Des cyberattaquants exploitent Google Sheets pour contrôler des logiciels malveillants - Actus du 30/08/2024
Un chercheur face à la justice pour avoir partagé des données volées par ransomware, des cyberattaquants exploitant Google Sheets pour l'espionnage, et une offre exclusive NordPass à 1,18€ pour les lecteurs de Numerama. Découvrez les détails dans notre dernier article !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un chercheur poursuivi pour avoir partagé avec les médias des données volées par un ransomware
La ville de Columbus, Ohio, a intenté un procès contre le chercheur en sécurité David Leroy Ross, connu sous le nom de Connor Goodwolf, l'accusant d'avoir téléchargé et diffusé illégalement des données volées lors d'une attaque par ransomware menée par le groupe Rhysida. Cette attaque, survenue le 18 juillet 2024, a provoqué des pannes de services et des interruptions de communication au sein des agences publiques. Bien que la ville ait affirmé qu'aucun système n'avait été crypté, Rhysida a revendiqué avoir volé 6,5 To de données, dont des informations sensibles. Le 8 août, après avoir échoué à extorquer la ville, le groupe a publié 45 % des données volées, révélant des informations personnelles, y compris celles d'agents sous couverture. En réponse aux déclarations du maire Andrew Ginther, qui minimisait la gravité de la fuite, Goodwolf a partagé des échantillons de données avec les médias, prouvant leur sensibilité. La ville soutient que les actions de Goodwolf ont suscité une grande inquiétude dans la communauté et interfèrent avec les enquêtes policières. Columbus demande une injonction pour empêcher la diffusion de ces données et réclame des dommages-intérêts supérieurs à 25 000 dollars.
Sources :
Des cyberattaquants exploitent Google Sheets pour contrôler les logiciels malveillants dans une probable campagne d'espionnage
Des chercheurs en cybersécurité ont découvert une nouvelle campagne de malware utilisant Google Sheets comme mécanisme de commande et de contrôle (C2). Détectée par Proofpoint depuis le 5 août 2024, cette activité imite les autorités fiscales de plusieurs pays, dont les États-Unis et des nations européennes et asiatiques, ciblant plus de 70 organisations dans divers secteurs tels que l'assurance, la finance et la santé. Le malware, nommé Voldemort, est conçu pour collecter des informations et déployer des charges utiles supplémentaires. Les courriels frauduleux incitent les destinataires à cliquer sur des liens redirigeant vers des pages intermédiaires, qui exploitent des vulnérabilités pour exécuter des fichiers malveillants sous couvert de documents PDF. Une fois exécuté, le malware utilise PowerShell pour exécuter un script Python, collectant des données système et les envoyant à un domaine contrôlé par les attaquants. Bien que cette campagne soit associée à des menaces persistantes avancées (APT), elle présente également des caractéristiques de cybercriminalité. Les chercheurs notent que la combinaison de techniques sophistiquées et basiques complique l'évaluation des capacités des acteurs malveillants et de leurs objectifs.
Sources :
Cette offre NordPass à 1,18 euro est exclusive pour les lecteurs de Numerama
Du 30 août au 3 septembre 2024, une promotion exceptionnelle sur l'abonnement de deux ans à NordPass est proposée via Numerama, à seulement 1,18 € par mois, soit 31,90 € au total, contre 80,73 € habituellement. NordPass est un gestionnaire de mots de passe sécurisé, développé par l'équipe de NordVPN, qui permet de stocker et de gérer facilement ses identifiants en ligne. Avec un chiffrement avancé XChaCha20, il protège efficacement les données sensibles contre les cybermenaces. L'application est compatible avec tous les appareils (Windows, macOS, Android, iOS) et offre une synchronisation automatique des mots de passe. Elle remplit également automatiquement les identifiants sur les sites visités et peut générer des mots de passe sécurisés. De plus, NordPass prend en charge la double authentification et facilite la migration des mots de passe depuis Chrome. Cette offre est particulièrement avantageuse pour les utilisateurs individuels ou les familles, rendant la gestion des mots de passe plus simple et sécurisée. En somme, cette promotion représente une excellente opportunité pour bénéficier d'un outil de sécurité numérique de qualité à un prix réduit.
Sources :
Des pirates informatiques iraniens créent un nouveau réseau pour cibler les campagnes politiques américaines
Des chercheurs en cybersécurité ont découvert une nouvelle infrastructure réseau mise en place par des acteurs menaçants iraniens, liée à des attaques ciblant des campagnes politiques américaines. Le groupe Insikt de Recorded Future a associé cette infrastructure à un groupe de cybermenaces iranien nommé GreenCharlie, qui partage des liens avec d'autres groupes tels qu'APT42 et Charming Kitten. L'infrastructure utilise des fournisseurs de DNS dynamiques pour enregistrer des domaines destinés à des attaques de phishing, souvent déguisés sous des thèmes liés aux services cloud et au partage de fichiers. Les attaques de GreenCharlie exploitent des techniques de social engineering pour infecter les utilisateurs avec des malwares comme POWERSTAR et GORBLE, récemment identifiés dans des campagnes contre Israël et les États-Unis. Depuis mai 2024, le groupe a enregistré de nombreux domaines DDNS, facilitant la dissimulation de ses activités. Les communications entre des adresses IP basées en Iran et l'infrastructure de GreenCharlie ont été détectées, suggérant une coordination étroite. Cette révélation intervient dans un contexte d'intensification des activités malveillantes iraniennes, avec d'autres groupes comme Peach Sandstorm et Pioneer Kitten ciblant divers secteurs aux États-Unis.
Sources :
Un nouveau malware se fait passer pour Palo Alto VPN et cible les utilisateurs du Moyen-Orient
Des chercheurs en cybersécurité ont révélé une nouvelle campagne ciblant potentiellement des utilisateurs au Moyen-Orient via un malware se faisant passer pour l'outil VPN GlobalProtect de Palo Alto Networks. Ce malware sophistiqué, capable d'exécuter des commandes PowerShell à distance, de télécharger et d'exfiltrer des fichiers, ainsi que de chiffrer les communications, représente une menace significative pour les organisations visées. Le processus d'infection se déroule en deux étapes, établissant des connexions à une infrastructure de commande et de contrôle (C2) déguisée en portail VPN d'entreprise, permettant aux attaquants d'opérer sans alerter les systèmes de sécurité. L'intrusion initiale pourrait impliquer des techniques de phishing pour tromper les utilisateurs. Le malware commence par un fichier setup.exe qui déploie un composant principal, GlobalProtect.exe, et initie un processus de signalement vers les opérateurs. Il collecte des informations système et les exfiltre vers un serveur C2. De plus, il utilise des techniques d'évasion pour contourner l'analyse comportementale. Le malware se connecte à une URL récemment enregistrée, "sharjahconnect", imitant un portail VPN légitime, afin de se fondre dans le trafic réseau régional et d'améliorer ses capacités d'évasion.
Sources :
Voldemort, le nouveau logiciel malveillant qui se fait passer pour les impôts
Proofpoint, une entreprise de cybersécurité, a récemment identifié une campagne de cybermalveillance nommée "Voldemort", inspirée du célèbre antagoniste de Harry Potter. Cette opération, détectée mi-août 2024, se caractérise par l'usurpation de l'identité des services des finances publiques, notamment la direction générale des Finances publiques (DGFIP) en France et dans plusieurs autres pays comme les États-Unis, le Royaume-Uni et l'Allemagne. Plus de 20 000 messages frauduleux ont été envoyés, prétendant informer les victimes de modifications dans leurs déclarations fiscales, chaque message étant personnalisé et rédigé dans la langue du service usurpé pour renforcer sa crédibilité.
Cependant, Proofpoint souligne que l'objectif principal de cette campagne ne semble pas être financier, mais plutôt lié à l'espionnage, en raison des capacités de collecte de renseignements du logiciel malveillant. L'entreprise évoque la possibilité que cette menace soit orchestrée par un groupe APT (Advanced Persistent Threat), souvent soutenu par des États, bien qu'elle n'ait pas encore suffisamment de données pour établir une attribution précise. Ce profil d'attaque présente également des similitudes avec des opérations criminelles plus traditionnelles.
Sources :
Analyse des vulnérabilités d'AD CS : informations pour les professionnels de la sécurité informatique
Dans le domaine de la cybersécurité, la découverte de vulnérabilités est fréquente et rapide, rendant leur suivi difficile. Vonahi Security a récemment introduit vPenTest, un outil d'attaque conçu pour identifier et atténuer les menaces cachées liées aux Active Directory Certificate Services (AD CS). AD CS, un rôle de serveur Windows, est essentiel pour l'émission et la gestion des certificats d'infrastructure à clé publique (PKI), utilisés dans divers protocoles de communication sécurisée. Avec l'augmentation des technologies dans les entreprises, AD CS devient de plus en plus nécessaire, notamment pour les services cloud comme AWS, Azure et GCP, qui nécessitent une authentification par certificat. Les vulnérabilités d'AD CS peuvent permettre aux attaquants de passer d'un utilisateur à faible privilège à un administrateur de domaine sans effort. Deux types de vulnérabilités sont particulièrement préoccupants : le vol de certificats et la persistance d'accès. Par exemple, la vulnérabilité ESC2 permet à un utilisateur standard de demander un certificat en se faisant passer pour un autre. Des outils comme Certipy et PSPKIAudit aident à identifier ces failles. vPenTest, quant à lui, automatise les tests de pénétration pour assurer la sécurité des réseaux.
Sources :
Des pirates informatiques nord-coréens ciblent les développeurs avec des packages npm malveillants
Des acteurs malveillants liés à la Corée du Nord ont récemment publié des paquets malveillants sur le registre npm, témoignant d'efforts "coordonnés et incessants" pour cibler les développeurs afin de voler des actifs en cryptomonnaie. Entre le 12 et le 27 août 2024, des paquets tels que temp-etherscan-api et helmet-validate ont été identifiés. Selon la société de sécurité Phylum, le paquet qq-console est attribué à la campagne "Contagious Interview", qui vise à compromettre les développeurs en les incitant à télécharger de faux paquets npm ou des installateurs trompeurs pour des logiciels de visioconférence. L'objectif final est de déployer un payload Python nommé InvisibleFerret, capable d'exfiltrer des données sensibles des extensions de portefeuille de cryptomonnaie. Parallèlement, CrowdStrike a associé ces activités à Famous Chollima, qui infiltre des environnements d'entreprise sous de faux prétextes d'emploi. Ces attaques, principalement motivées par des gains financiers, ont également impliqué l'exfiltration d'informations sensibles dans des secteurs variés tels que la technologie et les services financiers. Les acteurs malveillants ont utilisé des outils de gestion à distance pour accéder aux systèmes des victimes, exploitant des identifiants d'entreprise pour masquer leurs activités.
Sources :
L'Institut SANS dévoile son guide stratégique pour les infrastructures critiques pour 2024 : un appel à l'action pour sécuriser les environnements ICS/OT
Un guide complet rédigé par Dean Parsons, instructeur certifié SANS et PDG d'ICS Defense Force, souligne l'urgence de mesures de sécurité spécialisées pour les systèmes de contrôle industriels (ICS) face à l'augmentation des cybermenaces. En 2023, les attaques par ransomware ciblant les ICS ont augmenté de 50 %, incitant l'Institut SANS à publier un nouveau guide stratégique intitulé "ICS Is the Business: Why Securing ICS/OT Environments Is Business-Critical in 2024". Ce document analyse le paysage des menaces en évolution rapide et propose des étapes cruciales pour protéger les opérations et garantir la sécurité publique. Parsons met en avant la nécessité de reconnaître que la sécurité des ICS est essentielle pour les entreprises. Le guide aborde les attaques à fort impact et faible fréquence, qui peuvent entraîner des conséquences catastrophiques. Il présente également cinq contrôles critiques pour la cybersécurité des ICS, soulignant que ces mesures sont impératives pour la continuité opérationnelle. Enfin, il évoque le rôle de l'intelligence artificielle dans l'amélioration de la sécurité des ICS, tout en insistant sur l'importance de l'expertise humaine. L'Institut SANS encourage les organisations à télécharger ce guide et à mettre en œuvre les contrôles de sécurité recommandés.
Sources :
Une nouvelle cyberattaque cible les entreprises sinophones avec des charges utiles Cobalt Strike
Une campagne d'attaque sophistiquée, nommée SLOW#TEMPEST, cible des utilisateurs sinophones via des emails de phishing pour infecter des systèmes Windows avec des charges utiles Cobalt Strike. Les chercheurs de Securonix, Den Iuzvyk et Tim Peck, rapportent que les attaquants ont réussi à se déplacer latéralement et à établir une persistance sans être détectés pendant plus de deux semaines. L'attaque débute avec des fichiers ZIP malveillants contenant un fichier de raccourci Windows déguisé en document Word, qui déclenche une chaîne d'infection. Ce fichier lance un binaire Microsoft légitime, exploitant le DLL side-loading pour exécuter un DLL malveillant, permettant un accès persistant à l'hôte infecté. Les attaquants ont également élevé les privilèges du compte Invité, le transformant en point d'accès puissant. Utilisant le protocole RDP et l'outil Mimikatz, ils se déplacent latéralement dans le réseau, établissant des connexions vers leur serveur de commande et de contrôle en Chine. Bien qu'aucun lien direct avec des groupes APT connus n'ait été établi, la complexité de la campagne indique qu'elle est orchestrée par un acteur de menace expérimenté, utilisant des outils d'exploitation avancés.
Sources :
Une vulnérabilité d'Atlassian Confluence exploitée dans des campagnes de minage de crypto-monnaies
Des acteurs malveillants exploitent activement une vulnérabilité critique, CVE-2023-22527, dans les versions anciennes d'Atlassian Confluence Data Center et Confluence Server, pour mener des opérations de minage de cryptomonnaies sur des instances vulnérables. Cette faille, qui permet l'exécution de code à distance par des attaquants non authentifiés, a été corrigée par Atlassian en janvier 2024. Selon Trend Micro, des tentatives d'exploitation ont été observées entre juin et juillet 2024, où les attaquants déploient le mineur XMRig sur des hôtes non corrigés. Au moins trois groupes de menaces sont impliqués, utilisant des scripts shell pour éliminer les processus concurrents de cryptojacking, supprimer les tâches cron existantes, désinstaller des outils de sécurité cloud, et établir une nouvelle tâche cron pour vérifier la connectivité avec un serveur de commande et de contrôle toutes les cinq minutes. Abdelrahman Esmail de Trend Micro souligne que cette vulnérabilité représente un risque de sécurité majeur pour les organisations à l'échelle mondiale. Il recommande aux administrateurs de mettre à jour leurs versions de Confluence pour atténuer les risques associés à cette faille.
Sources :
La cyberattaque de Halliburton liée au gang de ransomware RansomHub
Le groupe de ransomware RansomHub est responsable d'une cyberattaque récente contre Halliburton, un géant des services pétroliers et gaziers, qui a perturbé ses systèmes informatiques et ses opérations commerciales. L'attaque, survenue le 21 août 2024, a empêché les clients de générer des factures et des commandes d'achat, entraînant des déconnexions de certains clients. Halliburton a informé la SEC de l'incident et a pris des mesures pour protéger ses systèmes, notamment en les mettant hors ligne et en collaborant avec Mandiant pour enquêter sur l'attaque. Dans un courriel envoyé aux fournisseurs, Halliburton a partagé des informations sur les indicateurs de compromission (IOC) liés à l'attaque, dont un exécutable Windows nommé maintenance.exe, confirmé comme un encryptor de RansomHub. Ce groupe utilise des tactiques de double extorsion, volant des données avant de les chiffrer pour forcer les entreprises à payer une rançon. L'FBI a publié un avis sur RansomHub, signalant qu'il a touché au moins 210 victimes depuis février 2024. RansomHub a également été lié à d'autres attaques notables, suggérant une continuité avec des opérations précédentes comme Knight.
Sources :
FBI : Le ransomware RansomHub a piraté 210 victimes depuis février
Depuis son apparition en février 2024, le ransomware RansomHub a compromis plus de 210 victimes dans divers secteurs critiques des infrastructures américaines. Ce modèle de ransomware-as-a-service (RaaS) extorque les victimes en menaçant de divulguer des fichiers volés, préférant l'extorsion basée sur le vol de données à l'encryptage des fichiers. Parmi les victimes notables figurent le crédit coopératif Patelco, la chaîne de pharmacies Rite Aid, la maison de vente aux enchères Christie's, le fournisseur de télécommunications Frontier Communications, et le géant des services pétroliers Halliburton. Frontier a averti que les données personnelles de plus de 750 000 clients avaient été exposées. Un avis conjoint du FBI, de la CISA et d'autres agences souligne que RansomHub cible ses victimes par des attaques à double extorsion. Les agences recommandent de corriger les vulnérabilités, d'utiliser des mots de passe forts et l'authentification multifactorielle, et de maintenir les logiciels à jour. Elles déconseillent de payer la rançon, car cela n'assure pas la récupération des fichiers et peut inciter d'autres attaques. RansomHub, qui a attiré des affiliés de variantes notables comme LockBit, continue de représenter une menace significative pour la sécurité des données.
Sources :
Le faux Palo Alto GlobalProtect utilisé comme leurre pour détourner les entreprises
Des acteurs malveillants ciblent des organisations du Moyen-Orient en utilisant un malware déguisé en outil légitime de Palo Alto, GlobalProtect, qui permet de voler des données et d'exécuter des commandes PowerShell à distance. GlobalProtect est un logiciel de sécurité reconnu, utilisé pour garantir un accès VPN sécurisé aux employés distants. Les chercheurs de Trend Micro, qui ont découvert cette campagne, suspectent qu'elle débute par un email de phishing. La victime exécute un fichier nommé 'setup.exe', qui déploie un fichier 'GlobalProtect.exe' tout en masquant l'installation du malware. Ce dernier vérifie s'il est exécuté dans un environnement de test avant de transmettre des informations sur la machine compromise à un serveur de commande et contrôle (C2). Le malware utilise un chiffrement AES pour dissimuler ses données. Le C2, enregistré sous un URL semblant légitime, facilite l'infiltration. Les commandes reçues permettent diverses actions, comme l'exécution de scripts PowerShell ou le téléchargement de fichiers. Bien que les attaquants restent inconnus, leur méthode ciblée et l'utilisation de domaines récemment enregistrés montrent une sophistication dans leur approche.
Sources :
Mise à jour Windows 10 KB5041582 publiée avec 5 modifications et correctifs
Microsoft a publié la mise à jour d'aperçu KB5041582 pour Windows 10, version 22H2, le 29 août 2024. Cette mise à jour, qui est facultative, vise à corriger des problèmes de fuites de mémoire et de gel du système. Elle permet aux administrateurs de tester des correctifs avant le déploiement des mises à jour de sécurité obligatoires lors du Patch Tuesday de septembre 2024. Parmi les correctifs notables, on trouve des améliorations pour l'éditeur de méthode d'entrée (IME) et les appareils Bluetooth, ainsi que la mise à jour des profils COSA pour certains opérateurs mobiles. Les utilisateurs peuvent installer cette mise à jour via l'application Paramètres ou manuellement depuis le Catalogue Microsoft. Une fois installée, la mise à jour portera les systèmes Windows 10 22H2 à la version 19045.4842. Cependant, deux problèmes connus persistent : l'impossibilité de changer l'image de profil et des problèmes de démarrage de Linux sur les systèmes à double amorçage. En parallèle, Microsoft a rouvert le canal bêta de Windows 10 et a annoncé de nouvelles versions bêta, marquant un retour après trois ans d'absence.
Sources :
Un groupe vietnamien de défense des droits de l'homme est la cible d'une cyberattaque menée par APT32 depuis plusieurs années
Une organisation à but non lucratif soutenant les droits de l'homme au Vietnam a été la cible d'une campagne de cyberattaques durant plusieurs années, visant à déployer divers malwares sur des hôtes compromis. La société de cybersécurité Huntress a attribué ces activités à un groupe de hackers aligné avec le Vietnam, connu sous le nom d'APT32 ou OceanLotus, actif depuis au moins 2012. Ce groupe cible principalement des réseaux d'entreprises et gouvernementaux en Asie de l'Est, avec des objectifs de cyberespionnage et de vol de propriété intellectuelle. Les chercheurs en sécurité ont noté que les techniques utilisées dans cette intrusion correspondent à celles d'OceanLotus, avec un ciblage similaire. Les chaînes d'attaques commencent souvent par des campagnes de spear-phishing pour installer des portes dérobées, permettant de collecter des informations sensibles. Récemment, Huntress a identifié des attaques sur quatre hôtes, où des tâches planifiées et des clés de registre Windows ont été ajoutées pour lancer des backdoors comme Cobalt Strike, capable de voler des cookies Google Chrome. Parallèlement, des utilisateurs sud-coréens sont également ciblés par une campagne exploitant des serveurs Microsoft Exchange vulnérables pour voler des informations d'identification.
Sources :
Des pirates informatiques russes exploitent les failles de Safari et de Chrome dans une cyberattaque de grande envergure
Des chercheurs en cybersécurité ont signalé plusieurs campagnes d'exploitation exploitant des vulnérabilités désormais corrigées dans les navigateurs Apple Safari et Google Chrome, visant à infecter des utilisateurs mobiles avec des logiciels malveillants volants d'informations. Ces campagnes, observées entre novembre 2023 et juillet 2024, ont utilisé des attaques de type "watering hole" sur des sites gouvernementaux mongols. Attribuées à un acteur soutenu par l'État russe, APT29, ces intrusions ont révélé des similitudes avec des exploits précédemment liés à des fournisseurs de surveillance commerciale. Les vulnérabilités concernées incluent CVE-2023-41993, CVE-2024-4671 et CVE-2024-5274, toutes corrigées par Apple et Google. Les attaques ont permis de voler des cookies de navigateur, ciblant particulièrement les employés du gouvernement mongol. En juillet 2024, une nouvelle attaque a redirigé les utilisateurs Android vers un lien malveillant, exploitant des failles pour déployer un logiciel de vol d'informations. Les chercheurs soulignent que ces exploits, bien que corrigés, restent efficaces contre les appareils non mis à jour, mettant en évidence la menace persistante des attaques par "watering hole" et l'utilisation d'exploits n-day par des acteurs étatiques.
Sources :
Un malware exploite une faille zero-day vieille de 5 ans pour infecter les caméras IP en fin de vie
Un malware basé sur Corona Mirai exploite une vulnérabilité zero-day de cinq ans dans les caméras IP AVTECH, qui ne sont plus prises en charge depuis leur fin de vie en 2019. Cette faille, identifiée comme CVE-2024-7029, permet à des attaquants non authentifiés d'injecter des commandes via le réseau en manipulant le paramètre "brightness" du firmware des caméras. La Cybersecurity and Infrastructure Security Agency des États-Unis a émis un avertissement concernant cette vulnérabilité, soulignant que ces caméras sont encore utilisées dans divers secteurs, y compris la santé et les services financiers. Bien que des exploits de preuve de concept soient disponibles depuis 2019, la vulnérabilité n'a été officiellement reconnue qu'en août 2024. Depuis mars 2024, des attaques exploitant cette faille ont été observées, permettant au malware de télécharger un fichier JavaScript qui installe ensuite le payload principal du botnet. Les utilisateurs des caméras AVTECH AVM1203 sont fortement conseillés de les déconnecter et de les remplacer par des modèles plus récents pour garantir la sécurité. Il est également recommandé de changer les mots de passe par défaut et de maintenir les appareils à jour pour éviter de telles menaces.
