Détournement de l’IA : les nouvelles prédictions APT de Kaspersky pour 2025 - Actus du 05/12/2024
Découvrez comment une faille de Mitel MiCollab, la fermeture du Manson Market par Europol, et les menaces émergentes prédictives de Kaspersky pour 2025 redéfinissent la cybersécurité. Plongez dans l'analyse des tendances à venir et protégez vos systèmes dès aujourd'hui !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une faille critique de Mitel MiCollab expose les systèmes à des accès non autorisés aux fichiers et aux administrateurs
Des chercheurs en cybersécurité ont publié un exploit de preuve de concept (PoC) qui exploite une vulnérabilité critique récemment corrigée dans Mitel MiCollab, associée à une faille zero-day permettant la lecture de fichiers arbitraires. La vulnérabilité, CVE-2024-41713 (score CVSS : 9.8), concerne une validation d'entrée insuffisante dans le composant NuPoint Unified Messaging (NPM), entraînant une attaque par traversée de chemin. MiCollab, qui intègre divers services de communication, utilise NPM pour la gestion des messages vocaux. WatchTowr Labs a découvert cette faille lors de ses recherches sur une autre vulnérabilité critique, CVE-2024-35286. L'analyse a révélé que l'attaquant peut accéder à des informations sensibles sans authentification en manipulant les requêtes HTTP. Mitel a corrigé cette vulnérabilité dans les versions 9.8 SP2 (9.8.2.12) ou ultérieures. En outre, MiCollab 9.8 SP2 corrige également une autre vulnérabilité SQL dans le composant Audio, Web et Vidéo (CVE-2024-47223). Parallèlement, Rapid7 a signalé plusieurs défauts de sécurité dans la caméra de sécurité Lorex, pouvant conduire à une exécution de code à distance (RCE) via une chaîne d'exploits.
Sources :
Europol ferme le marché de la fraude Manson Market et saisit 50 serveurs
Europol a annoncé la fermeture de Manson Market, un marché en ligne facilitant la fraude à grande échelle, lors d'une opération menée par les autorités allemandes. Plus de 50 serveurs ont été saisis et deux suspects arrêtés, avec la collecte de plus de 200 téraoctets de preuves numériques. Lancé en 2022, Manson Market proposait des informations sensibles obtenues illégalement via des escroqueries de phishing et de vishing. Les criminels se faisaient passer pour des employés de banque pour soutirer des informations personnelles aux victimes et utilisaient de faux magasins en ligne pour récupérer des données de paiement. Europol a indiqué que le marché servait de plateforme centrale pour le commerce d'informations volées, permettant aux utilisateurs d'acheter des données triées par région et solde de compte, rendant la fraude plus ciblée et efficace. Manson Market avait également une présence sur Telegram, où des détails de cartes de crédit étaient partagés quotidiennement. L'opération a impliqué plusieurs pays, dont l'Autriche, la République tchèque, la Finlande, l'Allemagne, les Pays-Bas et la Pologne. Les deux suspects, âgés de 27 et 37 ans, sont en détention provisoire. Cette action s'inscrit dans une semaine intense de répression contre d'autres plateformes criminelles.
Sources :
Détournement de l’IA, attaque de la chaîne d’approvisionnement en open-source et alliances entre hacktivistes : les prédictions APT de Kaspersky pour 2025
La Global Research and Analysis Team (GReAT) de Kaspersky a partagé ses prévisions pour le paysage des menaces APT (Advanced Persistent Threat) en 2025. Les experts anticipent une montée des alliances d’hacktivistes, une utilisation accrue d’outils d’IA par des acteurs étatiques, souvent avec des portes dérobées, et une augmentation des attaques sur la chaîne d’approvisionnement, notamment sur des projets open-source. Les cybercriminels, comme le groupe Lazarus, exploitent déjà des outils d’IA pour mener des attaques sophistiquées, y compris l’utilisation de deepfakes pour usurper des identités. Les logiciels malveillants codés en C++ et Go devraient également se multiplier, s’adaptant aux écosystèmes open-source en pleine expansion. Par ailleurs, la sécurité des dispositifs IoT, dont le nombre atteindra 32 milliards d’ici 2030, représente un vecteur d’attaque croissant. Les alliances d’hacktivistes devraient se renforcer, permettant des campagnes plus coordonnées. Enfin, la technique BYOVD (Bring Your Own Vulnerable Driver) devrait se généraliser, augmentant la complexité des attaques. Ces tendances soulignent la nécessité pour les organisations de renforcer leur cybersécurité face à un paysage de menaces en constante évolution.
Sources :
Prédictions cybersécurité : Proofpoint partage sa vision de l’évolution du paysage de la menace
Le paysage de la cybersécurité devient de plus en plus complexe, avec une intensification des menaces et une multiplication des vecteurs d'attaques. L'intelligence artificielle (IA) joue un rôle crucial tant dans les attaques que dans les défenses. Pour anticiper les évolutions à venir, Proofpoint a identifié cinq tendances clés pour 2025. Premièrement, la manipulation des données privées par des agents IA semi-autonomes pourrait créer de nouvelles vulnérabilités, les cybercriminels risquant de contaminer les données utilisées par les modèles de langage. Deuxièmement, l'IA, bien qu'elle soit perçue comme un risque, deviendra essentielle dans les stratégies d'entreprise, nécessitant une meilleure compréhension de son utilisation par les employés. Troisièmement, le cyber espionnage étatique sera influencé par les tensions géopolitiques, avec des attaques visant des objectifs financiers et de propagande. Quatrièmement, les attaques sur mobile, notamment via le smishing, vont augmenter, exploitant la méfiance des utilisateurs. Enfin, le rôle des responsables de la sécurité des systèmes d'information (RSSI) évolue, avec une influence croissante au sein des conseils d'administration, mais une implication opérationnelle réduite, complexifiant ainsi la gouvernance et la responsabilité.
Sources :
Des pirates informatiques ciblent les Ouïghours et les Tibétains avec l'exploit MOONSHINE et la porte dérobée DarkNimbus
Un nouveau groupe de menaces, nommé Earth Minotaur, utilise le kit d'exploitation MOONSHINE et un backdoor Android-Windows non documenté appelé DarkNimbus pour surveiller à long terme les Tibétains et les Ouïghours. Selon Trend Micro, Earth Minotaur exploite MOONSHINE pour livrer DarkNimbus sur des appareils Android et Windows, ciblant principalement WeChat. MOONSHINE, qui exploite plusieurs vulnérabilités connues des navigateurs basés sur Chromium, a été identifié pour la première fois en septembre 2019 lors d'attaques contre la communauté tibétaine. Les chercheurs ont noté que le groupe utilise des liens trompeurs, se faisant passer pour des annonces inoffensives liées à la Chine, pour inciter les victimes à cliquer. Une fois cliqué, le lien redirige vers un serveur d'exploitation qui peut soit installer DarkNimbus, soit afficher une page de phishing pour inciter à une mise à jour du navigateur. DarkNimbus, développé depuis 2018, collecte des informations sensibles et exécute des commandes à distance. Bien que l'origine exacte d'Earth Minotaur reste floue, ses capacités avancées et ses chaînes d'infection variées indiquent qu'il s'agit d'un acteur sophistiqué, rejoignant d'autres groupes ciblant la diaspora tibétaine et ouïghoure.
Sources :
Apple rend Firefox encore plus pertinent sur Mac grâce à cette extension
À la fin de l'année, une bonne nouvelle pour les utilisateurs de Firefox : l'extension iCloud Passwords d'Apple est désormais disponible, facilitant l'accès aux mots de passe du trousseau iCloud lors de la connexion à des sites web. Cette application permet de remplir en toute sécurité les mots de passe et d'enregistrer ceux créés dans Firefox directement dans le trousseau iCloud. En plus de cette fonctionnalité, la société française Mailinblack propose U-Cyber 360°, une solution complète pour protéger les organisations contre les cybermenaces, incluant la gestion des mots de passe et la formation à la cybersécurité. L'extension iCloud Passwords est déjà compatible avec Chrome et Edge, et bien qu'elle soit maintenant accessible sur Firefox, sa part de marché reste faible (2,6 %). Actuellement, l'extension est uniquement compatible avec macOS, laissant les utilisateurs de Windows en attente. Cette initiative d'Apple, qui s'appuie sur une base existante trouvée sur GitHub, montre une volonté d'élargir l'accès à ses services de gestion de mots de passe, renforçant ainsi la sécurité des utilisateurs sur divers navigateurs.
Sources :
Vous souhaitez intégrer la gestion des vulnérabilités à la gestion des expositions ? Commencez ici !
La gestion des vulnérabilités, presque aussi ancienne que la cybersécurité elle-même, vise à aider les organisations à identifier et à résoudre les problèmes de sécurité avant qu'ils ne deviennent graves. Cependant, elle présente des lacunes, notamment en raison de la diversité des parties prenantes et du risque de "paralysie d'analyse", où les équipes sont submergées par le nombre de problèmes à traiter. De plus, les évaluations de vulnérabilités, souvent motivées par la conformité, se concentrent davantage sur le respect des exigences réglementaires que sur l'amélioration de la posture de sécurité. Pour remédier à cela, il est crucial d'intégrer le contexte commercial dans les opérations de sécurité et de démontrer la valeur tangible des initiatives de cybersécurité. La gestion de l'exposition émerge comme une solution, reliant les équipes techniques aux dirigeants d'entreprise en mettant l'accent sur les risques qui comptent vraiment. En priorisant les surfaces d'attaque et en utilisant des métriques basées sur des résultats commerciaux, les organisations peuvent mieux protéger leurs actifs critiques et aligner leurs efforts de cybersécurité sur les priorités commerciales. Ce changement vise à créer une défense stratégique et résiliente, essentielle pour le succès à long terme.
Sources :
Apple Passwords a enfin son extension officielle sur Firefox
Firefox accueille une nouvelle extension : iCloud Passwords, le gestionnaire de mots de passe d'Apple, permettant aux utilisateurs de remplir en toute sécurité leurs mots de passe du trousseau iCloud lors de connexions sur le navigateur. Cette fonctionnalité facilite la gestion des mots de passe, en synchronisant ceux créés dans Firefox avec tous les appareils Apple. Bien que Firefox ait une part de marché de 2,6 %, cette extension le place sur un pied d'égalité avec Chrome et Edge, qui supportent déjà iCloud Passwords. L'extension, basée sur un projet existant sur GitHub, est pour l'instant compatible uniquement avec macOS, laissant les utilisateurs de Windows en attente. En parallèle, Mailinblack propose U-Cyber 360°, une solution complète pour la cybersécurité, incluant la protection des e-mails et la formation des employés. Les gestionnaires de mots de passe comme NordPass, 1Password et Dashlane continuent de dominer le marché, chacun offrant des fonctionnalités distinctes. Cette initiative d'Apple souligne l'importance croissante de la sécurité en ligne et la nécessité d'outils adaptés pour protéger les données des utilisateurs.
Sources :
Des chercheurs découvrent une cyberattaque de 4 mois contre une entreprise américaine liée à des pirates informatiques chinois
Un acteur malveillant présumé chinois a ciblé une grande organisation américaine au cours d'une intrusion de quatre mois, détectée pour la première fois le 11 avril 2024 et se poursuivant jusqu'en août. Selon Symantec, des serveurs Exchange ont été compromis, suggérant que les attaquants cherchaient à collecter des informations en récoltant des emails. Des outils d'exfiltration ont également été déployés, indiquant que des données ciblées ont été extraites. Bien que le nom de l'organisation ne soit pas divulgué, elle a une présence significative en Chine. Les liens avec la Chine proviennent de l'utilisation de la technique de DLL side-loading, couramment employée par des groupes de menaces chinois, ainsi que d'artefacts associés à une opération d'État nommée Crimson Palace. L'organisation avait déjà été ciblée en 2023 par un groupe de hackers lié à Daggerfly. Les attaquants ont utilisé des outils open-source et des programmes LotL comme WMI et PowerShell. Le mécanisme d'accès initial reste inconnu, mais des commandes exécutées via WMI suggèrent une compromission préalable. Symantec souligne également le rôle des entreprises fictives dans l'écosystème cybernétique chinois, servant à dissimuler l'attribution des attaques à l'État chinois.
Sources :
Les portes dérobées ANEL et NOOPDOOR utilisées comme armes dans la nouvelle campagne MirrorFace contre le Japon
Le groupe de menaces lié à la Chine, connu sous le nom de MirrorFace, a lancé une nouvelle campagne de spear-phishing ciblant principalement des individus et des organisations au Japon depuis juin 2024. Selon Trend Micro, l'objectif est de déployer des portes dérobées appelées NOOPDOOR et ANEL. Ce dernier backdoor, utilisé par APT10 jusqu'en 2018, fait son retour dans cette campagne. MirrorFace, également désigné comme Earth Kasha, est reconnu pour sa persistance à cibler des entités japonaises et est considéré comme un sous-groupe d'APT10. Contrairement aux intrusions de 2023, qui exploitaient des vulnérabilités dans des dispositifs de sécurité, cette campagne privilégie le phishing ciblé, visant des individus plutôt que des entreprises. Les courriels malveillants, envoyés depuis des comptes compromis ou gratuits, contiennent des liens vers OneDrive, incitant les destinataires à télécharger des archives ZIP piégées. Ces archives utilisent divers vecteurs d'infection, notamment des documents Word et des fichiers de raccourci Windows. Le dropper ROAMINGMOUSE déploie ANEL, qui collecte des informations et déploie NOOPDOOR contre des cibles d'intérêt particulier. Les chercheurs sont particulièrement visés, rendant ces attaques plus difficiles à détecter.
Sources :
Des pirates russes détournent les serveurs de pirates pakistanais pour leurs propres attaques
Le groupe russe de cyber-espionnage Turla, également connu sous le nom de "Secret Blizzard", a récemment été impliqué dans une opération de piratage ciblant d'autres hackers, en particulier le groupe pakistanais Storm-0156. En accédant à l'infrastructure de Storm-0156, Turla a pu mener des attaques discrètes sur des réseaux déjà compromis, notamment ceux d'organisations gouvernementales afghanes et indiennes. Selon un rapport de Lumen's Black Lotus Labs, cette campagne a débuté en décembre 2022 et a été suivie avec l'aide de l'équipe de renseignement de Microsoft. Turla, lié au FSB russe, a une longue histoire d'opérations d'espionnage depuis 1996. Lumen a observé que Turla a déployé plusieurs outils malveillants, tels que des variantes de backdoors, sur les réseaux de Storm-0156, exploitant des serveurs de commande et de contrôle. Microsoft a noté que cette approche prudente pourrait être liée à des considérations politiques, Turla ayant déjà utilisé des infrastructures d'autres groupes, comme "OilRig", pour mener des attaques. Cette stratégie souligne la vulnérabilité des groupes d'États-nations face à des attaques sophistiquées, même lorsqu'ils utilisent des outils de sécurité avancés.
Sources :
La NCA démantèle des réseaux cryptographiques russes qui blanchissent des fonds et échappent aux sanctions
L'Agence nationale de lutte contre le crime du Royaume-Uni (NCA) a annoncé avoir dirigé une enquête internationale, nommée Opération Destabilise, visant à perturber des réseaux de blanchiment d'argent russes impliqués dans des crimes organisés au Royaume-Uni, au Moyen-Orient, en Russie et en Amérique du Sud. Cette opération a conduit à l'arrestation de 84 suspects liés à deux réseaux russophones, Smart et TGR, ainsi qu'à la saisie de 20 millions de livres sterling (25,4 millions de dollars) en espèces et en cryptomonnaies. Les deux entreprises sont basées dans la Tour de la Fédération à Moscou, un centre connu pour le blanchiment d'argent. Parallèlement, le département du Trésor américain a sanctionné cinq individus et quatre entités associées au groupe TGR, accusé d'exploiter des actifs numériques pour contourner les sanctions internationales. Ekaterina Zhdanova, à la tête du groupe Smart, a été sanctionnée pour avoir aidé des Russes fortunés à blanchir des fonds. La NCA a souligné que ces réseaux facilitaient l'accès des élites russes aux économies occidentales, contournant ainsi les restrictions financières. Cette opération a révélé des liens entre élites russes, cybercriminels et gangs de drogue au Royaume-Uni.
Sources :
La CISA met en garde contre l'exploitation active des failles de Zyxel, ProjectSend et CyberPanel
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté plusieurs vulnérabilités de sécurité affectant des produits de Zyxel, North Grid Proself, ProjectSend et CyberPanel à son catalogue des vulnérabilités exploitées (KEV), en raison de preuves d'exploitation active. Parmi ces vulnérabilités, on trouve : CVE-2024-51378 (CVSS 10.0), permettant un contournement d'authentification ; CVE-2023-45727 (CVSS 7.5), facilitant des attaques XXE ; CVE-2024-11680 (CVSS 9.8), permettant à un attaquant de créer des comptes et d'injecter des scripts malveillants ; et CVE-2024-11667 (CVSS 7.5), permettant le téléchargement de fichiers via une URL manipulée. La vulnérabilité CVE-2023-45727 est liée à un groupe de cyberespionnage chinois, Earth Kasha. De plus, des acteurs malveillants tentent d'exploiter CVE-2024-11680 depuis septembre 2024. CISA recommande aux agences fédérales de remédier à ces vulnérabilités d'ici le 25 décembre 2024. Parallèlement, JPCERT/CC a averti que trois vulnérabilités dans les routeurs I-O DATA sont également exploitées, avec des correctifs attendus en décembre 2024. Les utilisateurs sont conseillés de restreindre l'accès à leurs paramètres pour se protéger.
Sources :
Microsoft affirme que le fait d'avoir un TPM est « non négociable » pour Windows 11
Microsoft a réaffirmé cette semaine que les utilisateurs de Windows 10 ne pourront pas passer à Windows 11 sans la prise en charge de TPM 2.0, une exigence jugée "non négociable". Le TPM 2.0 est un processeur dédié qui offre des fonctions de sécurité matérielle, permettant de stocker des données sensibles comme des clés de chiffrement. Annoncé comme obligatoire en juin 2021, TPM 2.0 vise à renforcer la résistance des systèmes face aux cyberattaques. Steven Hosking, responsable produit, a souligné son rôle crucial dans la protection des données et l'intégrité des systèmes, en intégrant des capacités de sécurité telles que Secure Boot et Windows Hello. Bien que l'inscription aux programmes de mise à jour soit prévue pour fin 2025, les versions Long-Term Servicing Branch (LTSB) et Long-Term Servicing Channel (LTSC) continueront de recevoir des mises à jour au-delà de cette date. Les utilisateurs expriment des préoccupations concernant les exigences de processeur, suggérant que de nombreux appareils Windows 10 sont déjà compatibles avec TPM 2.0. Certains remettent en question la nécessité de ces exigences, évoquant des solutions pour contourner les restrictions imposées par Microsoft.
Sources :
Le nouveau malware Android DroidBot cible 77 applications bancaires et cryptographiques
Un nouveau malware Android, nommé 'DroidBot', cible plus de 77 applications bancaires et d'échanges de cryptomonnaies au Royaume-Uni, en Italie, en France, en Espagne et au Portugal. Découvert par les chercheurs de Cleafy, DroidBot est actif depuis juin 2024 et fonctionne comme une plateforme de malware-as-a-service (MaaS), vendue pour 3 000 $ par mois. Au moins 17 groupes affiliés utilisent des constructeurs de malware pour personnaliser leurs attaques. Bien que DroidBot ne présente pas de caractéristiques novatrices, il a été identifié dans 776 infections uniques à travers plusieurs pays européens. Les développeurs, apparemment turcs, fournissent aux affiliés tous les outils nécessaires, y compris des serveurs de commande et de contrôle (C2) et un panneau d'administration central. DroidBot se fait souvent passer pour des applications populaires comme Google Chrome pour tromper les utilisateurs. Ses principales fonctionnalités incluent le keylogging, l'affichage de fausses pages de connexion, l'interception de SMS, et un module de contrôle à distance. Pour se protéger, les utilisateurs Android sont conseillés de télécharger des applications uniquement depuis Google Play et de vérifier les demandes de permissions.
Sources :
Maison Blanche : Salt Typhoon a piraté des opérateurs de télécommunications dans des dizaines de pays
Des hackers chinois, connus sous le nom de Salt Typhoon, ont infiltré des entreprises de télécommunications dans des dizaines de pays, y compris huit aux États-Unis, selon Anne Neuberger, conseillère adjointe à la sécurité nationale. Ces attaques, qui durent depuis un à deux ans, n'ont pas compromis de communications classifiées, mais ont exploité des vulnérabilités dans les systèmes des entreprises privées. Les agences fédérales, dont la CISA et le FBI, ont conseillé aux Américains d'utiliser des applications de messagerie chiffrées pour protéger leurs communications. Malgré les affirmations de T-Mobile sur l'absence d'activité d'attaquants dans son réseau, les hackers ont eu accès à des données sensibles, y compris des enregistrements d'appels et des informations sur les demandes des forces de l'ordre. Les agences ont confirmé que les hackers avaient accès aux réseaux pendant plusieurs mois, leur permettant de voler un trafic Internet considérable. En réponse, la CISA a publié des recommandations pour renforcer la sécurité des infrastructures de communication, en collaboration avec le FBI et la NSA, afin de réduire les surfaces d'attaque ciblées par ces hackers d'État.
Sources :
Le FBI partage des conseils sur la manière de lutter contre les fraudes basées sur l'IA
Le FBI met en garde contre l'utilisation croissante de l'intelligence artificielle (IA) par les escrocs pour améliorer l'efficacité de leurs arnaques en ligne, notamment dans les domaines des romances, des investissements et des offres d'emploi. Dans un avis public, l'agence souligne que l'IA générative permet aux criminels de créer des contenus plus crédibles, rendant leurs stratagèmes plus difficiles à détecter. Parmi les arnaques récentes, on trouve la création de faux profils sur les réseaux sociaux, l'usurpation d'identité d'autorités pour obtenir des paiements, et la production de contenus trompeurs pour des investissements frauduleux, y compris dans les cryptomonnaies. Le FBI recommande plusieurs mesures de précaution : établir un mot de passe secret avec ses proches, rechercher des imperfections dans les images ou vidéos, écouter attentivement les appels pour détecter des voix clonées, et limiter la visibilité de ses informations personnelles en ligne. Il est également conseillé de vérifier l'identité des appelants et de ne jamais partager d'informations sensibles avec des inconnus. En cas de soupçon d'escroquerie, il est recommandé de signaler l'incident à l'IC3, en fournissant tous les détails pertinents.
Sources :
Le Royaume-Uni démantèle les réseaux russes de blanchiment d'argent utilisés par les ransomwares
Une opération menée par l'Agence nationale de lutte contre le crime (NCA) du Royaume-Uni a perturbé deux réseaux russes de blanchiment d'argent liés à des gangs de ransomware. Nommée "Opération Destabilise", cette enquête internationale a abouti à l'arrestation de 84 suspects russophones associés aux organisations criminelles Smart et TGR, dirigées par Ekaterina Zhdanova et George Rossi. Selon la NCA, ces réseaux soutiennent des cybercriminels russes pour blanchir leurs profits illicites, ayant notamment blanchi plus de 2,3 millions de dollars de rançons en crypto-monnaie pour le groupe de ransomware Ryuk. Les activités de ces groupes ont causé des pertes d'au moins 27 millions de livres sterling à 149 victimes au Royaume-Uni, touchant des hôpitaux, des écoles et des entreprises. L'opération a impliqué des collaborations internationales, y compris avec le département du Trésor américain et la police française. La NCA a révélé des réseaux de blanchiment d'argent d'une valeur de plusieurs milliards de dollars, reliant des élites russes à des cybercriminels et à des gangs de drogue au Royaume-Uni. Des sanctions ont été imposées à Zhdanova et à d'autres suspects pour leur rôle dans ces activités criminelles.
Sources :
L'unité BT a mis ses serveurs hors ligne après la violation du ransomware Black Basta
Le 4 décembre 2024, BT Group a confirmé que sa division BT Conferencing avait mis hors ligne certains serveurs suite à une violation de sécurité par le groupe de ransomware Black Basta. Bien que BT ait déclaré que l'incident n'avait pas affecté ses opérations ni ses services de conférence, il reste incertain si des systèmes ont été chiffrés ou si des données ont été volées. Un porte-parole a précisé qu'une tentative de compromettre la plateforme BT Conferencing avait été identifiée et que les serveurs concernés avaient été rapidement isolés. Cependant, le groupe de ransomware a affirmé avoir volé 500 Go de données, y compris des informations financières et organisationnelles, ainsi que des documents confidentiels. Ils ont également publié des preuves de leur intrusion, y compris des captures d'écran de documents internes. Black Basta a annoncé un compte à rebours pour la divulgation des données volées sur le dark web. BT Group a déclaré qu'elle poursuivait son enquête et collaborait avec les autorités réglementaires et judiciaires. Black Basta, actif depuis avril 2022, a déjà ciblé de nombreuses organisations de renom à travers le monde, collectant des millions de dollars en rançons.
Sources :
Le nouveau malware bancaire Android DroidBot se propage à travers l'Europe
Un nouveau malware Android, nommé 'DroidBot', cible plus de 77 applications bancaires et d'échanges de cryptomonnaies au Royaume-Uni, en Italie, en France, en Espagne et au Portugal. Découvert par les chercheurs de Cleafy, DroidBot est actif depuis juin 2024 et fonctionne comme une plateforme de malware-as-a-service (MaaS), vendue pour 3 000 $ par mois. Au moins 17 groupes affiliés utilisent des constructeurs de malware pour personnaliser leurs attaques. Bien que DroidBot ne présente pas de fonctionnalités novatrices, il a été identifié dans 776 infections uniques dans plusieurs pays européens, montrant une activité significative. Les développeurs, apparemment turcs, fournissent aux affiliés tous les outils nécessaires, y compris un panneau d'administration central et des serveurs de commande et de contrôle. DroidBot se fait passer pour des applications populaires comme Google Chrome pour tromper les utilisateurs. Ses principales fonctionnalités incluent le keylogging, l'affichage de fausses pages de connexion, l'interception de SMS et le contrôle à distance des appareils infectés. Pour se protéger, les utilisateurs Android sont conseillés de télécharger uniquement des applications depuis Google Play et de vérifier les demandes de permissions.
Sources :
La bibliothèque Web3.js de Solana est détournée pour voler des clés secrètes et privées
Le 4 décembre 2024, la bibliothèque JavaScript Solana Web3.js a été compromise lors d'une attaque de chaîne d'approvisionnement, permettant à des acteurs malveillants de voler des clés privées de cryptomonnaies. Cette bibliothèque, utilisée par les applications décentralisées (dApps) pour interagir avec la blockchain Solana, a vu deux versions malicieuses (1.95.6 et 1.95.7) publiées, contenant un code malveillant destiné à exfiltrer des clés privées. Selon la société de sécurité Socket, ces versions ont été téléchargées plus de 350 000 fois avant d'être retirées. Solana a confirmé que l'attaque a été rendue possible par la compromission d'un compte ayant accès à la publication de la bibliothèque. Les développeurs utilisant ces versions doivent immédiatement mettre à jour vers la version 1.95.8 et changer leurs clés. Un chercheur a identifié une fonction "addToQueue" ajoutée, qui volait les clés privées et les envoyait à un serveur contrôlé par les attaquants. Les clés compromises permettent aux attaquants de vider les portefeuilles de cryptomonnaies. La valeur estimée des fonds volés s'élève à 184 000 dollars. Les utilisateurs affectés doivent transférer leurs actifs vers de nouveaux portefeuilles.
Sources :
Turla, lié à la Russie, exploite les serveurs de pirates informatiques pakistanais pour cibler des entités afghanes et indiennes
Le groupe de menaces persistantes avancées (APT) lié à la Russie, connu sous le nom de Turla, a été associé à une campagne non documentée visant à infiltrer les serveurs de commandement et de contrôle (C2) d'un groupe de hackers pakistanais, Storm-0156, depuis 2022. Cette activité, observée pour la première fois en décembre 2022, illustre la stratégie de Turla consistant à s'immiscer dans les opérations malveillantes d'autres groupes pour atteindre ses propres objectifs. En utilisant l'accès aux serveurs de Storm-0156, Turla a déployé des familles de malwares personnalisés, notamment TwoDash et Statuezy, ciblant des réseaux liés à des entités gouvernementales afghanes. Turla, qui est lié au Service fédéral de sécurité de la Russie (FSB), utilise une panoplie d'outils sophistiqués et a déjà exploité des infrastructures d'autres acteurs de menaces, comme des groupes iraniens et kazakhs. La dernière campagne a permis à Turla de déployer des portes dérobées sur des dispositifs gouvernementaux afghans et de cibler des serveurs en Inde, signalant une escalade significative de ses opérations. Cette approche permet à Turla d'établir des points d'ancrage sur des réseaux d'intérêt avec un effort minimal, bien que les informations obtenues puissent ne pas correspondre à ses priorités de collecte.
Sources :
Des pirates russes détournent les serveurs de pirates pakistanais pour leurs propres attaques
Le groupe russe de cyber-espionnage Turla, également connu sous le nom de "Secret Blizzard", a récemment été impliqué dans une opération de piratage ciblant d'autres hackers, en particulier le groupe pakistanais Storm-0156. En accédant à l'infrastructure de Storm-0156, Turla a pu lancer des attaques discrètes sur des réseaux déjà compromis, notamment ceux d'organisations gouvernementales afghanes et indiennes. Selon un rapport de Lumen's Black Lotus Labs, cette campagne a débuté en décembre 2022 et a été suivie avec l'aide de l'équipe de renseignement de Microsoft. Turla, lié au FSB russe, a une longue histoire d'opérations d'espionnage cybernétique depuis 1996. Lumen a observé que Turla a déployé plusieurs outils malveillants, tels que des variantes de backdoors, sur les réseaux de Storm-0156, exploitant des failles dans la sécurité de ces acteurs étatiques. Microsoft a noté que Turla a utilisé cette approche prudente pour éviter des complications politiques, une stratégie qu'ils ont déjà employée par le passé en utilisant l'infrastructure d'autres groupes de menace. Cette méthode souligne la vulnérabilité des groupes de hackers face à des acteurs étatiques mieux équipés.
