Des hackers abusent de Google Cloud pour le phishing - Actus du 22/07/2024
Découvrez comment des experts ont démantelé un réseau de cybercriminalité chinois lié aux jeux d'argent et au trafic humain, l'arrestation de trois personnes en Espagne pour l'utilisation de DDoSia, et comment PINEAPPLE et FLUXROOT exploitent Google Cloud pour le phishing. Ne manquez pas notre...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des experts découvrent un réseau de cybercriminalité chinois à l'origine des jeux d'argent et du trafic d'êtres humains
Un syndicat du crime organisé chinois, lié au blanchiment d'argent et à la traite des êtres humains en Asie du Sud-Est, utilise une "suite technologique" avancée pour mener ses opérations, rebaptisée Kaiyun Sports en 2022 et intégrée dans une nouvelle entité appelée Ponymuah. Cette suite, commercialisée en Chine sous le nom de "baowang" ("包网"), comprend des composants tels que des configurations DNS, l'hébergement de sites Web, des mécanismes de paiement, de la publicité et des applications mobiles. L'entreprise se concentre sur l'obtention de parrainages de clubs de football européens pour promouvoir des sites de jeu illégaux, avec des logos de sociétés de paris apparaissant jusqu'à 3 500 fois lors d'un match de football télévisé. Vigorish Viper, opérant un vaste réseau de plus de 170 000 noms de domaine actifs, utilise des systèmes sophistiqués de distribution de trafic DNS CNAME pour échapper à la détection et aux forces de l'ordre. Les activités de Vigorish Viper s'étendent au jeu illégal, au streaming illégal et aux sites pornographiques, avec des mécanismes de défense tels que des vérifications d'activité automatisée et des puzzles CAPTCHA pour éviter la détection.
Sources :
L'Espagne arrête trois personnes pour avoir utilisé la plateforme hacktiviste DDoSia
Trois individus ont été arrêtés en Espagne pour avoir utilisé la plateforme DDoSia, opérée par des hacktivistes pro-russes, afin de mener des attaques DDoS contre des gouvernements et des organisations de pays de l'OTAN. Les arrestations ont eu lieu à Séville, Huelva et Manacor, avec la saisie d'équipements informatiques et de documents. Malgré ces arrestations, le groupe a continué ses attaques envers l'UE. La plateforme DDoSia, lancée en août 2022, a connu une croissance massive et a ciblé des organisations dans plus de 24 pays. Les autorités espagnoles cherchent à identifier d'autres participants aux attaques. Les attaques DDoS, bien que perçues comme moins menaçantes, peuvent causer des perturbations majeures. Un exemple est l'attaque contre Microsoft par le groupe Anonymous Sudan, qui a entraîné une panne des portails web d'Azure, Outlook et OneDrive.
Sources :
Les groupes de hackers PINEAPPLE et FLUXROOT abusent de Google Cloud pour le phishing d'informations d'identification
Un acteur financièrement motivé basé en Amérique latine, nommé FLUXROOT, a été observé en train d'utiliser des projets sans serveur de Google Cloud pour orchestrer des activités de phishing de données, mettant en lumière l'abus du modèle de cloud computing à des fins malveillantes. Cette campagne a impliqué l'utilisation d'URL de conteneurs Google Cloud pour héberger des pages de phishing de données visant à récolter des informations de connexion associées à Mercado Pago, une plateforme de paiement en ligne populaire en Amérique latine. De plus, un autre adversaire nommé PINEAPPLE a également utilisé l'infrastructure cloud de Google pour propager un autre malware voleur connu sous le nom d'Astaroth lors d'attaques ciblant les utilisateurs brésiliens. Google a pris des mesures pour atténuer ces activités en supprimant les projets malveillants de Google Cloud et en mettant à jour ses listes de navigation sécurisée. L'abus des services cloud par les acteurs de la menace a été alimenté par l'adoption accrue du cloud à travers les industries, rendant la détection plus difficile.
Sources :
Comment configurer un service d'analyse SMS automatisé avec l'IA dans Tines
Le fournisseur a récemment lancé ses premières fonctionnalités natives d'IA, et les équipes de sécurité ont déjà commencé à partager les workflows améliorés par l'IA qu'elles ont construits en utilisant la plateforme. Ces messages peuvent entraîner des comptes compromis, un accès non autorisé à des informations sensibles et des violations potentielles qui pourraient causer des dommages importants aux opérations et à la réputation de l'organisation. Répondre manuellement à chaque rapport peut être chronophage et sujet à des erreurs, rendant difficile pour les équipes de sécurité de suivre le volume de menaces. Il est recommandé de ne pas cliquer sur le lien fourni et de contacter directement Amazon via leur site officiel ou leurs canaux de service client pour vérifier le statut de votre compte. Le lancement d'un service comme celui-ci présente plusieurs avantages clés : il favorise une culture de cybersécurité, réduit le travail manuel pour l'équipe de sécurité et améliore la vitesse et la précision de la détection des menaces. Le workflow préconstruit utilise Tines Pages pour créer un service d'analyse automatisé des SMS que n'importe qui dans l'organisation peut utiliser.
Sources :
MSP et MSSP : Comment accroître l'engagement avec vos clients de cybersécurité grâce au reporting vCISO
Cet article met en lumière l'importance de créer des récits captivants dans les rapports vCISO pour renforcer la proposition de valeur des MSP/MSSP. Il résume les points clés d'un atelier récent animé par Jesse Miller, expert en sécurité de l'information, sur la manière de concevoir des rapports efficaces pour améliorer l'engagement des clients en cybersécurité. L'accent est mis sur l'objectif ultime des rapports : faciliter les discussions stratégiques axées sur la sécurité. En fournissant une section initiale concise axée sur les résultats, les vCISO peuvent partager efficacement l'histoire qu'ils racontent, permettant aux dirigeants d'entreprise de comprendre l'essentiel avant d'approfondir les détails. L'article souligne l'importance de relier l'évaluation des risques, la feuille de route de sécurité et les recommandations pour guider les clients dans leurs décisions. En utilisant la cartographie RCT (Ressources, Coûts, Temps), les vCISO peuvent aider les clients à prioriser les actions à entreprendre pour renforcer la conformité et la sécurité. Cette approche, vérifiée par le reporting, favorise la croissance des vCISO et la réussite des entreprises.
Sources :
Sécurité des données : l’équilibre entre protection et performance
La sécurité des données est essentielle et complexe, nécessitant une approche pondérée. La découverte continue des données sensibles est recommandée, intégrant la protection, la surveillance et la gouvernance. Les méthodologies incluent le chiffrement, la tokenisation, le chiffrement préservant le format et le hachage préservant le format. Une protection efficace repose sur un équilibre entre sécurité et agilité opérationnelle, avec une gouvernance unifiée et une visibilité continue sur le cycle de vie des données. L'objectif est de neutraliser l'impact des violations en rendant les données moins attrayantes, permettant aux entreprises de sécuriser leurs investissements.
Sources :
SocGholish Malware exploite le projet BOINC pour des cyberattaques secrètes
Le malware téléchargeur JavaScript connu sous le nom de SocGholish est utilisé pour distribuer un cheval de Troie d'accès à distance appelé AsyncRAT ainsi qu'un projet open source légitime appelé BOINC. Les installations malveillantes sont conçues pour se connecter à un domaine contrôlé par l'acteur, agissant comme un serveur de commande et de contrôle pour collecter des données hôtes, transmettre des charges utiles et envoyer d'autres commandes. Bien que les chercheurs n'aient pas observé d'activités supplémentaires sur les hôtes infectés, ils craignent que les connexions hôtes puissent être vendues comme vecteurs d'accès initiaux à d'autres acteurs et potentiellement utilisées pour exécuter des ransomwares. L'utilisation de BOINC à des fins malveillantes est en cours d'investigation par les mainteneurs du projet, qui cherchent un moyen de contrer ce malware. Les attaques de SocGholish commencent généralement sur des sites compromis, où les utilisateurs sont incités à télécharger une fausse mise à jour de navigateur qui déclenche le déploiement de variantes de AsyncRAT et l'installation de BOINC. Les auteurs de logiciels malveillants utilisent la technologie V8 JavaScript pour contourner les détections statiques et dissimuler diverses menaces.
Sources :
Un hacker pourrait parfaitement manipuler les feux de circulation comme dans les films
Un hacker éthique a découvert une faille dans le système de gestion des feux de circulation Intelight X-1, permettant de prendre le contrôle des feux. Environ 30 dispositifs dans le monde sont exposés en ligne. Intelight a réagi en déclarant que le dispositif analysé n'est plus en vente et que l'étude de l'expert pourrait violer les lois de protection des systèmes informatiques. Malgré cela, la société encourage les clients à vérifier si leurs contrôleurs sont à jour. L'expert affirme qu'il est possible de modifier les feux selon ses préférences. Cette découverte soulève des inquiétudes sur la sécurité des anciens systèmes Intelight encore en service.
Sources :
Nouvelle variante Linux du ransomware Play ciblant les systèmes VMware ESXi
Des chercheurs en cybersécurité ont découvert une nouvelle variante Linux d'un ransomware nommé Play, ciblant les environnements VMware ESXi. Cette évolution suggère une expansion des attaques sur la plateforme Linux, avec des tactiques de double extortion. Jusqu'à 300 organisations ont été victimes du groupe de ransomware Play en octobre 2023. Les États-Unis sont le pays le plus touché, suivi par le Canada, l'Allemagne, le Royaume-Uni et les Pays-Bas. Plusieurs secteurs sont affectés, notamment la fabrication, les services professionnels, la construction, l'informatique, le commerce de détail, les services financiers, le transport, les médias, les services juridiques et l'immobilier. Le groupe de ransomware Play utilise des services de Prolific Puma pour éviter la détection, notamment en utilisant un algorithme de génération de domaines enregistrés. Cette collaboration entre entités criminelles suggère des tentatives de contourner les protocoles de sécurité. Les environnements ESXi sont des cibles de choix en raison de leur rôle critique dans les opérations commerciales.
Sources :
Microsoft publie un outil de réparation Windows pour supprimer le pilote CrowdStrike
Microsoft a publié un outil de réparation Windows personnalisé pour supprimer le pilote défectueux de CrowdStrike qui a provoqué des pannes sur environ 8,5 millions d'appareils Windows. Une mise à jour défectueuse de CrowdStrike a entraîné des crashs massifs de dispositifs Windows dans le monde entier, nécessitant une suppression manuelle du pilote défectueux. Pour faciliter cette tâche, Microsoft a mis à disposition un outil de récupération automatisé via une clé USB, nécessitant un espace de stockage de 8 Go, des privilèges administratifs, une clé de récupération Bitlocker si nécessaire. L'outil supprime automatiquement le pilote défectueux et redémarre l'appareil, permettant ainsi un retour à la normale. Cependant, la récupération des clés de récupération Bitlocker reste un défi majeur pour les administrateurs Windows. Un utilisateur a suggéré à Microsoft de maintenir à jour l'environnement WinRE avec les pilotes nécessaires pour accéder au disque C:, mais cela pourrait poser des défis en raison de l'espace limité de la partition de récupération.
Sources :
Le faux CrowdStrike corrige les entreprises cibles avec des logiciels malveillants et des effaceurs de données
Des cybercriminels exploitent une mise à jour défectueuse de CrowdStrike pour cibler des entreprises avec des logiciels malveillants et des outils d'accès à distance. Des e-mails de phishing sont en augmentation pour profiter de la situation. Une fausse mise à jour de CrowdStrike a été utilisée pour distribuer le RAT Remcos et le wiper de données. Des milliers d'appareils Windows ont été affectés, entraînant des annulations de vols, des perturbations dans les entreprises financières et les hôpitaux. CrowdStrike a identifié la cause de l'incident et fournit des instructions pour restaurer les systèmes.
Sources :
Fake CrowdStrike met à jour les entreprises cibles avec des logiciels malveillants et des effaceurs de données
Des acteurs de la menace exploitent la perturbation majeure causée par une mise à jour défectueuse de CrowdStrike pour cibler des entreprises avec des outils de suppression de données et d'accès à distance. Des e-mails de phishing tentent de profiter de la situation. CrowdStrike conseille de vérifier les canaux officiels de communication pour éviter les attaques. Une campagne de malware se faisant passer pour une mise à jour de CrowdStrike a été signalée, distribuant le RAT Remcos. Un groupe de hacktivistes pro-iranien a revendiqué une campagne de suppression de données en se faisant passer pour CrowdStrike. La mise à jour défectueuse de CrowdStrike a affecté 8,5 millions d'appareils Windows, entraînant des annulations de vols, des perturbations dans les entreprises financières et les hôpitaux. CrowdStrike a identifié la cause de l'incident et fournit des instructions pour restaurer les systèmes.
