Des hackers nord-coréens extorquent 10 millions via des escroqueries IA sur LinkedIn - Actus du 23/11/2024
Découvrez comment Google expose GLASSBRIDGE, un réseau pro-chinois de faux sites d'info. Plongez dans l'univers des hackers nord-coréens qui dérobent 10M$ via LinkedIn. Ne manquez pas le nouveau groupe de hackers ciblant La Réunion. Un trio d'attaques qui secoue le monde numérique!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Google dénonce GLASSBRIDGE : un réseau d'influence pro-chinois de faux sites d'actualité
Des agences gouvernementales et des organisations non gouvernementales aux États-Unis sont ciblées par un acteur menaçant d'État chinois émergent, connu sous le nom de Storm-2077, actif depuis au moins janvier 2024. Microsoft a signalé que ce groupe a également mené des cyberattaques contre divers secteurs, notamment la défense, l'aviation et les services financiers. Storm-2077 utilise des chaînes d'attaque qui exploitent des dispositifs connectés à Internet pour accéder à des systèmes, déployant des malwares comme Cobalt Strike et Pantegana. Les opérations de ce groupe incluent des missions de collecte de renseignements via des courriels de phishing pour obtenir des identifiants liés à des applications d'eDiscovery, facilitant l'exfiltration d'emails sensibles. Parallèlement, le groupe de renseignement sur les menaces de Google a révélé une opération d'influence pro-Chine, GLASSBRIDGE, qui utilise des sites d'actualités inauthentiques pour promouvoir des récits alignés sur l'agenda politique chinois. Plus de mille sites opérés par GLASSBRIDGE ont été bloqués par Google depuis 2022. Ces sites, gérés par des entreprises de relations publiques, se présentent comme des médias indépendants, diffusant des contenus favorables à Pékin, ce qui souligne l'évolution des méthodes des acteurs d'opérations d'information.
Sources :
Des pirates informatiques nord-coréens volent 10 millions de dollars grâce à des escroqueries et des logiciels malveillants basés sur l'IA sur LinkedIn
Le groupe de cybercriminalité lié à la Corée du Nord, connu sous le nom de Sapphire Sleet, aurait volé plus de 10 millions de dollars en cryptomonnaies grâce à des campagnes de manipulation sociale menées sur six mois. Microsoft a révélé que ce groupe, actif depuis 2020 et lié à APT38 et BlueNoroff, a créé de faux profils sur LinkedIn, se faisant passer pour des recruteurs ou des chercheurs d'emploi afin de générer des revenus illicites. Sapphire Sleet utilise des portails d'évaluation des compétences pour piéger ses cibles, prétendant être des investisseurs intéressés par leurs entreprises. Les victimes, en tentant de se connecter à des réunions en ligne, reçoivent des messages d'erreur les incitant à contacter un administrateur, ce qui les amène à télécharger des scripts malveillants. Ces scripts permettent aux attaquants d'accéder aux informations d'identification et aux portefeuilles de cryptomonnaies. De plus, des travailleurs informatiques nord-coréens, utilisant des facilitateurs pour créer de faux profils sur des plateformes comme GitHub, exploitent des outils d'intelligence artificielle pour falsifier des documents et des photos. Microsoft souligne que ces efforts ont rapporté au moins 370 000 dollars à ce groupe.
Sources :
Un nouveau groupe de hackers revendique la cyberattaque contre le département de La Réunion
Un nouveau groupe de hackers, dénommé Termite, a revendiqué six cyberattaques, dont celle contre le département de la Réunion le 14 novembre. Cette attaque a impliqué un logiciel malveillant, rapidement maîtrisé, mais une fuite de données a été confirmée, bien que limitée. Le département a mis en place une cellule de crise pour évaluer les dégâts et restaurer les réseaux, tout en déposant une plainte et en informant la CNIL. Sur le darknet, les hackers ont publié une image du département sans divulguer d’informations volées. D'autres départements français, comme le Loiret et les Alpes-Maritimes, ont également été ciblés par des cyberattaques. Le mode opératoire des pirates consiste à infiltrer les réseaux, exfiltrer des données, puis exiger une rançon, bien que la règle dans l'administration française soit de ne jamais céder aux demandes des hackers. Pour se protéger, des solutions comme U-Cyber 360° de Mailinblack offrent des outils de cybersécurité, incluant la gestion des mots de passe et des formations. La situation souligne l'importance croissante de la cybersécurité face à la montée des attaques par ransomware.
Sources :
La mise à jour Windows 10 KB5046714 corrige un bug empêchant la désinstallation d'applications
Microsoft a publié la mise à jour cumulative optionnelle KB5046714 pour Windows 10 22H2, qui corrige six bugs, dont un problème empêchant les utilisateurs de désinstaller ou de mettre à jour des applications packagées. Cette mise à jour fait partie du programme de "mises à jour préliminaires non sécuritaires" de Microsoft, généralement diffusées à la fin de chaque mois, permettant aux administrateurs de tester les corrections et fonctionnalités à venir avant le Patch Tuesday de décembre. Contrairement aux mises à jour de sécurité, cette mise à jour ne contient que des corrections de bugs. Les utilisateurs peuvent l'installer via les paramètres de Windows Update ou en la téléchargeant manuellement depuis le Catalogue Microsoft. Après installation, Windows 10 22H2 sera mis à jour vers la version 19045.5198. Parmi les autres corrections notables, on trouve des problèmes liés à la sauvegarde des raccourcis Win32, à l'activation de Windows après remplacement de la carte mère, et à l'impression via IPP. Microsoft a confirmé qu'il n'y a pas de problèmes connus avec cette mise à jour. Une liste complète des corrections est disponible dans le bulletin de support KB5046714.
Sources :
QNAP supprime le firmware QTS bogué qui cause des problèmes NAS généralisés
QNAP a retiré une mise à jour de firmware récemment publiée, QTS 5.2.2.2950, après des rapports massifs d'utilisateurs signalant des problèmes de connectivité et, dans certains cas, un verrouillage de leurs appareils. Cette mise à jour, lancée pour corriger plusieurs vulnérabilités de sécurité et des problèmes connus, a causé des dysfonctionnements majeurs sur divers modèles de NAS. Les utilisateurs rencontrent des erreurs telles que "Vos identifiants de connexion sont incorrects" et "Modifications non autorisées détectées au démarrage", rendant l'accès à des applications essentielles comme Malware Remover et File Station impossible. Certains clients ont dû revenir à une version antérieure du firmware pour retrouver l'accès à leurs fichiers. Bien que QNAP n'ait pas encore publié d'avis officiel sur ces problèmes, son équipe de support a confirmé que la mise à jour problématique a été retirée de la page de téléchargement. Ils recommandent de revenir à la version QTS 5.2.1.2930 pour résoudre les problèmes de connectivité. QNAP a reconnu des problèmes liés à la partition secondaire DOM sur certains appareils NAS et a conseillé aux utilisateurs d'utiliser Qfinder Pro pour effectuer la rétrogradation.
Sources :
Des pirates informatiques s'introduisent dans le réseau Wi-Fi d'une entreprise américaine depuis la Russie dans le cadre d'une « attaque du voisin le plus proche »
Des hackers russes, connus sous le nom d'APT28, ont réussi à infiltrer une entreprise américaine via son réseau Wi-Fi d'entreprise en utilisant une technique innovante appelée "attaque par voisinage". Cette méthode a permis aux attaquants de se connecter à la cible après avoir compromis une organisation située à proximité, dans la portée du Wi-Fi. L'attaque a été détectée le 4 février 2022 par la société de cybersécurité Volexity, qui a observé une compromission de serveur chez un client travaillant sur des projets liés à l'Ukraine. APT28, lié à l'unité militaire russe GRU, a d'abord obtenu des identifiants d'accès au réseau Wi-Fi de l'entreprise cible par des attaques de type "password-spraying". Bien que l'authentification multi-facteurs ait bloqué l'accès via le web public, les hackers ont contourné cette restriction en compromettant d'autres organisations à proximité. Ils ont ensuite utilisé des dispositifs à double connexion pour accéder au réseau cible. En exploitant une vulnérabilité dans le service Windows Print Spooler, ils ont pu exfiltrer des données sensibles. Cette attaque souligne la nécessité de renforcer la sécurité des réseaux Wi-Fi d'entreprise, souvent négligés par rapport aux dispositifs accessibles sur Internet.
Sources :
Le butin impressionnant de cinq pirates accusés d’appartenir au gang Scattered Spider
La justice américaine a récemment inculpé quatre membres du gang de cybercriminels Scattered Spider, ainsi qu'un suspect britannique actuellement détenu en Espagne. Les inculpés, dont Ahmed Elbadawy (23 ans, Texas), Noah Urban (20 ans, Floride) et Joel Evans (25 ans, Caroline du Nord), sont accusés d'avoir orchestré des cyberattaques ciblant des entreprises telles que LastPass, MailChimp, Twilio et T-Mobile. Leurs actions auraient causé des pertes estimées à 100 millions de dollars, notamment lors du piratage de MGM Resorts. Les hackers auraient utilisé un programme développé par Evans pour récupérer des identifiants et des données, qui étaient ensuite transférées via Telegram. Si reconnus coupables, chacun des suspects pourrait faire face à une peine maximale de 22 ans de prison. Le gang, décrit comme moins structuré qu'une organisation criminelle traditionnelle, a suscité des inquiétudes en raison de ses liens potentiels avec des groupes de cybercriminalité russophones. Les experts soulignent la gravité de ces attaques, qui mettent en lumière la vulnérabilité des entreprises face à des cybermenaces de plus en plus sophistiquées.
Sources :
Microsoft déploie Recall pour les membres Windows Insider avec les PC Copilot+
Microsoft a annoncé le déploiement de sa fonctionnalité d'IA, Recall, pour les utilisateurs de Windows Insiders dans le canal Dev, spécifiquement sur les PC équipés de Snapdragon Copilot+. Après plusieurs retards, Recall est désormais accessible aux utilisateurs ayant installé la version préliminaire de Windows 11. Cette fonctionnalité prend des captures d'écran des fenêtres actives toutes les quelques secondes, les analyse à l'aide d'un modèle d'IA et les stocke dans une base de données SQLite. Les utilisateurs peuvent ensuite rechercher des informations dans ces captures via un langage naturel. Cependant, des experts en cybersécurité ont exprimé des préoccupations concernant la vie privée, incitant Microsoft à rendre Recall opt-in et à exiger une vérification via Windows Hello. La fonctionnalité inclut des protections contre les malwares et permet aux utilisateurs de filtrer certaines applications et sites. Microsoft a également précisé que les données ne sont pas envoyées à des tiers et que les utilisateurs peuvent gérer leurs paramètres de stockage. En parallèle, une nouvelle fonctionnalité, Click to Do, est lancée pour aider à accomplir des tâches rapidement. Recall sera désactivé par défaut sur les appareils d'entreprise, laissant le choix aux administrateurs informatiques.
Sources :
APT-K-47 utilise des leurres sur le thème du Hajj pour diffuser des malwares Asyncshell avancés
Le groupe de menaces connu sous le nom de Mysterious Elephant, également désigné APT-K-47, a été observé utilisant une version avancée d'un malware appelé Asyncshell. Selon une analyse de l'équipe Knownsec 404, cette campagne d'attaques a employé des leurres sur le thème du Hajj pour inciter les victimes à exécuter un fichier malveillant déguisé en fichier d'aide HTML compilé par Microsoft (CHM). Actif depuis au moins 2022, ce groupe d'origine sud-asiatique cible principalement des entités pakistanaises. En octobre 2023, il a été lié à une campagne de spear-phishing livrant un backdoor nommé ORPCBackdoor. Bien que le vecteur d'accès initial ne soit pas clairement identifié, il est probable qu'il implique des courriels de phishing, menant à un fichier ZIP contenant un CHM prétendant traiter de la politique du Hajj 2024 et un fichier exécutable caché. Lors de l'exécution du CHM, un document de leurre est affiché tandis que le binaire s'exécute en arrière-plan. Asyncshell, utilisé par APT-K-47, a évolué pour inclure des communications C2 via HTTPS et des scripts Visual Basic pour améliorer l'efficacité des attaques.
Sources :
Le groupe TAG-112, lié à la Chine, cible les médias tibétains avec une campagne d'espionnage au cobalt
Un groupe de cyberespionnage lié à la Chine, nommé TAG-112, a compromis des sites web tibétains, dont Tibet Post et l'Université Tantrique Gyudmed, dans le but de déployer l'outil de post-exploitation Cobalt Strike. Selon Recorded Future, les attaquants ont intégré un JavaScript malveillant sur ces sites, trompant les visiteurs avec une fausse erreur de certificat TLS pour les inciter à télécharger un certificat de sécurité déguisé. Ce malware, utilisé pour un accès à distance, souligne l'intérêt continu pour les entités tibétaines. TAG-112 est considéré comme un sous-groupe d'Evasive Panda, en raison de similitudes tactiques et de leur ciblage historique des entités tibétaines. Le JavaScript malveillant, téléchargé via une vulnérabilité dans le système de gestion de contenu Joomla, vérifie le système d'exploitation et le navigateur de l'utilisateur avant de déclencher le téléchargement d'un exécutable déguisé. Bien que les deux groupes présentent des intersections tactiques, Recorded Future les distingue en raison de la différence de sophistication, TAG-112 étant moins mature et utilisant Cobalt Strike sans obfuscation, contrairement à TAG-102 qui emploie des malwares personnalisés.
