GoIssue : Un outil de phishing visant les développeurs GitHub - Actus du 12/11/2024
Découvrez comment Volt Typhoon réorganise son botnet après l'intervention du FBI, les risques RCE liés à Citrix et l'outil de phishing GoIssue ciblant les développeurs GitHub. Protégez-vous contre ces menaces cybernétiques émergentes.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Volt Typhoon reconstruit un botnet malveillant après une interruption du FBI
Le groupe de hackers parrainé par l'État chinois, Volt Typhoon, a commencé à reconstruire son botnet de malware "KV-Botnet" après une interruption par les forces de l'ordre en janvier 2024. Ce groupe, actif depuis au moins cinq ans, cible principalement les routeurs SOHO et les dispositifs réseau, tels que les routeurs Cisco et Netgear, pour installer des malwares permettant un accès persistant aux réseaux ciblés. Bien que leur première tentative de reprise ait échoué en février, des rapports en août ont révélé qu'ils exploitaient une vulnérabilité zero-day, prouvant leur résilience. Selon SecurityScorecard, Volt Typhoon a compromis un nombre significatif de dispositifs en un mois, en utilisant des malwares basés sur MIPS et des webshells, rendant leur détection difficile. Depuis septembre, le groupe a établi un nouveau réseau de dispositifs compromis, principalement en Asie, et a réussi à infecter environ 30 % des routeurs Cisco RV320/325 exposés sur Internet. Les chercheurs soulignent l'importance de remplacer les anciens routeurs et de maintenir les dispositifs à jour pour se protéger contre cette menace persistante.
Sources :
De nouvelles failles dans les applications virtuelles Citrix permettent des attaques RCE via une mauvaise configuration MSMQ
Des chercheurs en cybersécurité ont révélé de nouvelles vulnérabilités affectant Citrix Virtual Apps et Desktop, pouvant être exploitées pour réaliser une exécution de code à distance non authentifiée (RCE). Selon les découvertes de watchTowr, le problème provient du composant de Session Recording, qui permet aux administrateurs de capturer l'activité des utilisateurs. La vulnérabilité résulte d'une combinaison d'une instance MSMQ mal exposée et de permissions mal configurées, permettant d'atteindre le système via HTTP. Deux vulnérabilités spécifiques ont été identifiées : CVE-2024-8068 et CVE-2024-8069, toutes deux avec un score CVSS de 5.1, permettant une élévation de privilèges et une exécution de code à distance limitée. Citrix a précisé que l'exploitation nécessite que l'attaquant soit un utilisateur authentifié sur le même domaine Active Directory que le serveur d'enregistrement de session. Les défauts ont été corrigés dans plusieurs versions de Citrix. Microsoft a également recommandé d'abandonner l'utilisation de BinaryFormatter pour la désérialisation, car cette méthode présente des risques de sécurité. Le problème central réside dans le Service de Gestion de Stockage des Enregistrements de Session, qui utilise des permissions excessives et le BinaryFormatter pour traiter les données.
Sources :
GoIssue, nouvel outil de phishing, cible les développeurs GitHub dans des campagnes d'e-mails en masse
Des chercheurs en cybersécurité mettent en garde contre un nouvel outil sophistiqué appelé GoIssue, utilisé pour envoyer des messages de phishing à grande échelle ciblant les utilisateurs de GitHub. Commercialisé par un acteur malveillant connu sous le nom de cyberdluffy sur le forum Runion, GoIssue permet d'extraire des adresses e-mail de profils GitHub publics et d'envoyer des e-mails en masse. Cet outil représente un changement dangereux dans le phishing ciblé, pouvant mener au vol de code source et à des attaques sur les chaînes d'approvisionnement. GoIssue est proposé à 700 $ pour une version personnalisée et 3 000 $ pour le code source complet, avec des réductions récentes. Les attaquants peuvent rediriger les victimes vers de fausses pages pour capturer leurs identifiants ou installer des malwares. De plus, cyberdluffy se présente comme membre de l'équipe Gitloker, impliquée dans des campagnes d'extorsion sur GitHub. Les e-mails frauduleux sont déclenchés automatiquement par GitHub après que des comptes compromis aient été signalés. Parallèlement, une nouvelle attaque de phishing à deux étapes utilisant des fichiers Microsoft Visio et SharePoint a été identifiée, exploitant la confiance des utilisateurs envers des outils familiers.
Sources :
Des pirates informatiques nord-coréens créent des applications Flutter pour contourner la sécurité de macOS
Des hackers nord-coréens ciblent les systèmes macOS d'Apple en utilisant des applications malveillantes, telles que des jeux de démineur et des applications Notepad, créées avec le framework Flutter. Ces applications, signées et notariées par un ID développeur légitime, ont réussi à passer les contrôles de sécurité d'Apple, permettant leur exécution sans restrictions. Les noms des applications sont souvent liés à des thèmes de cryptomonnaie, reflétant l'intérêt des hackers pour le vol financier. Selon Jamf Threat Labs, qui a découvert cette activité, il s'agit davantage d'une expérimentation pour contourner la sécurité de macOS que d'une opération ciblée. Les applications, bien que semblant inoffensives, se connectent à des serveurs associés à la Corée du Nord et contiennent des fonctionnalités permettant l'exécution de scripts malveillants. Parmi les applications identifiées, certaines ont été construites pour exécuter des commandes à partir d'un serveur de commande et de contrôle. Bien qu'Apple ait révoqué les signatures des applications, rendant leur exécution impossible sur des systèmes macOS à jour, il reste incertain si ces applications ont été utilisées dans des opérations réelles ou simplement testées pour évaluer des techniques de contournement de la sécurité.
Sources :
Des pirates informatiques nord-coréens ciblent macOS à l'aide de logiciels malveillants intégrés à Flutter
Des acteurs malveillants liés à la République populaire démocratique de Corée (DPRK) ont été découverts en train d'incorporer des logiciels malveillants dans des applications Flutter, une première pour infecter des dispositifs macOS. Cette découverte, faite par Jamf Threat Labs, repose sur des artefacts téléchargés sur VirusTotal. Les applications Flutter font partie d'une activité plus large incluant des malwares écrits en Golang et Python. Les méthodes de distribution restent inconnues, mais les acteurs nord-coréens sont connus pour cibler les employés des entreprises de cryptomonnaie via des techniques de manipulation sociale. Jamf n'a pas attribué cette activité malveillante à un groupe spécifique, bien qu'une connexion avec un sous-groupe de Lazarus, BlueNoroff, soit suspectée. Le malware se présente sous la forme d'un jeu de démineur, masqué en tant qu'application fonctionnelle, et utilise des identifiants de développeur Apple pour contourner le processus de notarisation. Une fois lancé, le malware exécute du code AppleScript reçu d'un serveur distant. Jamf a également identifié des variantes en Go et Python, indiquant que les acteurs nord-coréens développent activement des malwares pour infiltrer les entreprises de cryptomonnaie.
Sources :
Contexte et défis de la cybersécurité
L'augmentation des cyberattaques, exacerbée par l'IA générative, représente un défi majeur pour les entreprises. Une enquête de Sapio Research indique que 75 % des professionnels de la cybersécurité constatent une hausse des attaques, 85 % les liant à l'IA. Parallèlement, le secteur fait face à une pénurie de quatre millions de spécialistes, entraînant des équipes réduites et une infrastructure de sécurité fragmentée. Cette fragmentation complique l'intégration des données, limite la visibilité réseau et entraîne des décisions basées sur des impressions plutôt que sur des données concrètes. De plus, la gestion de multiples solutions génère des coûts élevés et augmente le risque de burnout parmi les professionnels. Barracuda propose une solution par la consolidation des fournisseurs, qui simplifie la gestion de la cybersécurité grâce à des solutions de détection et de réponse étendues (XDR) et un centre d'opérations de sécurité (SOC). Cette approche réduit la charge de travail, diminue les coûts et améliore la visibilité. Pour choisir un fournisseur unique, il est essentiel d'évaluer les besoins, le budget, les normes, l'évolutivité et le support client. En consolidant leurs solutions, les entreprises peuvent mieux faire face aux défis de la cybersécurité.
Sources :
5 façons dont l'analyse comportementale révolutionne la réponse aux incidents
L'analyse comportementale, initialement conçue pour détecter des activités suspectes en cybersécurité, est désormais réinventée comme une technologie post-détection qui améliore les processus de réponse aux incidents. En se concentrant sur les informations comportementales lors de la triage et de l'investigation des alertes, les centres opérationnels de sécurité (SOC) peuvent optimiser leurs flux de travail, rendant ainsi les investigations plus précises et efficaces. Ce changement de paradigme permet aux analystes de répondre à des questions contextuelles essentielles, facilitant la distinction entre une activité légitime et une menace potentielle. Grâce à des modèles comportementaux, les outils SOC alimentés par l'IA peuvent automatiquement fournir des réponses rapides sur des alertes spécifiques, réduisant le temps de réponse moyen (MTTR). Les workflows traditionnels, souvent lents et manuels, sont remplacés par des analyses automatisées qui intègrent des données historiques et des comportements normaux, permettant aux équipes SOC de se concentrer sur des tâches à plus forte valeur ajoutée. En adoptant ces solutions d'analyse comportementale, les SOC améliorent la précision des investigations, optimisent l'allocation des ressources et renforcent leur capacité à détecter les menaces dans un paysage de cybersécurité en constante évolution.
Sources :
Un faux mail du parti de Poutine fait porter des chapeaux en aluminium à des enseignants russes
Vladislav Bokhan, un humoriste et activiste biélorusse, a démontré l'impact d'un simple courriel en usurpant l'identité d'un membre du parti « Russie unie » de Vladimir Poutine. Il a envoyé un message à plusieurs écoles en Russie, leur demandant de créer des chapeaux en aluminium pour un atelier patriotique intitulé « Casque de la Patrie », prétendant que ces chapeaux protégeraient les élèves des satellites de l'OTAN. Des instructions, rédigées avec l'aide de ChatGPT, accompagnaient le courriel. Sept écoles de l'oblast de Voronej ont participé à cette initiative, et des photos des enseignants portant les chapeaux en aluminium ont été partagées sur la chaîne Telegram de Bokhan. Ce dernier a déjà réalisé des actions similaires, comme en 2022, où il avait demandé à une école d'afficher un slogan nazi. Sur sa chaîne, il a exprimé son étonnement face à la réaction des écoles, qu'il considère comme des institutions de lavage de cerveau. Bien que cette usurpation ait une portée satirique, elle soulève des inquiétudes quant à la sécurité, car des méthodes similaires peuvent être utilisées par des cybercriminels pour obtenir des informations sensibles.
Sources :
Le nouveau ransomware Ymir exploite la mémoire pour des attaques furtives et cible les réseaux d'entreprise
Le ransomware Ymir se distingue par une combinaison unique de caractéristiques techniques et de tactiques qui renforcent son efficacité, selon Kaspersky. Observé lors d'une attaque contre une organisation en Colombie, Ymir a été précédé par l'utilisation de RustyStealer pour collecter des identifiants d'entreprise, permettant ainsi un accès non autorisé au réseau. Contrairement aux pratiques habituelles, il n'est pas clair si les mêmes acteurs ont orchestré à la fois l'accès initial et le déploiement du ransomware, ce qui pourrait signaler une nouvelle tendance. L'attaque a également impliqué des outils comme Advanced IP Scanner et des scripts de SystemBC pour exfiltrer des fichiers. Parallèlement, les acteurs derrière le ransomware Black Basta utilisent des messages sur Microsoft Teams et des QR codes malveillants pour cibler des victimes, tout en se faisant passer pour du personnel informatique afin d'obtenir un accès à distance. En septembre 2024, 407 cas de ransomware ont été enregistrés, marquant une baisse par rapport au mois précédent. Les autorités américaines cherchent à dissuader le paiement des rançons en incitant les compagnies d'assurance à ne plus rembourser ces paiements, soulignant que certaines polices encouragent les cybercrimes.
Sources :
Les iPhones redémarrent désormais automatiquement pour bloquer l'accès aux données cryptées après de longues périodes d'inactivité
Apple a introduit une nouvelle fonctionnalité de sécurité dans la mise à jour iOS 18.1, permettant aux iPhones de redémarrer automatiquement après de longues périodes d'inactivité. Cette fonction, bien que non confirmée officiellement, a été découverte par des forces de l'ordre qui ont remarqué que les iPhones des suspects redémarraient en leur possession. Ce redémarrage change l'état des appareils d'After First Unlock (AFU) à Before First Unlock (BFU), rendant l'accès aux données plus difficile pour les outils d'extraction forensique. En effet, après un redémarrage, les clés de chiffrement ne sont plus stockées en mémoire, rendant les données inaccessibles même pour le système d'exploitation. Cela complique considérablement les tentatives de piratage, car les clés de déchiffrement sont effacées de la mémoire. Cette mesure vise à protéger les utilisateurs contre le vol et les accès non autorisés, en rendant les iPhones moins attractifs pour les voleurs. Bien que certains commentateurs soulignent que cela pourrait également affecter l'accès légitime des forces de l'ordre, l'objectif principal semble être la protection des données des utilisateurs contre les attaques physiques.
Sources :
VMware rend Workstation et Fusion gratuits pour tous
VMware a annoncé que ses hyperviseurs de bureau, VMware Fusion et VMware Workstation, sont désormais gratuits pour un usage commercial, éducatif et personnel. En mai, la société avait déjà rendu les versions Pro gratuites pour un usage personnel, permettant aux étudiants et aux utilisateurs à domicile de créer des laboratoires virtuels et d'expérimenter avec d'autres systèmes d'exploitation. À partir de cette semaine, les versions Pro et les deux produits ne seront plus disponibles sous un modèle d'abonnement payant. Himanshu Singh, directeur marketing produit chez Broadcom, a confirmé que les utilisateurs peuvent désormais utiliser ces outils sans frais, bien que le support par ticket pour le dépannage ne soit plus offert. Malgré cela, Broadcom continuera à développer de nouvelles fonctionnalités et à assurer des mises à jour régulières. Cette décision fait suite à l'annonce de la fin des licences perpétuelles et à l'arrêt de l'offre gratuite vSphere Hypervisor après l'acquisition de VMware par Broadcom. Les utilisateurs peuvent télécharger VMware Fusion et Workstation après s'être connectés à leur compte Broadcom. Les réactions des utilisateurs varient, certains exprimant des préoccupations quant à la facilité de téléchargement et à l'avenir des produits.
Sources :
Le nouveau ransomware Ymir s'associe à RustyStealer dans des attaques
Une nouvelle famille de ransomware, nommée 'Ymir', a été détectée, ciblant des systèmes déjà compromis par le malware d'infostealing RustyStealer. Ce dernier, documenté pour la première fois en 2021, a permis aux attaquants d'accéder à des comptes à privilèges élevés, facilitant ainsi le mouvement latéral dans le réseau. Selon les chercheurs de Kaspersky, Ymir se distingue par son exécution en mémoire, l'utilisation de la langue lingala dans ses commentaires de code, et des fichiers PDF comme notes de rançon. Bien que Ymir semble se connecter à des serveurs externes, il ne possède pas de capacités d'exfiltration de données. L'opération a débuté en juillet 2024, avec des attaques mondiales. Ymir utilise l'algorithme de chiffrement ChaCha20 pour crypter les fichiers, ajoutant une extension aléatoire et générant une note de rançon nommée "INCIDENT_REPORT.pdf". De plus, il modifie le registre Windows pour afficher une demande d'extorsion avant la connexion de l'utilisateur. Kaspersky met en garde que l'association de Ymir avec des voleurs d'informations pourrait rapidement en faire une menace répandue.
Sources :
HIBP informe 57 millions de personnes de la violation de données Hot Topic
Le site Have I Been Pwned (HIBP) a alerté 57 millions de personnes concernant une violation de données touchant les clients de Hot Topic, Box Lunch et Torrid. Cette fuite, qui concerne 56,9 millions de comptes, a été révélée par un acteur malveillant nommé "Satanic" sur BreachForums, affirmant avoir volé 350 millions de dossiers utilisateurs. Les informations exposées incluent des noms, adresses e-mail, dates de naissance, numéros de téléphone, adresses physiques, historique d'achats et des données de cartes de crédit partielles. Bien que Hot Topic n'ait pas confirmé la violation, une analyse d'Atlas Privacy a estimé que la base de données de 730 Go affecte en réalité 54 millions de clients, avec 25 millions de numéros de cartes de crédit chiffrés de manière vulnérable. La violation aurait eu lieu le 19 octobre 2024, et les données remontent jusqu'en 2011. Les clients sont conseillés de rester vigilants face aux tentatives de phishing, de surveiller leurs comptes financiers et de changer leurs mots de passe. Malgré les demandes de commentaires, Hot Topic n'a pas répondu aux sollicitations des médias.
Sources :
Amazon confirme la violation des données des employés après le piratage d'un fournisseur
Amazon a confirmé une violation de données impliquant des informations sur ses employés, suite à un piratage d'un fournisseur tiers lors des attaques MOVEit en mai 2023. Le groupe de hackers, connu sous le nom de Nam3L3ss, a publié plus de 2,8 millions de lignes de données d'employés d'Amazon, comprenant noms, coordonnées, adresses e-mail et emplacements de bureaux. Adam Montgomery, porte-parole d'Amazon, a précisé que les systèmes d'Amazon et d'AWS restent sécurisés et que seules des informations de contact professionnel ont été compromises, sans accès à des données sensibles telles que les numéros de sécurité sociale ou les informations financières. Le fournisseur concerné a depuis corrigé la vulnérabilité exploitée. Nam3L3ss a également divulgué des données d'autres entreprises, y compris Lenovo, HP et McDonald's, en utilisant des informations obtenues à partir de sites exposés et de bases de données compromises. Les attaques MOVEit, orchestrées par le gang de ransomware Clop, ont exploité une faille de sécurité dans la plateforme MOVEit Transfer, affectant des centaines d'organisations à travers le monde et entraînant le vol de données de millions de personnes.
Sources :
Microsoft impute les mises à niveau automatiques de Windows Server 2025 à des outils tiers
Microsoft a confirmé que certains systèmes Windows Server 2019 et 2022 ont été "inattentivement" mis à niveau vers Windows Server 2025 en raison de l'utilisation d'outils de gestion de correctifs tiers. Cette situation a été signalée par de nombreux administrateurs de serveurs qui ont constaté des mises à jour automatiques non autorisées. Microsoft a attribué ce problème à une "erreur procédurale" de sa part, notamment en ce qui concerne la rapidité de la sortie et la classification des mises à jour. Bien que la société ait atténué le problème, elle n'a pas encore fourni de solution pour revenir aux versions antérieures, à part la restauration à partir de sauvegardes. De plus, Microsoft a résolu un autre problème où les administrateurs recevaient une notification pour mettre à niveau vers Windows Server 2025, mais se retrouvaient ensuite confrontés à l'obligation d'acheter une licence. Bien qu'un avertissement ait été affiché concernant cette exigence, de nombreux administrateurs ont jugé cela trompeur. Les critiques suggèrent que Microsoft pourrait avoir incité à l'adoption de la nouvelle version pour stimuler les ventes de licences. Les mises à jour futures pour Windows Server 2025 et Windows 11 partageront les mêmes numéros de KB, mais auront des notes de version distinctes.
