Criminal IP et Maltego unissent leurs forces pour améliorer la recherche des cybermenaces - Actus du 12/08/2024
Criminal IP et Maltego unissent leurs forces pour une meilleure détection des cybermenaces. Pendant ce temps, la Russie interdit l'application Signal pour non-conformité légale, et la France bloque des sites de streaming et IPTV pour protéger les droits du football. Découvrez les détails dans...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Criminal IP et Maltego unissent leurs forces pour améliorer la recherche des cybermenaces
Criminal IP, un moteur de recherche en Cyber Threat Intelligence (CTI) développé par AI SPERA, a récemment intégré sa technologie avec Maltego, une plateforme d'investigation spécialisée dans l'analyse visuelle des données cybernétiques. Cette collaboration permet d'incorporer la vaste base de données de Criminal IP sur les IP malveillantes, les domaines et les CVEs dans l'interface unifiée de Maltego, tout en ajoutant Criminal IP à son marché, Transform Hub. Grâce à cette intégration, les utilisateurs peuvent visualiser les données de Criminal IP sous forme de graphes, facilitant ainsi l'identification des relations entre les entités et les risques associés. Maltego, qui collabore déjà avec des produits renommés comme Microsoft Sentinel et IBM QRadar, permet des enquêtes cybernétiques rapides et efficaces. Les nouvelles fonctionnalités issues de cette collaboration permettent aux utilisateurs de visualiser les vulnérabilités, de suivre les informations personnelles exposées et de vérifier visuellement les relations entre les adresses IP et les domaines. AI SPERA, avec 'Criminal IP' comme produit phare, a élargi son empreinte mondiale et s'est associé à des plateformes internationales pour renforcer ses capacités de détection des menaces.
Sources :
La Russie bloque l'application Signal pour violation de la loi
La Russie a récemment bloqué l'application de messagerie Signal, invoquant des violations des lois anti-terroristes. L'agence de régulation des communications, Roskomnadzor, a confirmé cette interdiction, affirmant que Signal ne respectait pas les exigences légales nécessaires pour prévenir son utilisation à des fins terroristes ou extrémistes. Les utilisateurs russes ont signalé des difficultés d'accès à l'application sans utiliser un VPN, ce qui a révélé la nature restrictive de cette mesure. Signal, connu pour son chiffrement de bout en bout et ses politiques de confidentialité robustes, est souvent ciblé par des régimes autoritaires qui peinent à surveiller ses communications. En réponse à cette interdiction, Signal a annoncé qu'il travaillait sur des techniques avancées pour contourner la censure et a conseillé à ses utilisateurs d'activer la fonction de contournement de la censure dans leurs paramètres. Cette situation n'est pas un cas isolé, car la Russie a déjà bloqué d'autres services comme VyprVPN et OperaVPN pour maintenir un contrôle strict sur les communications de ses citoyens. Signal a également fourni des instructions sur l'utilisation d'un proxy pour faciliter l'accès à ses services.
Sources :
Des sites de streaming et d’IPTV vont être bloqués en France pour protéger le football
La Ligue de Football Professionnel (LFP) a annoncé une avancée significative dans sa lutte contre le piratage des matchs de Ligue 1 et Ligue 2, avec un jugement du tribunal de Paris ordonnant le blocage de plusieurs sites de streaming illégaux par les fournisseurs d'accès à Internet en France. Bien que cette décision vise à restreindre l'accès à ces plateformes, il est important de noter qu'un blocage ne signifie pas leur fermeture définitive. Les opérateurs comme Orange, Free, SFR et Bouygues empêcheront simplement l'accès à ces sites, qui continueront d'exister pour les utilisateurs à l'étranger ou ceux utilisant des VPN. La LFP espère que cette mesure dissuadera certains fraudeurs, surtout avec la reprise imminente de la Ligue 1. Cependant, les plateformes de streaming illégales sont connues pour s'adapter rapidement aux blocages, ce qui suggère que la lutte contre le piratage sera un processus continu. La LFP, qui a récemment choisi DAZN comme diffuseur officiel, considère cette lutte comme essentielle pour protéger ses droits et ses revenus. Ce cycle de blocage et de contournement semble donc destiné à se répéter dans le temps.
Sources :
Comment les attaques de phishing s'adaptent rapidement pour tirer parti des événements actuels
L'article souligne comment l'intelligence artificielle (IA) facilite la création de logiciels malveillants utilisés dans les campagnes de phishing. Historiquement, la création manuelle de contenu de phishing était laborieuse, limitant l'efficacité des cybercriminels. Cependant, des événements inattendus, comme la mise à jour défectueuse de CrowdStrike le 19 juillet, ont permis aux attaquants de lancer rapidement des campagnes de phishing. Après que cette mise à jour ait causé des problèmes de démarrage sur les machines Windows, des domaines frauduleux ont émergé, prétendant offrir des solutions en échange de paiements, récoltant environ 10 000 euros. D'autres exemples incluent des arnaques liées aux Jeux Olympiques et à l'UEFA Euro 2024, où des applications mobiles frauduleuses ont été créées pour tromper les utilisateurs. Les périodes de fêtes, avec l'augmentation des achats en ligne, sont également propices aux arnaques de phishing, notamment via des offres d'emplois saisonniers fictifs. Malgré la facilité accrue des attaques grâce à l'IA et aux services de phishing (PhaaS), les entreprises et les individus peuvent se protéger en éduquant leurs employés et en mettant en œuvre des mesures de sécurité efficaces pour réduire les risques d'attaques.
Sources :
Des chercheurs découvrent des vulnérabilités dans les systèmes solaires Solarman et Deye
Des chercheurs en cybersécurité ont identifié plusieurs vulnérabilités dans les plateformes de gestion de systèmes photovoltaïques des entreprises chinoises Solarman et Deye, qui pourraient permettre à des acteurs malveillants de provoquer des perturbations et des coupures de courant. Selon une analyse de Bitdefender, ces failles pourraient permettre à un attaquant de contrôler les paramètres des onduleurs, menaçant ainsi la stabilité du réseau électrique. Les vulnérabilités, qui ont été corrigées par Solarman et Deye en juillet 2024 après une divulgation responsable le 22 mai 2024, incluent la prise de contrôle total de compte via la manipulation de jetons d'autorisation, la réutilisation de jetons dans le cloud Deye, et des fuites d'informations à travers divers points d'API. L'exploitation de ces failles pourrait permettre aux attaquants d'accéder à des comptes Solarman, de réutiliser des jetons JWT de Deye Cloud, et de collecter des informations privées sur les organisations enregistrées. Cela pourrait également entraîner des violations de la vie privée et des attaques de phishing ciblées. En modifiant les paramètres des onduleurs solaires, les attaquants pourraient causer des perturbations majeures dans la distribution d'énergie, compromettant ainsi la stabilité du réseau et entraînant des coupures de courant.
Sources :
La gueule de bois de l’IA est là – La fin du commencement
L'article de Robert Byrne aborde le cycle de hype de Gartner, en particulier la phase de désillusion concernant l'intelligence artificielle (IA) générative. Après un engouement initial, les attentes irréalistes ont conduit à des échecs d'implémentation. Cependant, cette phase est suivie d'une maturation technologique, où les bénéfices commencent à se concrétiser et où des produits de seconde et troisième génération émergent. Bien que la qualité des outils d'IA soit encore inégale, certains acteurs semblent réussir à les commercialiser de manière significative. Par exemple, dans le domaine de la cybersécurité, l'IA peut générer du code utile, mais elle nécessite l'intervention de professionnels expérimentés pour éviter des configurations dangereuses. Les chatbots modernes, bien qu'imparfaits, peuvent réduire les coûts pour les grandes organisations en répondant à des questions simples. Toutefois, leur intégration pose des défis en matière de sécurité, notamment en ce qui concerne l'accès aux systèmes d'entreprise et les risques liés aux tiers. Les experts en sécurité doivent donc évaluer les avantages potentiels de l'IA générative tout en anticipant les menaces qu'elle pourrait engendrer.
Sources :
FreeBSD publie un correctif urgent pour une vulnérabilité OpenSSH de haute gravité
Les mainteneurs du projet FreeBSD ont publié des mises à jour de sécurité pour corriger une vulnérabilité critique dans OpenSSH, identifiée sous le code CVE-2024-7589, qui pourrait permettre à des attaquants d'exécuter du code arbitraire à distance avec des privilèges élevés. Cette faille, notée 7,4 sur l'échelle CVSS, est liée à un gestionnaire de signaux dans sshd(8) qui appelle une fonction de journalisation non sécurisée pour les signaux asynchrones. Ce gestionnaire est activé lorsque l'authentification d'un client échoue dans le délai imparti (LoginGraceTime, par défaut 120 secondes). En raison de l'exécution de code non sécurisé dans un contexte privilégié, une condition de concurrence pourrait être exploitée par un attaquant déterminé pour exécuter du code à distance en tant que root. Cette vulnérabilité est considérée comme une "autre instance" d'un problème antérieur, regreSSHion (CVE-2024-6387). Les utilisateurs de FreeBSD sont fortement encouragés à mettre à jour vers une version prise en charge et à redémarrer sshd pour atténuer les menaces. Si la mise à jour n'est pas possible, il est recommandé de régler LoginGraceTime à 0 pour éviter l'exécution de code à distance, bien que cela expose le service à des attaques par déni de service.
Sources :
L'outil industriel d'accès à distance Ewon Cosy+ est vulnérable aux attaques d'accès à la racine
Des vulnérabilités de sécurité ont été révélées dans la solution d'accès à distance industrielle Ewon Cosy+, permettant à des attaquants d'acquérir des privilèges root sur les dispositifs et de mener des attaques ultérieures. Ces accès élevés pourraient être exploités pour déchiffrer des fichiers de firmware et des données sensibles, comme des mots de passe, ainsi que pour obtenir des certificats VPN X.509 signés pour d'autres dispositifs, compromettant ainsi leurs sessions VPN. Moritz Abrell, chercheur en sécurité chez SySS GmbH, a présenté ces résultats lors de la conférence DEF CON 32. L'architecture de l'Ewon Cosy+ utilise une connexion VPN via OpenVPN, permettant aux techniciens de se connecter à la passerelle industrielle. SySS a identifié une vulnérabilité d'injection de commandes et un contournement de filtre, permettant d'obtenir un shell inversé. Un attaquant pourrait également exploiter une vulnérabilité XSS persistante pour accéder à des privilèges administratifs. En combinant ces failles, un attaquant non authentifié pourrait obtenir un accès root. De plus, des failles dans OpenVPN découvertes par Microsoft pourraient être enchaînées pour exécuter du code à distance et escalader des privilèges localement, augmentant ainsi les risques de sécurité.
Sources :
L'attaque EastWind déploie les portes dérobées PlugY et GrewApacha à l'aide de fichiers LNK piégés
Le gouvernement russe et des organisations informatiques sont ciblés par une campagne de phishing sophistiquée nommée EastWind, qui déploie des backdoors et des trojans. Cette campagne utilise des fichiers d'archive RAR contenant des fichiers de raccourci Windows (LNK) pour initier une séquence d'infection. Parmi les malwares déployés, on trouve GrewApacha, une version mise à jour du backdoor CloudSorcerer, et un implant inédit appelé PlugY. PlugY, téléchargé via CloudSorcerer, offre un large éventail de commandes et communique avec un serveur de commande et de contrôle (C2) par trois protocoles différents. GrewApacha, lié au groupe APT31, utilise un profil GitHub contrôlé par l'attaquant pour stocker des informations sur le serveur C2. CloudSorcerer, un outil d'espionnage sophistiqué, permet la surveillance discrète et l'exfiltration de données via des infrastructures cloud. Kaspersky a également signalé une attaque de type watering hole impliquant un site légitime en Russie, distribuant un ver nommé CMoon, capable de voler des données sensibles et de lancer des attaques DDoS. CMoon, écrit en .NET, surveille les disques USB pour voler des fichiers et se propager à d'autres ordinateurs.
Sources :
Des groupes de hackers chinois ciblent le gouvernement russe et des entreprises informatiques
Des groupes de hackers chinois, APT31 et APT27, ont lancé une série d'attaques cybernétiques ciblées contre des systèmes gouvernementaux et des entreprises informatiques russes depuis fin juillet 2024. Kaspersky, qui a identifié ces activités, a nommé cette campagne "EastWind". Elle utilise une version mise à jour du malware CloudSorcerer, déjà observé dans une campagne d'espionnage en mai 2024. L'infection initiale se fait par des emails de phishing contenant des archives RAR, permettant l'installation d'un backdoor depuis Dropbox. Ce backdoor permet aux attaquants d'exécuter des commandes, d'exfiltrer des données et d'introduire d'autres malwares, dont un trojan nommé 'GrewApacha', associé à APT31. Ce dernier a été amélioré pour utiliser deux serveurs de commande au lieu d'un. Une autre menace, PlugY, a également été introduite, offrant des capacités variées comme la capture d'écran et le key-logging. Kaspersky souligne que, malgré des liens diplomatiques entre la Chine et la Russie, des opérations d'espionnage sophistiquées continuent d'être menées, illustrant la complexité des relations internationales.
Sources :
De faux avertissements sur la guerre en Ukraine et les tremblements de terre utilisés comme appâts à clics
Des escrocs exploitent la guerre en Ukraine et des alertes de tremblement de terre au Japon pour attirer les utilisateurs sur X avec de fausses mises en garde de contenu. Ces arnaques, qui inondent la plateforme depuis plusieurs mois, se présentent souvent sous la forme de vidéos pornographiques trompeuses. En réalité, en cliquant sur ces publications, les utilisateurs sont redirigés vers des sites d'adultes frauduleux ou des extensions de navigateur malveillantes. Les escrocs ont récemment commencé à créer des posts prétendant contenir des informations sensationnelles sur les forces ukrainiennes ou des avertissements concernant un tremblement de terre dans la fosse de Nankai. Par exemple, un tweet faux avertit des dangers d'un méga-tremblement de terre, incitant les utilisateurs à cliquer pour en savoir plus. Cependant, ces mises en garde sont en fait des images qui redirigent vers des URL malveillantes. Ce procédé utilise des métadonnées HTML pour tromper X, affichant des contenus qui semblent légitimes. Cette méthode, signalée pour la première fois en 2019, a été récemment utilisée pour des arnaques liées aux cryptomonnaies, soulignant la persistance des escroqueries en ligne.
