Des pirates nord-coréens déploient la porte dérobée VeilShell pour des cyberattaques furtives - Actus du 03/10/2024
Découvrez comment le malware Linux « Perfctl » cible les serveurs pour du cryptomining et proxyjacking, et pourquoi intégrer un dictionnaire personnalisé dans votre politique de mots de passe est essentiel pour renforcer votre sécurité en ligne.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le malware Linux « perfctl » à l’origine d’une campagne de cryptomining qui dure depuis des années
Les chercheurs d'Aqua Nautilus ont découvert un malware nommé perfctl, qui aurait ciblé des millions de serveurs Linux ces dernières années, entraînant des infections dans plusieurs milliers d'entre eux. Ce malware, principalement utilisé pour le cryptomining de la cryptomonnaie Monero, exploite des configurations incorrectes et des failles de sécurité, notamment CVE-2023-33246 et CVE-2021-4034. Une fois qu'un serveur est compromis, un payload obfusqué, "httpd", est téléchargé et exécuté. Perfctl établit une communication sécurisée via un socket Unix et un canal chiffré sur TOR, rendant les échanges indéchiffrables. Il déploie un rootkit, 'libgcwrap.so', qui modifie les mécanismes d'authentification et intercepte le trafic réseau pour éviter la détection. Des rootkits supplémentaires remplacent des utilitaires système par des versions trojanisées. Un mineur XMRIG est également installé pour exploiter les ressources CPU du serveur. Les utilisateurs prennent souvent conscience de l'infection lorsque l'utilisation CPU atteint 100 %. Aqua Nautilus recommande de surveiller les répertoires système, d'analyser le trafic réseau et d'appliquer des mesures proactives pour détecter et stopper perfctl, notamment en inspectant les fichiers suspects et en bloquant les adresses IP malveillantes.
Sources :
Le nouveau malware Perfctl cible les serveurs Linux pour le minage de crypto-monnaie et le proxyjacking
Une campagne ciblant les serveurs Linux déploie un malware furtif nommé perfctl, conçu principalement pour exécuter un mineur de cryptomonnaie et un logiciel de proxyjacking. Selon les chercheurs d'Aqua, perfctl utilise des techniques sophistiquées pour rester discret et persistant. Lorsqu'un nouvel utilisateur se connecte, le malware cesse toute activité bruyante et reste inactif jusqu'à ce que le serveur soit à nouveau inoccupé. Il supprime son binaire après exécution et continue de fonctionner en arrière-plan comme un service. Ce malware exploite une vulnérabilité dans Polkit (CVE-2021-4043) pour obtenir des privilèges root et déployer un mineur appelé perfcc. Le nom "perfctl" semble être une stratégie pour échapper à la détection en se fondant dans des processus système légitimes. L'attaque commence par l'exploitation d'une instance vulnérable d'Apache RocketMQ pour livrer un payload. Pour se camoufler, le malware se copie dans le répertoire "/tmp", exécute le nouveau binaire et efface l'original. Pour se protéger contre perfctl, il est conseillé de maintenir les systèmes à jour, de restreindre l'exécution de fichiers et d'appliquer un contrôle d'accès basé sur les rôles. Des pics inhabituels d'utilisation CPU peuvent indiquer des activités de minage.
Sources :
Pourquoi votre politique de mot de passe doit inclure un dictionnaire personnalisé
De nombreuses organisations font face à des problèmes de sécurité liés à l'utilisation de mots de passe faibles par leurs employés, ce qui facilite les attaques de hackers. Pour contrer ce phénomène, l'intégration de dictionnaires personnalisés dans les politiques de mots de passe est essentielle. Ces dictionnaires contiennent des mots, phrases et combinaisons de caractères que les utilisateurs ne peuvent pas utiliser lors de la création de leurs mots de passe. Cela ajoute une couche de protection contre les attaques basées sur des identifiants. Les employés, malgré une formation, ont tendance à choisir des mots de passe faciles à retenir, souvent liés à leur entreprise ou à leur secteur d'activité. En incluant des termes spécifiques à l'organisation et à l'industrie dans le dictionnaire, on peut réduire les risques d'attaques ciblées. Par exemple, pour une organisation de santé, des termes comme "NHS" ou des noms de départements doivent être prohibés. De plus, il est crucial d'éviter des formats de mots de passe courants et prévisibles. L'outil Specops Password Policy facilite l'intégration de ces dictionnaires dans les politiques de mots de passe existantes, renforçant ainsi la sécurité des données et des systèmes de l'organisation.
Sources :
Des pirates informatiques nord-coréens utilisent la nouvelle porte dérobée VeilShell pour mener des cyberattaques furtives
Des acteurs malveillants liés à la Corée du Nord ont été observés déployant un nouveau logiciel malveillant, VeilShell, dans le cadre d'une campagne ciblant le Cambodge et probablement d'autres pays d'Asie du Sud-Est. Cette activité, nommée SHROUDED#SLEEP par Securonix, est attribuée à APT37, également connu sous plusieurs noms. Actif depuis 2012, ce groupe est considéré comme faisant partie du ministère de la Sécurité d'État nord-coréen. VeilShell, un cheval de Troie d'accès à distance, permet aux attaquants d'accéder entièrement aux machines compromises, facilitant l'exfiltration de données et la manipulation de tâches planifiées. Le premier stade de l'attaque utilise un fichier ZIP contenant un raccourci Windows, probablement distribué par des emails de phishing ciblés. Une fois lancé, le fichier déclenche l'exécution de code PowerShell pour extraire des composants malveillants. Ce processus inclut l'injection d'AppDomainManager pour exécuter un fichier DLL malveillant au démarrage. VeilShell, basé sur PowerShell, communique avec un serveur de commande pour exécuter diverses actions malveillantes. La campagne SHROUDED#SLEEP se distingue par sa méthode discrète et sa persistance, visant à maintenir un contrôle à long terme sur les systèmes compromis.
Sources :
Microsoft rend le rappel possible tout en améliorant la confidentialité
Microsoft a récemment lancé la fonctionnalité Windows Recall, désormais disponible en tant qu'option facultative, suite à des préoccupations concernant la vie privée. Dans un article, David Weston, vice-président de la sécurité des entreprises et des systèmes d'exploitation chez Microsoft, a expliqué l'architecture de Recall et les mesures de protection de la vie privée mises en place. Les utilisateurs peuvent choisir d'activer Recall, permettant à l'outil de prendre des instantanés, ou de le désactiver complètement. Pour ceux qui souhaitent une protection accrue, Recall peut être désinstallé via les paramètres des fonctionnalités optionnelles.
La sécurité des utilisateurs est renforcée par un chiffrement protégé par TPM, nécessitant une connexion via Windows Hello pour accéder aux clés de chiffrement, le tout se déroulant dans un Enclave de sécurité basé sur la virtualisation. De plus, Recall intègre des mesures de limitation de taux et de protection contre les attaques malveillantes. Microsoft a également assuré que les données et instantanés ne sont pas partagés avec l'entreprise ou des tiers. Les utilisateurs peuvent gérer les instantanés, recevoir des notifications lors de leur prise et personnaliser l'espace de stockage. Cette mise à jour vise à améliorer l'expérience utilisateur tout en répondant aux préoccupations de confidentialité soulevées par la communauté de la sécurité.
Sources :
Interpol arrête huit personnes dans le cadre d'une vaste opération de lutte contre le phishing et les fraudes amoureuses en Afrique de l'Ouest
INTERPOL a annoncé l'arrestation de huit individus en Côte d'Ivoire et au Nigeria dans le cadre de l'opération Contender 2.0, visant à lutter contre les escroqueries en ligne et les fraudes amoureuses. Cette initiative a été lancée suite à une vaste escroquerie par phishing ciblant des citoyens suisses, entraînant des pertes financières de plus de 1,4 million de dollars. Les cybercriminels se faisaient passer pour des acheteurs sur des sites d'annonces et utilisaient des QR codes pour diriger les victimes vers des sites frauduleux imitant une plateforme de paiement légitime. Entre août 2023 et avril 2024, les autorités suisses ont reçu environ 260 signalements d'escroqueries, ce qui a conduit à une enquête collaborative révélant que la campagne provenait de Côte d'Ivoire. Le principal suspect a avoué avoir gagné illicitement plus de 1,9 million de dollars. Par ailleurs, un suspect et son complice ont été arrêtés au Nigeria pour une escroquerie amoureuse, alertés par les autorités finlandaises. Ces actions soulignent l'importance de la coopération internationale dans la lutte contre la cybercriminalité, comme l'a souligné Neal Jetton, directeur de la Cybercrime Directorate.
Sources :
Les membres du ransomware LockBit et d'Evil Corp arrêtés et sanctionnés dans le cadre d'un effort mondial conjoint
Une nouvelle vague d'actions internationales de lutte contre la criminalité a conduit à quatre arrestations et à la saisie de neuf serveurs liés à l'opération de ransomware LockBit, marquant un coup dur contre ce groupe autrefois prolifique. Parmi les arrestations, un développeur présumé de LockBit en France, deux individus au Royaume-Uni soutenant un affilié, et un administrateur d'un service d'hébergement en Espagne. Europol a également identifié Aleksandr Ryzhenkov, membre de haut rang du groupe cybercriminel Evil Corp, comme affilié à LockBit. Des sanctions ont été imposées à sept individus et deux entités liées à ce groupe. Les États-Unis, en coordination avec leurs alliés, poursuivent leurs efforts pour exposer et perturber les réseaux criminels. Cette opération, nommée Operation Cronos, survient près de huit mois après la saisie de l'infrastructure en ligne de LockBit. Ryzhenkov, décrit comme le bras droit de Maksim Yakubets, aurait extorqué au moins 100 millions de dollars en rançons. Les liens entre les groupes cybercriminels russes et l'État russe sont soulignés, notamment par l'implication de membres de la famille Yakubets dans des opérations d'espionnage contre des alliés de l'OTAN.
Sources :
La faille d'Ivanti Endpoint Manager est activement ciblée, la CISA avertit les agences de corriger
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité affectant Endpoint Manager (EPM) à son catalogue des vulnérabilités exploitées, suite à des preuves d'exploitation active. Cette vulnérabilité, identifiée comme CVE-2024-29824, a un score CVSS de 9,6, indiquant une gravité critique. Elle concerne une injection SQL non spécifiée dans le serveur Core d'Ivanti EPM 2022 SU5 et versions antérieures, permettant à un attaquant non authentifié sur le même réseau d'exécuter du code arbitraire. Horizon3.ai a publié un exploit de preuve de concept en juin, soulignant que le problème provient d'une fonction appelée RecordGoodApp() dans un fichier DLL nommé PatchBiz.dll. Bien que les détails de l'exploitation active restent flous, Ivanti a confirmé que "l'exploitation de CVE-2024-29824" a été observée, touchant un "nombre limité de clients". En un mois, quatre vulnérabilités différentes dans les appareils Ivanti ont été activement exploitées, révélant leur attractivité pour les acteurs malveillants. Les agences fédérales doivent mettre à jour leurs systèmes avant le 23 octobre 2024 pour protéger leurs réseaux contre ces menaces.
Sources :
Les pirates de FIN7 lancent des sites de « génération » de photos de nus deepfake pour diffuser des logiciels malveillants
Le groupe de hackers FIN7, connu pour ses activités criminelles depuis 2013, a récemment lancé un réseau de sites web frauduleux proposant des générateurs de deepnude alimentés par l'IA. Ces sites, qui prétendent créer des images nues à partir de photos de personnes habillées, visent à infecter les visiteurs avec des malwares volants d'informations. FIN7, soupçonné d'être lié à des gangs de ransomware, utilise des techniques de phishing sophistiquées, comme l'imitation de grandes marques pour distribuer des clés USB malveillantes. Les sites, promus par des tactiques de SEO malveillant, offrent des "essais gratuits" mais ne font qu'installer des malwares tels que Lumma Stealer, Redline Stealer et D3F@ck Loader, qui volent des données sensibles. Bien que ces sites aient été supprimés, les utilisateurs ayant téléchargé des fichiers pourraient être infectés. Parallèlement, FIN7 mène d'autres campagnes, distribuant des malwares via des extensions de navigateur et des installateurs trompeurs. Le groupe a également été impliqué dans la vente d'outils de neutralisation de sécurité à d'autres cybercriminels, ciblant divers secteurs, y compris l'industrie automobile.
Sources :
Une faille critique Ivanti RCE avec un exploit public est désormais utilisée dans les attaques
Le 2 octobre 2024, la CISA a averti qu'une vulnérabilité critique d'Ivanti, permettant l'exécution de code à distance sur les appareils Endpoint Manager (EPM), est actuellement exploitée dans des attaques. Cette faille, identifiée comme CVE-2024-29824, est une injection SQL dans le serveur Core d'Ivanti EPM, que des attaquants non authentifiés sur le même réseau peuvent exploiter pour exécuter du code arbitraire sur des systèmes non corrigés. Ivanti a publié des mises à jour de sécurité en mai pour corriger cette vulnérabilité, ainsi que cinq autres. Des chercheurs de Horizon3.ai ont publié un exploit de preuve de concept sur GitHub et ont conseillé aux administrateurs de vérifier les journaux MS SQL pour détecter des signes d'exploitation. Ivanti a confirmé l'exploitation de cette faille dans la nature, avec un nombre limité de clients touchés. La CISA a ajouté cette vulnérabilité à son catalogue et a ordonné aux agences fédérales de sécuriser les appareils vulnérables d'ici le 23 octobre. Ivanti a également annoncé des efforts pour améliorer son processus de divulgation responsable et ses capacités de test face à ces menaces de sécurité croissantes.
Sources :
De fausses mises à jour de navigateur propagent le malware WarmCookie mis à jour
Une nouvelle campagne de cyberattaque, nommée 'FakeUpdate', cible les utilisateurs en France en diffusant un malware appelé WarmCookie via de faux messages de mise à jour de navigateur. Ce stratagème, orchestré par le groupe de menaces 'SocGolish', utilise des sites compromis pour afficher des alertes de mise à jour trompeuses pour divers logiciels, notamment Google Chrome et Java. Lorsque les utilisateurs cliquent sur ces notifications, un faux programme de mise à jour est téléchargé, introduisant des charges malveillantes telles que des voleurs d'informations et des ransomwares. Découvert par Gen Threat Labs, WarmCookie est un backdoor Windows capable de voler des données, exécuter des commandes arbitraires et capturer des captures d'écran. La dernière version de ce malware inclut des fonctionnalités avancées, comme l'exécution de DLLs et le transfert de fichiers EXE. Les attaquants exploitent des sites compromis, et certains domaines semblent conçus pour renforcer l'illusion de légitimité. Les utilisateurs doivent être prudents, car les mises à jour de navigateurs modernes se font automatiquement, et toute demande de téléchargement manuel doit être considérée comme suspecte. Cette campagne souligne l'importance de la vigilance face aux menaces en ligne.
Sources :
Les fausses applications de trading ciblent les victimes dans le monde entier via l'App Store d'Apple et Google Play
Une campagne de fraude à grande échelle a exploité de fausses applications de trading sur l'App Store d'Apple et le Google Play Store, ainsi que des sites de phishing, pour escroquer des victimes, selon Group-IB. Ces opérations de manipulation et d'ingénierie sociale entraînent souvent des pertes financières pour les victimes, qui se voient parfois demander des frais supplémentaires. Cette campagne, ayant une portée mondiale, a touché des victimes en Asie-Pacifique, en Europe, au Moyen-Orient et en Afrique. Les applications frauduleuses, créées avec le cadre UniApp, sont désignées sous le nom de UniShadowTrade. Les cybercriminels ont utilisé un code source pour déterminer si la date était antérieure au 22 juillet 2024, déclenchant alors un écran trompeur. Après la suppression des applications, ils ont pivoté vers la distribution via des sites de phishing. Les utilisateurs iOS doivent faire confiance à un profil de développeur d'entreprise, tandis que l'enregistrement dans l'application nécessite un code d'invitation. Une fois enregistrés, les victimes fournissent des documents d'identité et des informations personnelles, mais rencontrent des difficultés pour retirer leurs fonds, se voyant demander des frais supplémentaires. Group-IB met en garde contre ces arnaques, soulignant l'importance de vérifier la légitimité des plateformes d'investissement.
Sources :
Microsoft Office 2024 désormais disponible pour les utilisateurs Windows et macOS
Microsoft a lancé Office 2024, une version autonome destinée aux petites entreprises et aux consommateurs ne souhaitant pas s'abonner à Microsoft 365. Disponible pour Windows et macOS, Office 2024 comprend des versions mises à jour de Word, Excel, PowerPoint, OneNote et Outlook, nécessitant un compte Microsoft et une connexion Internet pour l'installation et les mises à jour. Deux éditions sont proposées : Office Home 2024 à 149,99 $ pour un PC ou Mac, et Office Home & Business 2024 à 249,99 $, incluant Outlook et des droits d'utilisation commerciale. Cette nouvelle version présente des améliorations significatives par rapport à Office 2021, notamment un nouveau thème par défaut basé sur les principes de Fluent Design, un support pour le format OpenDocument 1.4, des classeurs Excel plus rapides, des sous-titres pour les vidéos intégrées et une recherche améliorée dans les emails et calendriers. De plus, Office 2024 intègre une fonction de récupération de documents et désactive par défaut les contrôles ActiveX, en réponse à des problèmes de sécurité. Microsoft a également lancé Office LTSC 2024 pour les clients commerciaux et gouvernementaux.
Sources :
CeranaKeeper, lié à la Chine, cible l'Asie du Sud-Est avec l'exfiltration de données
Un nouvel acteur de menace, nommé CeranaKeeper, a été identifié par la société de cybersécurité slovaque ESET, en lien avec des attaques d'exfiltration de données ciblant des institutions gouvernementales en Asie du Sud-Est, notamment en Thaïlande, depuis 2023. ESET attribue ces activités à des groupes alignés avec la Chine, utilisant des outils associés à Mustang Panda. CeranaKeeper se distingue par sa capacité à mettre à jour constamment ses portes dérobées pour éviter la détection et à diversifier ses méthodes d'exfiltration massive de données, en abusant de services cloud légitimes comme Dropbox et OneDrive. Les pays touchés incluent également le Myanmar, les Philippines, le Japon et Taïwan. Les attaques impliquent des familles de malwares comme TONESHELL et des outils inédits pour l'exfiltration. CeranaKeeper exploite des serveurs compromis pour déployer ses portes dérobées sur d'autres machines et utilise des outils personnalisés tels que WavyExfiller et BingoShell pour siphonner des données. Bien que CeranaKeeper et Mustang Panda semblent opérer indépendamment, des liens possibles existent, suggérant un partage d'informations ou une dépendance à des ressources tierces.
