Fraude publicitaire « Konfety » : 250 applications leurres sur Google Play - Actus du 16/07/2024
Découvrez comment 2,2 millions de personnes ont été affectées par une violation de données chez Rite Aid, la connexion de Microsoft entre Scattered Spider et les attaques Qilin, et l'arnaque publicitaire « Konfety » exploitant plus de 250 applications leurres sur Google Play. Protégez-vous dès...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Rite Aid affirme que la violation de données en juin a touché 2,2 millions de personnes
Rite Aid a annoncé qu'une violation de données en juin a affecté 2,2 millions de personnes, avec des informations personnelles telles que nom, adresse et numéro de permis de conduire compromis. Aucun numéro de sécurité sociale, information financière ou de santé n'a été exposé. L'attaque a été revendiquée par le groupe de ransomware RansomHub, qui a menacé de divulguer les données volées si les négociations de rançon échouaient. RansomHub se concentre sur l'extorsion de données et a également revendiqué la responsabilité de la violation des données du fournisseur de télécommunications américain Frontier Communications.
Sources :
Microsoft relie les pirates informatiques de Scattered Spider aux attaques du ransomware Qilin
Microsoft a identifié le groupe de cybercriminels Scattered Spider comme étant responsable des attaques de ransomware Qilin. Ce groupe, également connu sous les noms d'Octo Tempest, UNC3944 et 0ktapus, a ciblé plus de 130 organisations de premier plan, dont Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games et Best Buy. Scattered Spider a récemment rejoint l'opération de ransomware Qilin, qui a émergé en août 2022 sous le nom "Agenda" avant d'être rebaptisée Qilin un mois plus tard. Ce groupe a développé un encrypteur Linux avancé pour cibler les machines virtuelles VMware ESXi, souvent utilisées par les grandes entreprises pour leur faible consommation de ressources. Les opérateurs de Qilin volent des données sensibles avant de chiffrer les réseaux des entreprises et de mener des attaques de double extortion. Les demandes de rançon de Qilin varient de 25 000 $ à plusieurs millions de dollars, en fonction de la taille de la victime. En juin, le directeur général du National Cyber Security Centre (NCSC) du Royaume-Uni a lié Qilin à une attaque de ransomware ayant touché les services de pathologie de Synnovis, entraînant l'annulation de centaines d'opérations et de rendez-vous dans plusieurs grands hôpitaux du NHS à Londres.
Sources :
La fraude publicitaire « Konfety » utilise plus de 250 applications leurres Google Play pour cacher des jumeaux malveillants
Une opération de fraude massive a été révélée, exploitant des centaines d'applications sur le Google Play Store pour mener diverses activités malveillantes. Surnommée Konfety, cette campagne utilise un kit de développement logiciel publicitaire mobile associé à un réseau publicitaire russe nommé CaramelAds. Les applications "jumelles maléfiques" de Konfety sont disséminées via une campagne de publicité malveillante, facilitant la fraude publicitaire, la surveillance des recherches web, l'installation d'extensions de navigateur et le chargement latéral de fichiers APK sur les appareils des utilisateurs. Les applications "jumelles" se font passer pour les applications "leurres" en utilisant les mêmes identifiants d'application et d'éditeur publicitaire, rendant difficile la distinction entre trafic malveillant et légitime. Cette opération a atteint un volume de 10 milliards de requêtes par jour et utilise des techniques sophistiquées pour éviter la détection et perpétuer la fraude à long terme.
Sources :
Microsoft corrige enfin le bug des alertes Outlook causé par les mises à jour de décembre
Microsoft a enfin corrigé un bug dans Outlook qui provoquait des alertes de sécurité incorrectes après l'installation des mises à jour de sécurité de décembre pour Outlook Desktop. Ce problème, confirmé en février, affichait des avertissements inattendus lors de l'ouverture de fichiers de calendrier ICS. Ces alertes étaient causées par les mises à jour de sécurité d'Outlook, qui corrigent une vulnérabilité de divulgation d'informations permettant aux attaquants de voler des hachages NTLM. Les hachages volés peuvent être utilisés pour des attaques pass-the-hash sur les systèmes Windows. Microsoft a initialement corrigé le problème en avril, mais a dû le retirer après des problèmes lors des tests. La correction a finalement été déployée dans la mise à jour publique du 9 juillet pour Outlook Desktop. Les clients ayant appliqué une solution temporaire sont invités à la supprimer avant d'installer les correctifs pour s'assurer que le bug a été résolu. Microsoft a également annoncé la suppression de l'authentification de base pour les comptes de messagerie personnels d'Outlook d'ici le 16 septembre.
Sources :
Prévention et détection des menaces dans les environnements SaaS - 101
Les menaces basées sur l'identité sur les applications SaaS préoccupent de plus en plus les professionnels de la sécurité, mais peu ont les capacités de les détecter et d'y répondre. Les attaquants exploitent les identités non humaines, comme les comptes de service et les autorisations OAuth, pour pénétrer profondément dans les applications SaaS. Un système robuste de détection et de réponse aux menaces basées sur l'identité (ITDR) est essentiel pour prévenir les violations massives. L'authentification multi-facteurs (MFA) et l'authentification unique (SSO) sont cruciales. En appliquant le principe du moindre privilège (POLP) et en mettant en place des contrôles de sécurité, il est possible de renforcer la gouvernance et la gestion des identités. Les équipes de sécurité doivent collaborer pour révoquer les anciens utilisateurs et limiter l'accès aux données sensibles. Chaque couche de sécurité renforce la protection des données sensibles contre les menaces.
Sources :
Le FBI a réussi à pirater le téléphone de l’auteur des tirs contre Donald Trump
Le FBI a réussi à accéder aux données du smartphone de Thomas Matthew Crooks, l'auteur de la tentative d'assassinat contre Donald Trump. Les autorités n'ont pas divulgué les détails sur la méthode de piratage, mais il est probable qu'ils aient utilisé la technologie GrayKey pour contourner la sécurité des iPhone. Cette réussite pourrait fournir des preuves supplémentaires pour l'enquête en cours.
Sources :
Des packages npm malveillants ont été découverts à l'aide de fichiers image pour masquer le code de la porte dérobée
Des chercheurs en cybersécurité ont découvert deux packages malveillants sur le registre de packages npm contenant des backdoors pour exécuter des commandes malveillantes à distance. Les packages img-aws-s3-object-multipart-copy et legacyaws-s3-object-multipart-copy ont été téléchargés respectivement 190 et 48 fois avant d'être retirés par l'équipe de sécurité de npm. Ces packages imitaient une bibliothèque légitime npm mais contenaient un fichier "index.js" modifié pour exécuter un fichier JavaScript ("loadformat.js") caché dans des images. Ce JavaScript traitait des images de logos d'entreprises pour exécuter du contenu malveillant. Le code se connectait à un serveur de commande et contrôle (C2) pour exécuter des commandes malveillantes toutes les cinq secondes et renvoyait les résultats à l'attaquant. Phylum a souligné l'importance de la vigilance des développeurs et des organisations de sécurité face à ces attaques.
Sources :
Des pirates informatiques iraniens déploient une nouvelle porte dérobée BugSleep lors de cyberattaques au Moyen-Orient
L'acteur étatique iranien MuddyWater a été observé en train d'utiliser un backdoor inédit dans le cadre d'une récente campagne d'attaque, abandonnant sa tactique habituelle de déploiement de logiciels légitimes de surveillance et de gestion à distance pour maintenir un accès persistant. Les firmes de cybersécurité Check Point et Sekoia ont identifié ce malware sous les noms de BugSleep et MuddyRot. MuddyWater, affilié au ministère iranien du Renseignement et de la Sécurité, a ciblé des pays comme la Turquie, l'Azerbaïdjan, la Jordanie, l'Arabie saoudite, Israël et le Portugal. Les attaques consistent en des leurres de spear-phishing via des outils RMM comme Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp et Syncro. BugSleep est un implant x64 développé en C permettant le téléchargement/téléversement de fichiers, le lancement d'un shell inversé et l'établissement de la persistance. Les communications avec un serveur de commande et contrôle se font sur le port 443. Cette évolution vers un implant sur mesure pourrait être liée à une surveillance accrue des outils RMM par les fournisseurs de sécurité.
Sources :
Void Banshee APT exploite la faille Microsoft MHTML pour propager Atlantida Stealer
Un groupe de menace persistante avancée (APT) nommé Void Banshee exploite une faille de sécurité récemment divulguée dans le moteur de navigateur Microsoft MHTML en tant que zero-day pour diffuser un voleur d'informations appelé Atlantida. Trend Micro a observé cette activité en mai 2024. La vulnérabilité CVE-2024-38112 a été utilisée dans une attaque en plusieurs étapes utilisant des fichiers de raccourcis Internet spécialement conçus. Cette campagne Atlantida a évolué pour utiliser CVE-2024-38112 dans les chaînes d'infection de Void Banshee. Il s'agit d'une vulnérabilité de spoofing dans le moteur de navigateur MSHTML utilisé dans Internet Explorer. Les attaques impliquent des emails de spear-phishing avec des liens vers des fichiers ZIP contenant des fichiers URL exploitant CVE-2024-38112 pour rediriger la victime vers un site compromis hébergeant une application HTML malveillante. Atlantida est conçu pour extraire des fichiers, captures d'écran, géolocalisation et données sensibles. Void Banshee cible principalement l'Amérique du Nord, l'Europe et l'Asie du Sud-Est. Les acteurs de menace incorporent rapidement des exploits de preuve de concept dans leur arsenal. Une nouvelle campagne utilise des publicités Facebook pour distribuer un autre voleur appelé SYS01stealer visant à pirater des comptes professionnels Facebook.
Sources :
Kaspersky quitte le marché américain suite à l'interdiction du Département du Commerce
Le fournisseur de sécurité russe Kaspersky quitte le marché américain suite à une interdiction du Département du Commerce pour des raisons de sécurité nationale. La société fermera ses opérations aux États-Unis le 20 juillet 2024, licenciant moins de 50 employés. Le Département du Commerce a déclaré avoir mené une enquête approfondie justifiant l'interdiction, craignant que les logiciels de Kaspersky ne servent de passerelle aux capacités cybernétiques offensives du Kremlin. Les clients américains sont invités à trouver des alternatives d'ici le 29 septembre, date à laquelle Kaspersky cessera de fournir des mises à jour de logiciels et d'antivirus. Kaspersky nie les allégations, affirmant ne pas menacer la sécurité nationale américaine et basant sa décision sur le climat géopolitique actuel.
Sources :
CISA met en garde contre une faille RCE activement exploitée dans le logiciel GeoServer GeoTools
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une faille de sécurité critique affectant OSGeo GeoServer GeoTools à son catalogue de vulnérabilités exploitées connues (KEV) en raison d'une exploitation active. La vulnérabilité CVE-2024-36401 concerne une exécution de code à distance pouvant être déclenchée par une entrée spécialement conçue. Elle a été corrigée dans les versions 2.23.6, 2.24.4 et 2.25.2. Une autre faille critique (CVE-2024-36404) a également été corrigée. Les agences fédérales doivent appliquer les correctifs fournis par le fournisseur d'ici le 5 août 2024 en raison de l'abus actif de CVE-2024-36401. Une autre vulnérabilité d'exécution de code à distance dans l'outil de conversion de documents Ghostscript (CVE-2024-29510) a également été exploitée.
Sources :
Kaspersky ferme ses activités aux États-Unis
La société russe de cybersécurité et de logiciels antivirus Kaspersky Lab va cesser ses activités aux États-Unis à partir du 20 juillet, affectant moins de 50 employés. Cette décision fait suite à des sanctions du Département du Trésor américain à l'encontre de douze dirigeants de Kaspersky Lab pour des activités dans le secteur technologique russe. Le Bureau de l'Industrie et de la Sécurité a déclaré que les opérations de Kaspersky aux États-Unis présentaient un risque pour la sécurité nationale en raison des capacités offensives de la Russie en matière de cyber et de son influence sur Kaspersky. La société a décidé de se retirer du marché américain en raison de l'interdiction de vente de ses produits imposée par le Département du Commerce. Malgré ces controverses, Kaspersky a contribué à la sécurité informatique mondiale.
Sources :
Nouvel implant de malware BugSleep déployé dans les attaques MuddyWater
Un nouveau malware nommé BugSleep a été découvert dans les attaques du groupe de piratage MuddyWater soutenu par l'Iran. Ce backdoor personnalisé est distribué via des emails de phishing bien conçus, se faisant passer pour des invitations à des webinaires ou des cours en ligne. Le malware est également injecté dans des processus actifs d'applications telles que Microsoft Edge, Google Chrome et PowerShell. MuddyWater a abandonné l'utilisation exclusive d'outils de gestion à distance légitimes pour se concentrer sur BugSleep, ciblant diverses organisations dans le monde entier. Ce groupe, lié au MOIS iranien, est actif depuis 2017 et s'est étendu à des campagnes de cyber-espionnage contre des entités gouvernementales et de défense en Asie centrale et du Sud-Ouest, ainsi que des organisations en Amérique du Nord, en Europe et en Asie.
Sources :
La fuite de jetons GitHub expose les référentiels principaux de Python à des attaques potentielles
Des chercheurs en cybersécurité ont découvert un jeton GitHub accidentellement divulgué qui aurait pu accorder un accès élevé aux dépôts GitHub du langage Python, à l'Index des packages Python (PyPI) et à la Python Software Foundation (PSF). JFrog a trouvé le jeton d'accès personnel GitHub dans un conteneur Docker public sur Docker Hub. Ce cas exceptionnel aurait pu permettre l'injection de code malveillant dans les packages PyPI et même dans le langage Python lui-même. Après une divulgation responsable, le jeton a été révoqué. Parallèlement, Checkmarx a découvert des packages malveillants sur PyPI conçus pour exfiltrer des informations sensibles vers un bot Telegram. Ce bot est lié à des opérations cybercriminelles en Irak et propose des services de manipulation des réseaux sociaux.
Sources :
DevEx : un rapport d’Atlassian révèle des malentendus entre les équipes de développeurs et la direction
Les développeurs et les managers reconnaissent la nécessité d'améliorer l'expérience des développeurs pour augmenter la productivité et retenir les talents. Cependant, des lacunes de communication persistent, avec 62 % des développeurs ne constatant pas d'augmentation de productivité grâce à l'IA. Atlassian souligne l'importance de comprendre les besoins des développeurs pour mettre en place des solutions efficaces, notamment en favorisant la transparence et le feedback rapide. L'IA peut jouer un rôle clé en réduisant l'effort technique et en améliorant l'expérience des développeurs. Une approche axée sur le bonheur des développeurs est préconisée pour favoriser naturellement l'amélioration de la productivité.
Sources :
Microsoft partage un correctif temporaire pour Windows 11 Photos qui ne se lance pas
Microsoft a partagé une solution temporaire pour résoudre le problème de lancement de l'application Photos sur Windows 11. Ce bug affecte les systèmes exécutant les versions 22H2 et 23H2 de Windows 11 avec certaines politiques activées. Les utilisateurs domestiques sont moins susceptibles d'être touchés. Pour résoudre le problème, les administrateurs Windows doivent installer le dernier Windows App SDK. Microsoft travaille sur une solution automatisée qui sera déployée dans les semaines à venir. D'autres problèmes récemment résolus concernent les scripts d'automatisation de Windows Update, les boucles de redémarrage et les problèmes de barre des tâches sur Windows 11. Des mises à jour de juin pour Windows Server 2022 ont également été identifiées comme causant des problèmes avec le service de reporting de données réseau de Microsoft 365 Defender. Les administrateurs peuvent vérifier l'impact sur leurs systèmes en consultant la page de santé du service dans le centre d'administration Microsoft 365.
