Gamaredon déploie des logiciels espions Android dans les anciens États soviétiques - Actus du 12/12/2024
Découvrez comment plus de 300 000 instances Prometheus exposées, les logiciels espions Android de Gamaredon et un exploit de lien symbolique menacent la sécurité des données dans iOS et macOS. Plongez dans ces cyber-menaces cruciales !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Plus de 300 000 instances Prometheus exposées : fuite d'informations d'identification et de clés API en ligne
Des chercheurs en cybersécurité alertent sur les vulnérabilités de milliers de serveurs utilisant l'outil de surveillance Prometheus, exposant ainsi des informations sensibles et risquant des attaques par déni de service (DoS) et d'exécution de code à distance (RCE). Selon un rapport d'Aqua Security, de nombreux serveurs Prometheus manquent d'authentification adéquate, permettant aux attaquants de collecter facilement des données sensibles comme des identifiants et des clés API. Environ 296 000 instances de Prometheus Node Exporter et 40 300 serveurs Prometheus sont accessibles publiquement, augmentant le risque d'attaques. Les points de terminaison "/debug/pprof" peuvent également être exploités pour provoquer des attaques DoS, rendant les serveurs inopérables. De plus, le point "/metrics" peut révéler des informations internes précieuses pour les attaquants. Aqua a également identifié une menace de chaîne d'approvisionnement liée à des techniques de "repojacking", permettant à des attaquants de recréer des exportateurs malveillants. Les chercheurs recommandent aux organisations de sécuriser leurs serveurs Prometheus avec des méthodes d'authentification appropriées, de limiter leur exposition publique et de surveiller les activités anormales sur les points de terminaison critiques.
Sources :
Gamaredon déploie les logiciels espions Android « BoneSpy » et « PlainGnome » dans les anciens États soviétiques
Le groupe de hackers lié à la Russie, connu sous le nom de Gamaredon, a été associé à deux nouveaux outils de spyware pour Android, BoneSpy et PlainGnome, marquant l'utilisation pour la première fois de familles de malwares exclusivement mobiles dans ses campagnes d'attaque. Selon Lookout, ces outils ciblent principalement les États post-soviétiques et les victimes russophones, collectant des données telles que les messages SMS, les journaux d'appels, les enregistrements audio, les photos, la localisation et les listes de contacts. Gamaredon, également désigné par plusieurs autres noms, est affilié au Service fédéral de sécurité de la Russie (FSB). BoneSpy est opérationnel depuis au moins 2021, tandis que PlainGnome a émergé plus récemment. Les cibles potentielles incluent l'Ouzbékistan, le Kazakhstan, le Tadjikistan et le Kirghizistan, en raison des relations tendues avec la Russie depuis l'invasion de l'Ukraine. Les deux malwares, bien que partageant des fonctionnalités similaires, diffèrent dans leur fonctionnement : BoneSpy est une application autonome, tandis que PlainGnome agit comme un dropper pour un payload de surveillance. Leur distribution reste floue, mais pourrait impliquer des techniques d'ingénierie sociale.
Sources :
Des chercheurs découvrent un exploit de lien symbolique permettant de contourner le TCC dans iOS et macOS
Une vulnérabilité de sécurité récemment corrigée dans iOS et macOS, identifiée comme CVE-2024-44131, permettait de contourner le cadre de Transparence, Consentement et Contrôle (TCC), exposant ainsi des informations sensibles. Découverte par Jamf Threat Labs, cette faille se situe dans le composant FileProvider et a été résolue grâce à une meilleure validation des liens symboliques dans les mises à jour iOS 18, iPadOS 18 et macOS Sequoia 15. Le contournement du TCC permettait à une application malveillante installée sur le système d'accéder à des données sensibles sans que l'utilisateur en soit informé, compromettant ainsi la confiance des utilisateurs dans la sécurité de leurs appareils. En exploitant les privilèges élevés du processus fileproviderd, un attaquant pouvait intercepter des actions de l'utilisateur dans l'application Fichiers, redirigeant des fichiers vers un emplacement sous son contrôle. Bien que la gravité de cette vulnérabilité dépende des privilèges du processus ciblé, elle révèle une lacune dans l'application des contrôles d'accès pour certains types de données. Apple a également corrigé d'autres failles, notamment dans WebKit et Safari, renforçant ainsi la sécurité de ses systèmes.
Sources :
Guide de planification budgétaire SaaS pour les professionnels de l'informatique
L'article met en lumière l'inefficacité des dépenses en SaaS, avec une étude de Flexera indiquant que 33 % de ces dépenses sont gaspillées. Il souligne l'importance de choisir des solutions qui optimisent le budget informatique tout en répondant aux problèmes commerciaux. Par exemple, réduire les coûts de licences d'un outil de wireframing peut sembler avantageux, mais cela peut retarder le développement de produits, ce qui est une mauvaise décision commerciale. Les employés, bien intentionnés, peuvent ajouter des dépenses SaaS invisibles pour l'IT, rendant difficile la gestion d'un inventaire manuel des 371 applications SaaS utilisées en moyenne par les entreprises. Cela peut entraîner des données obsolètes et du gaspillage. L'article recommande d'utiliser des logiciels de gestion d'inventaire SaaS pour améliorer la qualité des données et réduire les efforts manuels. Il suggère également de surveiller l'utilisation, les factures et le contexte commercial pour ajuster le budget et minimiser le gaspillage. Des pratiques telles que la surveillance de l'utilisation, l'élimination des services en double et une bonne gestion des départs peuvent aider à éviter des erreurs budgétaires courantes. En fin de compte, une gestion efficace des SaaS peut générer des économies significatives sans nuire aux utilisateurs légitimes.
Sources :
En 2024, Kaspersky a détecté 467 000 fichiers malveillants par jour
En 2024, Kaspersky a détecté en moyenne 467 000 fichiers malveillants par jour, marquant une hausse de 14 % par rapport à 2023. Les chevaux de Troie, en particulier, ont connu une augmentation de 33 %, consolidant leur position en tant que menace prédominante. Selon le Kaspersky Security Bulletin, Windows demeure la cible principale des cyberattaques, représentant 93 % des fichiers malveillants détectés. Les malwares diffusés via des scripts et des documents MS Office constituent également une part significative des menaces. Les systèmes de détection de Kaspersky ont observé une hausse de 19 % des malwares liés à Windows entre 2023 et 2024, avec une utilisation accrue des chevaux de Troie pour infiltrer discrètement les appareils des victimes. Les cybercriminels continuent d'innover, notamment par des attaques d'ingénierie sociale et des campagnes de phishing ciblant les utilisateurs de réseaux sociaux. L'intégration d'outils d'intelligence artificielle par les attaquants renforce l'efficacité de ces attaques. Face à cette montée des menaces, Kaspersky souligne l'importance de solutions de sécurité fiables pour protéger les utilisateurs et les organisations. Les données proviennent de la télémétrie de Kaspersky entre janvier et octobre 2024.
Sources :
Décryptage du rapport de l’ANSSI sur la cybersécurité dans la Santé
L'article de Geoffroy de Lavenne, Directeur Général d’ITS Integra, souligne l'importance cruciale de la cybersécurité pour les DSI, RSSI et dirigeants d'entreprises, face à une surface d'attaque en constante expansion due à la numérisation. Les rançongiciels, l'espionnage économique et les attaques de déstabilisation, qu'elles soient étatiques ou militantes, représentent des menaces majeures. L'ANSSI propose 19 recommandations pour atténuer ces risques, mais leur application varie selon les capacités des acteurs concernés. Certains, notamment dans le secteur de l'Hébergement de Données de Santé, se sentent perdus face à ces défis. Dans ce contexte, le rôle des MSSP (Managed Security Service Providers) devient essentiel. Ces partenaires spécialisés et certifiés HDS offrent des solutions technologiques adaptées, permettant aux entreprises de se conformer aux exigences de sécurité tout en bénéficiant d'une expertise en gestion de crise. Recourir à un MSSP représente un investissement judicieux, réduisant la nécessité de compétences internes rares et coûteuses. L'article conclut en encourageant les entreprises à ne pas affronter seules les menaces de cyberattaques, mais à s'entourer de professionnels pour garantir une protection optimale.
Sources :
Une faille du plugin WordPress Hunk Companion exploitée pour installer silencieusement des plugins vulnérables
Des acteurs malveillants exploitent une vulnérabilité critique dans le plugin Hunk Companion pour WordPress, identifiée comme CVE-2024-11972 (score CVSS : 9.8), affectant toutes les versions antérieures à 1.9.0. Avec plus de 10 000 installations actives, cette faille permet aux attaquants d'installer des plugins vulnérables, ouvrant la voie à des attaques telles que l'exécution de code à distance (RCE), l'injection SQL et le cross-site scripting (XSS). WPScan a découvert cette vulnérabilité lors de l'analyse d'une infection sur un site WordPress, où des acteurs malveillants utilisaient un plugin désormais retiré, WP Query Console, pour exploiter une faille RCE non corrigée (CVE-2024-50498, score CVSS : 10.0). De plus, CVE-2024-11972 contourne une autre vulnérabilité (CVE-2024-9707) dans Hunk Companion, permettant l'installation de plugins non autorisés. Cette situation souligne l'importance de sécuriser tous les composants d'un site WordPress, notamment les thèmes et plugins tiers. Parallèlement, une autre vulnérabilité a été révélée dans le plugin WPForms (CVE-2024-11205, score CVSS : 8.5), affectant plus de 6 millions de sites, permettant à des attaquants authentifiés d'annuler des paiements Stripe.
Sources :
La sécurité IoT et la cryptographie post-quantique au cœur des préoccupations
À l'approche de 2025, les experts de Keyfactor identifient deux tendances majeures en cybersécurité : la cryptographie post-quantique (PQC) et la sécurité des objets connectés (IoT). La transition vers la PQC devient incontournable, avec l'émergence de nouveaux algorithmes validés par le NIST. Les entreprises doivent évaluer leur préparation à cette migration, car la date limite de 2035 pour abandonner les algorithmes traditionnels comme RSA et ECDSA approche rapidement. Les secteurs réglementés, tels que la finance et les services publics, doivent prioriser cette transition pour protéger leurs infrastructures critiques. Parallèlement, la sécurité de l'IoT nécessitera des mesures proactives face à des menaces croissantes. Les entreprises doivent renforcer la sécurité de leur chaîne d'approvisionnement IoT pour éviter des attaques sophistiquées, comme celles menées par des groupes tels que FlaxTyphoon. La loi sur la cyber-résilience impose des exigences strictes, incitant les fabricants à intégrer la sécurité dès la conception des appareils. En adoptant des stratégies solides et des améliorations continues, les entreprises pourront non seulement se défendre contre les menaces actuelles, mais aussi s'adapter à un paysage de sécurité en constante évolution, préservant ainsi la confiance des utilisateurs.
Sources :
Il n’y a jamais eu autant de cyberattaques qu’en 2024 : mais que font les entreprises ? [Sponso]
En 2024, les cyberattaques atteignent des niveaux sans précédent, avec une augmentation de 20 % selon Microsoft et 40 % d'atteintes numériques en cinq ans selon l'ANSSI. Les fuites de données, devenues quotidiennes, touchent des entreprises majeures comme France Travail et SFR, avec des informations sensibles, y compris des IBAN, exposées sur le dark web. L'humain reste la principale vulnérabilité exploitée par les attaquants, qui utilisent des techniques variées allant du phishing à des arnaques plus sophistiquées. Face à cette menace croissante, les entreprises sont poussées à renforcer leur cybersécurité. La directive NIS 2, qui sera bientôt adoptée en France, obligera les entreprises à réaliser des audits de risques et à établir des plans de continuité d'activité. Pour répondre à ces défis, Mailinblack propose une solution complète, U-Cyber 360°, destinée à divers types d'entreprises, allant des cabinets d'huissiers aux institutions bancaires. Ce contexte souligne l'importance de la sensibilisation et de la formation pour protéger les organisations contre les cybermenaces. La cybersécurité devient ainsi un enjeu crucial pour la pérennité des entreprises dans un environnement numérique de plus en plus hostile.
Sources :
La police neutralise des sites de hackers utilisés pour ruiner Noël dans les entreprises
Le 11 décembre 2024, Europol a annoncé un succès majeur dans la lutte contre le cybercrime, avec le démantèlement de 27 plateformes utilisées pour des attaques par déni de service distribué (DDoS) dans 15 pays, dont la France. Cette opération a permis d'identifier 300 utilisateurs et d'arrêter trois administrateurs en France et en Allemagne. Les forces de l'ordre ont planifié ces actions avant Noël, période où les cybercriminels intensifient leurs attaques, ciblant souvent des entreprises en période de forte activité. Les attaques DDoS, qui consistent à submerger un serveur de requêtes, peuvent causer des dommages financiers importants et nuire à la réputation des victimes. Ce type d'attaque, souvent qualifié de « piratage du pauvre », est devenu plus courant, notamment depuis la guerre entre la Russie et l'Ukraine, où des hacktivistes ont mené des offensives ciblées. Europol a également récemment démantelé une messagerie chiffrée utilisée par des criminels et un réseau IPTV illégal suivi par 22 millions de spectateurs. Ces actions illustrent l'engagement continu d'Europol dans la lutte contre le cybercrime à l'échelle européenne.
Sources :
Europol démantèle 27 plateformes d'attaques DDoS dans 15 pays ; les administrateurs sont arrêtés
Une opération mondiale de lutte contre la cybercriminalité, nommée PowerOFF, a permis de fermer 27 services de stresser utilisés pour mener des attaques par déni de service distribué (DDoS). Coordonnée par Europol et impliquant 15 pays, cette initiative a ciblé plusieurs sites web, tels que zdstresser.net et orbitalstress.net, qui utilisaient des malwares botnet pour lancer des attaques pour le compte de clients payants. Trois administrateurs de ces plateformes ont été arrêtés en France et en Allemagne, et plus de 300 utilisateurs ont été identifiés pour des activités opérationnelles. Europol a souligné que ces services permettaient aux cybercriminels de saturer des cibles avec un trafic illégal, rendant les sites web inaccessibles. Les motivations derrière ces attaques varient, allant du sabotage économique à des raisons idéologiques, comme le montrent des collectifs de hacktivistes tels que KillNet. Parallèlement, des poursuites ont été engagées aux Pays-Bas contre quatre suspects impliqués dans des centaines d'attaques DDoS. Cette opération survient après l'annonce d'une perturbation d'un service criminel en Allemagne et dans un contexte d'augmentation des attaques DDoS, notamment pendant la période des soldes de fin d'année.
Sources :
Le plugin WordPress Hunk Companion exploité pour installer des plugins vulnérables
Des hackers exploitent une vulnérabilité critique dans le plugin "Hunk Companion" pour installer et activer d'autres plugins vulnérables directement depuis le dépôt WordPress.org. Cette faille permet l'installation de plugins obsolètes avec des vulnérabilités connues, ouvrant la voie à des attaques telles que l'exécution de code à distance (RCE), l'injection SQL et le cross-site scripting (XSS). Découverte par WPScan, cette vulnérabilité, suivie sous le code CVE-2024-11972, permet l'installation arbitraire de plugins via des requêtes POST non authentifiées. Hunk Companion, utilisé par plus de 10 000 sites WordPress, a publié une mise à jour de sécurité (version 1.9.0) pour corriger cette faille. Cependant, des attaques actives ont été observées, notamment l'installation d'une version vulnérable de WP Query Console, exploitée pour exécuter du code PHP malveillant. Malgré une précédente correction dans la version 1.8.5, des moyens de contournement existent. Les utilisateurs de Hunk Companion sont donc fortement conseillés de mettre à jour vers la version 1.9.0, car environ 8 000 sites restent vulnérables à cette exploitation.
Sources :
Cynet offre une protection à 100 % et une visibilité de détection à 100 % dans l'évaluation MITRE ATT&CK 2024
Cynet a réalisé une performance remarquable lors de l'évaluation MITRE ATT&CK 2024, atteignant 100 % de détection et de protection, un exploit qui souligne l'efficacité de sa plateforme de cybersécurité tout-en-un. Dans un contexte où les PME et les fournisseurs de services gérés (MSP) cherchent à sécuriser leurs environnements informatiques, cette évaluation constitue une ressource essentielle pour évaluer les solutions disponibles. Eyal Gruner, fondateur et PDG de Cynet, a déclaré que ces résultats reflètent l'engagement de l'équipe envers la sécurité de ses partenaires et clients. L'évaluation MITRE, reconnue pour son impartialité, teste les solutions de sécurité dans un environnement contrôlé, simulant des attaques pour mesurer leur efficacité. Cynet s'est distingué en ne manquant aucune étape d'attaque, détectant 100 % des menaces sur divers systèmes d'exploitation, y compris Windows, MacOS et Linux. De plus, Cynet a bloqué toutes les tentatives d'attaque, devenant ainsi le seul fournisseur à atteindre 100 % de prévention. Ces résultats renforcent la position de Cynet comme une solution de choix pour les PME et les MSP, prouvant qu'une protection efficace peut être intuitive et abordable.
Sources :
Un nouveau logiciel espion EagleMsgSpy pour Android utilisé par la police chinoise, selon des chercheurs
Un nouveau logiciel espion Android, nommé 'EagleMsgSpy', a été découvert et serait utilisé par les forces de l'ordre en Chine pour surveiller les appareils mobiles. Selon un rapport de Lookout, ce logiciel a été développé par Wuhan Chinasoft Token Information Technology Co., Ltd. et est opérationnel depuis au moins 2017. Lookout a rassemblé des preuves solides reliant EagleMsgSpy à ses développeurs, notamment des adresses IP associées à des serveurs de commande et de contrôle (C2) et des références dans des documents internes. Les chercheurs ont également trouvé des indices d'une variante iOS, mais n'ont pas encore pu l'analyser. EagleMsgSpy est installé manuellement par les forces de l'ordre lors de la confiscation d'appareils, ce qui est courant dans les régimes répressifs. Le logiciel espion cible divers types de données, y compris les messages des applications de chat, les enregistrements d'écran, les journaux d'appels et la localisation GPS. Les données sont temporairement stockées dans un répertoire caché, puis exfiltrées vers les serveurs C2. Lookout affirme que les serveurs C2 sont liés à des bureaux de sécurité publique, renforçant l'idée que ce logiciel est utilisé par des agences gouvernementales.
Sources :
Prédictions 2025 de Fred Simon, Cofondateur et Chief Architect de JFrog
L'article de Fred Simon aborde deux prédictions majeures concernant l'évolution des logiciels et de la sécurité dans un contexte d'objets connectés et d'automatisation. La première prédiction souligne que l'augmentation des surfaces d'attaque, due à la prolifération des objets connectés et des logiciels dans la production industrielle, entraînera une hausse des cyberattaques. Les équipes de développement et de sécurité doivent donc renforcer la sécurisation du cycle de vie des logiciels, notamment par des mises à jour automatiques sécurisées pour contrer les nouvelles menaces. La seconde prédiction évoque l'impact de l'intelligence artificielle sur les pratiques DevOps, qui évolueront vers un modèle EveryOps. Grâce à l'IA, les développeurs pourront se concentrer sur la vérification et l'optimisation du code généré, réduisant ainsi les délais de production et intégrant le concept de "secure by design". Cette transformation devrait diminuer les erreurs humaines dans le code, augmentant la robustesse des systèmes et permettant aux équipes de se concentrer sur des tâches stratégiques tout en améliorant la sécurité dès les premières étapes de développement. Ces évolutions soulignent l'importance d'une approche proactive face aux défis de la cybersécurité.
Sources :
Migration vers Windows 11, pourquoi le TPM 2.0 est-il obligatoire ?
Microsoft a annoncé que le support de sécurité pour Windows 10 prendra fin le 14 octobre 2025, incitant les utilisateurs à migrer vers Windows 11. Cette transition nécessitera des PC équipés d'un module TPM (Trusted Platform Module) 2.0, essentiel pour protéger les clés de cryptage, certificats et données sensibles contre les accès non autorisés. Chris Hickman, CSO de Keyfactor, souligne que cette exigence met en lumière l'importance d'une solution matérielle dédiée pour éviter le stockage vulnérable de données critiques. Il prédit également que d'autres mesures de cryptographie matérielle deviendront nécessaires pour renforcer la sécurité face aux menaces émergentes, notamment celles posées par les ordinateurs quantiques. Le NIST travaille sur des normes cryptographiques résistantes aux technologies quantiques, et les entreprises doivent se préparer à cette évolution pour garantir une adoption fluide. Hickman compare ces mesures préventives à des visites chez le dentiste, soulignant que négliger la sécurité pourrait entraîner des conséquences graves. En conclusion, il encourage les entreprises à prioriser l'amélioration de leur sécurité pour se prémunir contre les menaces croissantes, affirmant que celles qui prennent des initiatives proactives méritent d'être reconnues.
Sources :
CyberArk dévoile un outil open-source révolutionnaire pour aider les entreprises à se protéger contre le détournement des modèles d’IA
CyberArk, leader en sécurité des identités, a lancé FuzzyAI, un cadre open-source innovant conçu pour tester et renforcer la sécurité des modèles d'intelligence artificielle (IA). Présenté lors de l'événement Black Hat Europe 2024, FuzzyAI aide les entreprises à identifier les vulnérabilités des modèles d'IA, notamment le contournement des garde-fous et la génération d'extrants nuisibles. Avec l'essor des applications d'IA dans divers secteurs, la sécurité devient un enjeu crucial, et FuzzyAI propose une approche systématique pour tester ces modèles à l'aide de techniques d'attaque variées. Au cœur de FuzzyAI se trouve un puissant fuzzer qui expose les failles de sécurité en utilisant plus d'une dizaine de méthodes d'attaque. Les caractéristiques clés incluent le test à données aléatoires, un cadre extensible permettant aux utilisateurs d'ajouter leurs propres méthodes d'attaque, et une approche collaborative favorisant le développement continu de techniques de défense. CyberArk souligne ainsi son engagement envers la sécurité de l'IA, permettant aux entreprises de mieux gérer les risques associés à l'utilisation croissante de ces technologies. FuzzyAI est disponible en open-source sur GitHub depuis le 11 décembre 2024.
Sources :
Les 7 clés pour comprendre les DDoS à la demande, la reconnaissance pré-attaque et l’utilisation des API
L'équipe ASERT de NETSCOUT a lancé une série d'épisodes intitulée « 7 clés des DDoS à la demande », dont les parties 2 et 3 sont désormais accessibles. Ces épisodes abordent la reconnaissance pré-attaque et l'utilisation des APIs par les cybercriminels. Le paysage des attaques DDoS a évolué, avec une automatisation accrue et des outils de reconnaissance plus accessibles, rendant ces attaques complexes plus faciles à réaliser pour des cybercriminels de tous niveaux techniques. Cette démocratisation des outils a modifié la préparation des organisations face aux menaces, qui doivent désormais faire face à des adversaires mieux équipés. Les cybercriminels peuvent analyser les vulnérabilités des réseaux, découvrir les mécanismes de défense et cartographier les ressources numériques des entreprises, augmentant ainsi leur efficacité et la rapidité de leurs attaques. De plus, l'utilisation détournée des APIs permet d'automatiser et de coordonner des attaques complexes. Face à cette menace croissante, les entreprises doivent adopter une approche proactive et des stratégies de protection adaptatives contre les DDoS pour se défendre contre l'évolution des cyberattaques modernes. Pour plus d'informations, des articles complets en anglais sont disponibles.
Sources :
Microsoft lève le blocage 24H2 de Windows 11 sur les PC équipés de scanners USB
Microsoft a levé un blocage de compatibilité empêchant les mises à jour vers Windows 11 24H2, suite à la résolution d'un bug affectant la connexion USB de certains scanners. Ce problème, signalé par de nombreux utilisateurs sur des plateformes comme Reddit, était dû à l'incapacité des appareils concernés à passer du mode eSCL au mode USB, ce qui empêchait la reconnaissance des pilotes de scanner. Pour éviter que ce problème n'affecte davantage d'utilisateurs, Microsoft avait mis en place un blocage de sécurité, conseillant de ne pas procéder à une mise à jour manuelle via l'Assistant d'installation de Windows 11 ou l'outil de création de médias. La liste des appareils touchés comprend des scanners autonomes et d'autres dispositifs utilisant le protocole eSCL. Le problème a été résolu avec la mise à jour cumulative KB5048667, publiée lors du Patch Tuesday. Microsoft recommande d'installer cette mise à jour pour bénéficier des améliorations et des résolutions de problèmes. Les utilisateurs pourraient devoir attendre jusqu'à 48 heures après l'installation de KB5048667 pour recevoir la mise à jour vers Windows 11, version 24H2, mais un redémarrage peut accélérer ce processus.
Sources :
Des cyber-espions russes se cachent derrière d'autres hackers pour cibler l'Ukraine
Le groupe de cyber-espionnage russe Turla, également connu sous le nom de "Secret Blizzard", utilise l'infrastructure d'autres hackers pour cibler des dispositifs militaires ukrainiens connectés via Starlink. Microsoft et Lumen ont récemment révélé que ce groupe, lié au Service fédéral de sécurité de la Russie (FSB), détourne les serveurs et les malwares d'un acteur pakistanais, Storm-0156. Dans sa dernière campagne, Turla a exploité l'infrastructure du botnet Amadey et d'un autre groupe russe, Storm-1837, pour déployer ses malwares personnalisés, notamment Tavdig et KazuarV2, sur des systèmes ukrainiens. Microsoft n'est pas certain si Turla a détourné Amadey ou acheté l'accès au botnet, mais cette opération illustre la tendance de ce groupe à se cacher derrière d'autres hackers. Les attaques de Turla commencent souvent par des emails de phishing contenant des pièces jointes malveillantes ou des backdoors. Tavdig, un backdoor léger, permet de collecter des informations et de déployer d'autres malwares, tandis que KazuarV2, plus avancé, est conçu pour la collecte d'intelligence à long terme. Microsoft recommande aux défenseurs de consulter ses mesures d'atténuation et ses requêtes de recherche pour contrer ces menaces.
Sources :
Facebook, Instagram et WhatsApp touchés par une panne mondiale massive
Le 11 décembre 2024, Facebook, Instagram, Threads et WhatsApp ont subi une panne mondiale majeure, débutant vers 12h40 ET. De nombreux utilisateurs ont rencontré des difficultés pour accéder aux services, que ce soit via les sites web ou les applications, et n'ont pas pu envoyer de messages sur WhatsApp. Lors de leur tentative de connexion à Facebook, ils ont été accueillis par des messages d'erreur indiquant qu'un problème était en cours. Bien que Meta ne dispose pas d'une page de statut pour ses services en ligne, la page dédiée à la plateforme professionnelle n'a pas signalé de pannes significatives. À partir de 13h20 ET, certains utilisateurs ont commencé à voir leurs services rétablis, tandis que d'autres continuaient à rencontrer des problèmes. Meta a reconnu la panne sur X, affirmant qu'ils travaillaient à rétablir l'accès et s'excusant pour les désagréments causés. Cette interruption n'est pas un incident isolé, car Meta a déjà connu des pannes similaires en mars et en 2021. En fin de journée, Meta a annoncé que la situation était presque résolue, remerciant les utilisateurs pour leur patience et s'excusant pour les désagréments.
Sources :
Blizzard déploie la porte dérobée Kazuar en Ukraine en utilisant Amadey Malware-as-a-Service
L'acteur étatique russe, connu sous le nom de Secret Blizzard, a été observé utilisant des malwares associés à d'autres groupes de cybercriminalité pour déployer un backdoor nommé Kazuar sur des dispositifs ciblés en Ukraine. Selon l'équipe de renseignement sur les menaces de Microsoft, Secret Blizzard a exploité le malware Amadey pour télécharger des malwares personnalisés sur des systèmes liés à l'armée ukrainienne entre mars et avril 2024. C'est la deuxième fois depuis 2022 que ce groupe s'associe à une campagne de cybercriminalité pour propager ses propres outils en Ukraine. Microsoft a noté que cette stratégie diversifie les vecteurs d'attaque de Secret Blizzard. Le groupe cible principalement des ministères des affaires étrangères, des ambassades et des entreprises de défense à l'échelle mondiale. Récemment, Microsoft a également révélé que Turla avait détourné 33 serveurs de commande et de contrôle d'un groupe de hackers pakistanais pour mener ses propres opérations. Les attaques impliquent l'utilisation de bots Amadey pour déployer le backdoor Tavdig, qui permet ensuite d'installer Kazuar. L'enquête sur la manière dont Secret Blizzard a pris le contrôle des outils d'autres groupes est en cours, soulignant sa tactique d'obscurcissement pour mener des campagnes d'espionnage.
Sources :
Des pirates informatiques russes de Turla ont attaqué des appareils connectés à Starlink en Ukraine
Le groupe de cyber-espionnage russe Turla, également connu sous le nom de "Secret Blizzard", utilise l'infrastructure d'autres hackers pour cibler des dispositifs militaires ukrainiens connectés via Starlink. Microsoft et Lumen ont récemment révélé que ce groupe, lié au Service fédéral de sécurité de la Russie (FSB), détourne les serveurs et les malwares d'un acteur menaçant pakistanais, Storm-0156. Dans sa dernière campagne, Turla a exploité l'infrastructure du botnet Amadey et d'un autre groupe de hackers russe, Storm-1837, pour déployer ses malwares personnalisés, notamment Tavdig et KazuarV2, sur des systèmes ukrainiens. Microsoft n'est pas certain si Turla a détourné Amadey ou acheté l'accès au botnet, mais cette opération illustre la tendance de ce groupe à se cacher derrière d'autres acteurs. Les attaques de Turla commencent souvent par des emails de phishing contenant des pièces jointes malveillantes ou des backdoors. Tavdig, un backdoor léger, permet de collecter des informations et de déployer d'autres malwares, tandis que KazuarV2 est un backdoor plus avancé, conçu pour la collecte d'intelligence à long terme. Microsoft recommande aux défenseurs de consulter ses mesures d'atténuation et ses requêtes de recherche pour contrer ces menaces.
Sources :
L'opération PowerOFF a permis de fermer 27 plateformes DDoS à louer
L'opération PowerOFF, coordonnée par Europol, a permis de fermer 27 plateformes de DDoS à la demande, connues sous le nom de "booters" ou "stressers", dans 15 pays. Cette initiative internationale vise à lutter contre la cybercriminalité, en particulier les attaques par déni de service distribué (DDoS). Ces services exploitent des botnets sur des appareils compromis pour lancer des attaques contre des cibles en ligne choisies par des clients payants, causant des interruptions de service, notamment pendant la période des fêtes. Trois administrateurs ont été arrêtés, et environ 300 clients identifiés. Parmi les sites fermés figurent zdstresser.net et orbitalstress.net, qui affichent désormais des avis de saisie. Aux Pays-Bas, la police a arrêté quatre hommes âgés de 22 à 26 ans, dont l'un aurait mené 4 169 attaques DDoS. En outre, environ 200 utilisateurs suspects ont été identifiés, certains recevant des avertissements ou faisant face à des poursuites. Aux États-Unis, des inculpations ont été annoncées contre deux personnes liées à ces services. Europol a soutenu l'opération grâce à des analyses et des enquêtes forensiques, renforçant ainsi la lutte contre la cybercriminalité.
Sources :
Le ransomware Lynx à l'origine d'une cyberattaque contre le fournisseur d'énergie Electrica
Le 11 décembre 2024, la Direction nationale de la cybersécurité de Roumanie (DNSC) a annoncé que le groupe de ransomware Lynx avait attaqué Electrica Group, l'un des principaux fournisseurs d'électricité du pays. Fondée en 2000, Electrica dessert plus de 3,8 millions d'utilisateurs en Muntenia et en Transylvanie. La société a informé ses investisseurs qu'elle enquêtait sur une attaque en cours, tout en collaborant avec les autorités de cybersécurité nationales. Le ministre de l'Énergie, Sebastian Burduja, a précisé que les systèmes critiques de l'entreprise étaient isolés et non affectés. La DNSC a confirmé que l'opération Lynx était responsable de l'incident et a recommandé aux entités, notamment dans le secteur de l'énergie, de scanner leurs infrastructures informatiques à l'aide d'un script YARA fourni. Le groupe Lynx, actif depuis juillet 2024, a déjà ciblé plus de 78 victimes, y compris des installations américaines et des entités des secteurs de l'énergie et du pétrole. Bien que l'attaque n'ait pas encore été revendiquée par Lynx, la situation survient dans un contexte de cyberattaques croissantes en Roumanie, notamment liées à des élections récentes.
