Europol Démantèle un Réseau de 593 Serveurs Cobalt Strike Utilisés par des Cybercriminels - Actus du 03/07/2024
Découvrez comment les pirates exploitent les failles de sécurité : API Authy MFA compromise, violation de données en Formule 1 et malwares Infostealer ciblant des sites sensibles. Restez informé et protégez vos informations!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les pirates ont abusé de l'API pour vérifier des millions de numéros de téléphone Authy MFA
Des hackers ont exploité une API non sécurisée pour vérifier des millions de numéros de téléphone Authy MFA, exposant les utilisateurs à des attaques de phishing SMS et de SIM swapping. Twilio a confirmé que les pirates ont compilé une liste de numéros en utilisant un endpoint API non authentifié, mais aucune preuve d'accès aux systèmes sensibles n'a été trouvée. Les utilisateurs d'Authy sont invités à mettre à jour leurs applications et à rester vigilants contre les attaques de phishing. Twilio a publié une mise à jour de sécurité et recommande aux utilisateurs de passer à Authy Android (v25.1.0) et iOS App (v26.1.0).
Sources :
L'instance dirigeante de la Formule 1 révèle une violation de données après un piratage de courrier électronique
La Fédération Internationale de l'Automobile (FIA), organisme régissant la Formule 1, a révélé une violation de données après des piratages d'emails. Des attaquants ont accédé à des données personnelles en compromettant plusieurs comptes email de la FIA via une attaque de phishing. La FIA, fondée en 1904, coordonne de nombreux championnats automobiles, dont la Formule 1 et le Championnat du Monde des Rallyes. Suite à ces incidents, la FIA a pris des mesures pour renforcer la sécurité et a informé les régulateurs suisse et français. L'organisation n'a pas encore précisé la date de détection de la violation, le nombre de personnes affectées ou les données sensibles exposées.
Sources :
Journaux de logiciels malveillants Infostealer utilisés pour identifier les membres du site Web sur la maltraitance des enfants
Des milliers de pédophiles ont été identifiés grâce à des journaux de logiciels malveillants volés, révélant une nouvelle utilisation des informations volées dans les enquêtes policières. L'Insikt Group de Recorded Future a identifié 3 324 comptes uniques ayant accédé à des portails illégaux distribuant du matériel d'abus sexuel sur mineurs. Ces données ont été partagées avec les forces de l'ordre pour procéder à des arrestations. Les journaux de voleurs d'informations sont des archives de données volées par des logiciels malveillants, collectant des informations sensibles telles que des identifiants, l'historique du navigateur, des cookies, des données de portefeuille de cryptomonnaie, des captures d'écran, etc. Ces journaux sont rarement analysés individuellement mais vendus en masse sur le dark web. L'analyse de Recorded Future met en lumière l'importance des données volées pour aider à traquer les abus sur mineurs et à poursuivre les individus impliqués.
Sources :
Sur Telegram, les activités cybercriminelles augmentent de 53% en 2024
L'équipe Digital Footprint Intelligence de Kaspersky a constaté une augmentation inquiétante de l'utilisation de Telegram par les cybercriminels pour leurs activités frauduleuses. Les publications liées à la cybercriminalité ont augmenté de 53% en mai et juin 2024 par rapport à l'année précédente. Telegram attire les criminels en raison de sa popularité, de sa réputation de sécurité et de la facilité de création de communautés. Contrairement au Dark Web, Telegram ne dispose pas de système de réputation, ce qui facilite l'entrée des individus malveillants. Les hacktivistes utilisent également Telegram pour mener des attaques DDoS et publier des données volées. Kaspersky a publié un guide pour aider les entreprises à gérer les risques de cybersécurité liés à ces activités.
Sources :
Europol démantèle 593 serveurs Cobalt Strike utilisés par des cybercriminels
Europol a coordonné l'opération Morpheus, qui a permis de neutraliser près de 600 serveurs Cobalt Strike utilisés par des cybercriminels pour infiltrer des réseaux de victimes. Cette action conjointe des forces de l'ordre a identifié des adresses IP et des noms de domaine associés à des activités criminelles, permettant aux fournisseurs de services en ligne de désactiver les versions non autorisées de l'outil. L'opération a impliqué des autorités de plusieurs pays et des partenaires de l'industrie privée, marquant la fin d'une enquête complexe débutée en 2021. Cobalt Strike, initialement un outil légitime de test de pénétration, est devenu un outil majeur dans les attaques de ransomware et de cyberespionnage. Microsoft et d'autres acteurs ont également pris des mesures pour lutter contre l'utilisation illégale de cet outil par des groupes de piratage et des acteurs soutenus par des gouvernements étrangers.
Sources :
Fraude bancaire : il ne suffit pas d’affirmer une négligence pour la prouver
La Cour de cassation a confirmé la décision du tribunal de Béthune obligeant une banque à rembourser des clients victimes de phishing, car elle n'a pas prouvé la négligence du client. Cette affaire souligne l'importance pour les banques de fournir des preuves solides en cas de litige et renforce la protection des consommateurs contre les fraudes en ligne. Il est conseillé aux victimes de cesser de fournir leurs informations bancaires dès qu'elles reçoivent des demandes suspectes.
Sources :
Les concessionnaires automobiles américains se remettent d'une cyberattaque massive : 3 choses à savoir
Un cyberattaque massive a perturbé les concessionnaires automobiles américains, menée par le groupe de rançongiciels BlackSuit contre CDK Global. Malgré le rétablissement partiel des services, les impacts persistent. CDK Global fournit des logiciels essentiels à plus de 15 000 concessionnaires, affectant les opérations de vente, de financement et de service. Les clients des concessionnaires peuvent s'attendre à des retards dans l'achat de véhicules, des démarches administratives prolongées et des délais de service allongés. Les pertes financières pourraient atteindre entre 4 et 16 milliards de dollars. La rançon exigée par BlackSuit n'a pas été confirmée, mais des rapports suggèrent que CDK l'aurait payée.
Sources :
Le rôle émergent de l’IA dans l’intelligence open source
Les organisations du secteur public et privé reconnaissent la valeur de l'OSINT mais sont confrontées à une croissance exponentielle des données numériques qui dépassent les méthodes traditionnelles. L'IA et le ML transforment l'avenir de la collecte et de l'analyse d'informations. L'OSINT consiste à collecter et analyser des informations provenant de sources publiques, sans méthodes clandestines. Les outils d'OSINT alimentés par l'IA peuvent surveiller et analyser les flux d'informations en temps réel, traiter divers types de données et automatiser les tâches routinières. Les technologies clés incluent le traitement du langage naturel, la vision par ordinateur, l'apprentissage automatique et l'exploration de données. Ces avancées offrent une productivité accrue et de nouvelles possibilités, mais nécessitent une réflexion sur les implications potentielles de l'IA.
Sources :
Proton lance une alternative Google Docs gratuite et axée sur la confidentialité
Proton a lancé 'Docs in Proton Drive', un outil de collaboration et d'édition de documents en ligne gratuit, open source et chiffré de bout en bout. Cette initiative s'inscrit dans la volonté de l'entreprise suisse de prioriser la confidentialité, comme le font déjà ses autres services tels que Proton VPN et Proton Mail. Proton Docs se distingue par son chiffrement de bout en bout en temps réel, son absence de collecte de données utilisateur, son stockage gratuit jusqu'à 5 Go, son code source ouvert et audité, ainsi que ses fonctionnalités avancées d'édition de texte. Intégré à l'écosystème Proton, Docs garantit une sécurité optimale pour la collaboration en ligne, nécessitant un compte Proton pour y participer. Selon Anant Vijay Singh, responsable produit de Proton Drive, Docs vise à offrir une solution fiable et sécurisée face aux préoccupations croissantes liées à la confidentialité des données dans le cloud.
Sources :
Une faille Microsoft MSHTML exploitée pour fournir l'outil de logiciel espion MerkSpy
Des acteurs de menace inconnus exploitent une faille de sécurité désormais corrigée dans Microsoft MSHTML pour diffuser un outil de surveillance appelé MerkSpy, ciblant principalement les utilisateurs au Canada, en Inde, en Pologne et aux États-Unis. Le spyware capture des informations sensibles, surveille les activités des utilisateurs et s'établit de manière persistante sur les systèmes compromis. Le processus d'attaque commence par un document Word contenant une fausse description de poste d'ingénieur logiciel, déclenchant l'exploitation de la faille CVE-2021-40444. Cela permet le téléchargement d'un fichier HTML malveillant qui exécute un shellcode, facilitant le téléchargement et l'exécution de MerkSpy. Ce logiciel malveillant capture des captures d'écran, des frappes clavier, des identifiants de connexion stockés dans Google Chrome, et les envoie à un serveur contrôlé par les attaquants. En parallèle, une campagne de smishing cible les utilisateurs américains avec de faux messages d'Apple pour les inciter à cliquer sur des pages de phishing.
Sources :
Cyberattaque chez TeamViewer : Une brèche de sécurité révélée
TeamViewer a été victime d'une cyberattaque révélant des vulnérabilités potentielles. L'entreprise a pris des mesures pour sécuriser ses systèmes internes, distincts de ceux de ses clients. Les agresseurs, potentiellement liés au groupe de hackers APT29, sont encore inconnus. TeamViewer assure que les données des clients ne sont pas affectées. Des précédents montrent que les pirates exploitent des comptes d'employés compromis pour mener leurs attaques. Les experts en sécurité surveillent de près la situation.
Sources :
Le logiciel malveillant FakeBat Loader se propage largement via des attaques de téléchargement drive-by
Le FakeBat, un loader-as-a-service (LaaS), est devenu l'une des familles de logiciels malveillants les plus répandues distribuées via la technique de téléchargement drive-by cette année, selon les découvertes de Sekoia. Il vise principalement à télécharger et exécuter des charges utiles de la prochaine étape telles que IcedID, Lumma, RedLine, SmokeLoader, SectopRAT et Ursnif. Offert sous forme d'abonnement LaaS sur des forums souterrains par un acteur de la menace russophone nommé Eugenfest (alias Payk_34), le FakeBat est conçu pour contourner les mécanismes de sécurité et offre des options pour générer des constructions utilisant des modèles afin de trojaniser des logiciels légitimes. Il est disponible à partir de 1 000 $ par semaine et 2 500 $ par mois pour le format MSI, 1 500 $ par semaine et 4 000 $ par mois pour le format MSIX, et 1 800 $ par semaine et 5 000 $ par mois pour le package combiné MSI et signature. Sekoia a détecté différentes activités de diffusion du FakeBat par trois approches principales : l'usurpation de logiciels populaires via des publicités Google malveillantes, de fausses mises à jour de navigateur Web via des sites compromis, et des stratagèmes d'ingénierie sociale sur les réseaux sociaux.
Sources :
La Russie perturbe les satellites européens et doit « cesser immédiatement », exige l’ONU
L'Union internationale des télécoms accuse la Russie de perturber délibérément les signaux GPS et télévisuels en Europe, notamment en Ukraine, en Suède, en France, aux Pays-Bas et au Luxembourg. Selon l'ITU, la Russie serait à l'origine de ces interférences, provenant de stations terrestres à Moscou, Kaliningrad et Pavlovka. Des satellites français ont été affectés, diffusant des vidéos de guerre à la place de programmes Disney. L'ONU demande à la Russie de cesser ces actions et de coopérer à l'enquête. La Russie nie toute implication.
Sources :
Entités israéliennes ciblées par une cyberattaque utilisant les frameworks Donut et Sliver
Des chercheurs en cybersécurité ont découvert une campagne d'attaque ciblant diverses entités israéliennes avec des frameworks publics comme Donut et Sliver. Surnommée Supposed Grasshopper, la campagne utilise des sites WordPress personnalisés pour propager des malwares. Les attaquants déploient un premier downloader en Nim pour récupérer un second malware, Donut, qui permet de déployer Sliver, une alternative à Cobalt Strike. Les opérateurs investissent dans une infrastructure dédiée et des sites WordPress réalistes pour livrer les charges utiles. L'objectif final de la campagne reste inconnu, mais pourrait être lié à des opérations de test de pénétration légitimes. Parallèlement, l'équipe de recherche sur les menaces de SonicWall Capture Labs a détaillé une chaîne d'infection utilisant des feuilles de calcul Excel piégées pour diffuser un cheval de Troie nommé Orcinius.
Sources :
Le serveur d'un fournisseur ERP sud-coréen piraté pour propager le logiciel malveillant Xctdoor
Un serveur de mise à jour de produit d'un fournisseur sud-coréen de progiciels de gestion intégrée (ERP) a été compromis pour diffuser une porte dérobée Go appelée Xctdoor. L'incident a été identifié en mai 2024 par le Centre de renseignement en sécurité AhnLab (ASEC), qui n'a pas attribué l'attaque à un acteur ou groupe connu, mais a noté des similitudes avec le groupe Lazarus. Le malware Xctdoor vole des informations système et exécute des commandes pour le compte de l'attaquant. Une autre menace liée à la Corée du Nord, Kimusky, utilise un backdoor nommé HappyDoor depuis juillet 2021. Les attaques utilisent des e-mails d'hameçonnage pour propager des fichiers compressés contenant des malwares. Ces attaques visent la Corée du Sud et sont attribuées au groupe d'espionnage cybernétique Konni.
