éveiller les soupçons, tout en extrayant discrètement une archive chiffrée contenant le malware. Le package MSI utilise la fonctionnalité CustomAction de Windows Installer pour exécuter du code malveillant, décryptant l'archive avec un mot de passe codé en dur. Les composants principaux incluent une DLL malveillante et des fichiers payload déguisés en images PNG. ValleyRAT, un cheval de Troie d'accès à distance, permet aux attaquants de contrôler les machines infectées. Associé à un groupe de menaces nommé Silver Fox, ce malware se distingue par son ciblage des sinophones et l'utilisation de leurres logiciels pour activer la chaîne d'attaque.
Sources :
Le CERT-UA met en garde contre les cyberescroqueries utilisant de fausses demandes AnyDesk pour des audits de sécurité frauduleux
Le Computer Emergency Response Team d'Ukraine (CERT-UA) met en garde contre des tentatives d'imposture par des acteurs malveillants se faisant passer pour l'agence de cybersécurité. Ces derniers envoient des demandes de connexion AnyDesk, prétendant réaliser un audit de sécurité. CERT-UA souligne que, bien qu'il puisse utiliser des logiciels d'accès à distance comme AnyDesk, cela ne se fait qu'après accord préalable avec les propriétaires concernés via des canaux de communication officiels. Pour que l'attaque réussisse, le logiciel AnyDesk doit être installé sur l'ordinateur cible, et l'attaquant doit posséder l'identifiant AnyDesk de la victime, ce qui implique qu'il doit d'abord obtenir cette information par d'autres moyens. Afin de réduire les risques, il est recommandé d'activer les programmes d'accès à distance uniquement pendant leur utilisation et de coordonner l'accès via des canaux officiels. En 2024, le centre de réponse aux incidents de l'agence a détecté plus de 1 042 incidents, dont plus de 75 % étaient liés à des codes malveillants et des tentatives d'intrusion. Les groupes de menaces les plus actifs incluent UAC-0010, UAC-0050 et UAC-0006, impliqués dans l'espionnage et le vol d'informations.
Sources :
Microsoft : la fin du support d'Exchange 2016 et 2019 est prévue pour octobre
Microsoft a annoncé que les versions Exchange 2016 et 2019 atteindront la fin de leur support étendu le 14 octobre 2025. Exchange 2016 avait déjà terminé son support principal en octobre 2020, tandis qu'Exchange 2019 a vu son support principal se terminer le 9 janvier 2024. Bien que les installations de ces versions continueront de fonctionner après cette date, Microsoft met en garde contre les risques de sécurité potentiels et recommande aux administrateurs de migrer vers Exchange Online ou de se préparer à passer à Exchange Server Subscription Edition (SE), qui sera disponible au début du deuxième semestre 2025. Les administrateurs peuvent effectuer une mise à niveau sur place d'Exchange Server 2019 vers Exchange Server SE, similaire à l'installation d'une mise à jour cumulative. Microsoft a également précisé que, après la date limite, il n'y aura plus de support technique, de corrections de bogues, ni de mises à jour de sécurité pour ces versions. Des ressources détaillées sont disponibles sur le site de documentation de Microsoft pour aider les administrateurs dans leur migration vers Microsoft 365.
Sources :
HPE enquête sur une violation de sécurité, un pirate informatique prétendant avoir volé du code source
Hewlett Packard Enterprise (HPE) enquête sur des allégations de vol de documents par un groupe de hackers nommé IntelBroker. Le 16 janvier 2025, HPE a été informé que ce groupe prétendait avoir accès à des informations sensibles de l'entreprise, y compris des codes sources et des certificats. Bien que HPE n'ait trouvé aucune preuve d'une violation de sécurité, la société a activé ses protocoles de réponse cybernétique et a désactivé les identifiants concernés. IntelBroker affirme avoir eu accès aux API, aux dépôts GitHub et à d'autres systèmes d'HPE pendant au moins deux jours, volant des données critiques. Ce groupe est également connu pour d'autres violations, notamment celle de DC Health Link, qui a entraîné une audience au Congrès après la fuite de données personnelles. HPE a déjà été victime de violations de sécurité dans le passé, notamment en 2018 par des hackers chinois et plus récemment en 2021 et 2023, impliquant des accès non autorisés à ses systèmes. Actuellement, HPE assure qu'il n'y a pas d'impact opérationnel sur ses activités et que les informations des clients ne sont pas compromises. L'enquête se poursuit pour évaluer la véracité des revendications d'IntelBroker.
Sources :
Microsoft corrige un bug de Windows Server 2022 qui interrompt le démarrage de l'appareil
Microsoft a récemment corrigé un bug affectant certains systèmes Windows Server 2022 dotés de deux ou plusieurs nœuds NUMA, qui empêchait le démarrage des serveurs. Le NUMA, ou accès mémoire non uniforme, est une architecture mémoire où plusieurs processeurs partagent un pool de mémoire via des interconnexions rapides, optimisant ainsi les performances dans les environnements de calcul haute performance (HPC). Ce problème a été détaillé dans le document de support KB5052819, où Microsoft a précisé que seuls les nouveaux correctifs seraient téléchargés et installés si des mises à jour antérieures avaient été appliquées. En parallèle, la société a publié une mise à jour du service de Windows Server 2022 (KB5050117), visant à améliorer la fiabilité du processus d'installation des mises à jour. Ce n'est pas la première fois que Microsoft traite des problèmes de démarrage ; en septembre, un autre bug avait été corrigé pour Windows Server 2019, et des correctifs pour Windows Server 2025 sont également en cours. Microsoft continue de travailler sur des solutions pour divers problèmes affectant ses systèmes, assurant ainsi une meilleure stabilité et performance pour ses utilisateurs.
