La nouvelle variante d'EAGERBEE cible les FAI et les gouvernements avec des capacités de porte dérobée avancées - Actus du 07/01/2025
Découvrez comment la boutique des Packers a été piratée pour des cartes de crédit, honorez les pionniers de la cybersécurité disparus et explorez la menace EAGERBEE qui cible FAI et gouvernements avec des capacités avancées. Plongez dans le monde complexe de la cybersécurité !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La boutique en ligne des Packers de Green Bay piratée pour voler des cartes de crédit
Le 7 janvier 2025, les Green Bay Packers ont informé leurs fans qu'une cyberattaque avait compromis leur boutique en ligne en octobre 2024. Un script de skimming a été injecté sur le site packersproshop.com, permettant à un acteur malveillant de voler des informations personnelles et de paiement des clients. La découverte de cette intrusion a eu lieu le 23 octobre, entraînant la désactivation immédiate des fonctions de paiement et de commande. Chrysta Jorgensen, directrice des opérations de vente au détail, a précisé que des experts en cybersécurité avaient été engagés pour évaluer l'impact de l'incident. L'enquête a révélé que le code malveillant avait pu collecter des données entre fin septembre et début octobre 2024, mais n'avait pas pu intercepter les paiements effectués par carte-cadeau, compte Pro Shop, PayPal ou Amazon Pay. Les données compromises incluent noms, adresses, emails et informations de carte de crédit. Les Packers offrent aux victimes trois ans de surveillance de crédit et de services de restauration d'identité via Experian. Ils conseillent également aux clients de surveiller leurs relevés bancaires pour détecter toute activité frauduleuse.
Sources :
Adieu aux disparus : les stars de la cybersécurité que nous avons perdues l'année dernière
Le monde de la cybersécurité est en pleine mutation, avec une transition marquée par l'abandon des solutions MFA héritées, souvent responsables des échecs en matière de cybersécurité. Ces anciennes méthodes, basées sur des signatures de logiciels malveillants, se sont révélées inefficaces face à des menaces évolutives. En revanche, les solutions modernes comme FIDO2, qui utilisent la cryptographie à clé publique, éliminent les mots de passe et rendent les attaques par phishing presque impossibles. L'authentification biométrique renforce encore la sécurité en garantissant que seuls les utilisateurs autorisés accèdent aux réseaux. Les plateformes EDR et XDR, qui reposent sur l'analyse comportementale et l'intelligence artificielle, permettent de détecter des activités inhabituelles et d'anticiper les attaques potentielles. Ces systèmes offrent une vue unifiée de la posture de sécurité d'une organisation en corrélant les données à travers divers environnements. De plus, les systèmes avancés de ZTNA adaptent les politiques de sécurité en temps réel, répondant aux besoins d'une main-d'œuvre hybride et d'un monde centré sur le cloud. En intégrant des solutions de gestion des identités et des accès, les nouvelles MFA résistantes au phishing représentent une avancée significative dans la protection contre les cybermenaces.
Sources :
La nouvelle variante d'EAGERBEE cible les FAI et les gouvernements avec des capacités de porte dérobée avancées
Des fournisseurs d'accès Internet (FAI) et des entités gouvernementales au Moyen-Orient ont été ciblés par une variante mise à jour du cadre de malware EAGERBEE, également connu sous le nom de Thumtais. Cette nouvelle version, dotée de divers composants, permet au backdoor de déployer des charges utiles supplémentaires, d'énumérer des systèmes de fichiers et d'exécuter des commandes, montrant une évolution significative. Les chercheurs de Kaspersky ont identifié plusieurs groupes de fonctionnalités pour les plugins, tels que l'orchestrateur de plugins et la gestion des services. EAGERBEE, initialement documenté par Elastic Security Labs, est attribué à un groupe d'intrusion parrainé par l'État, REF5961. Une variante a également été observée dans des attaques menées par un groupe aligné à l'État chinois, Cluster Alpha, visant à voler des secrets militaires et politiques en Asie du Sud-Est. Kaspersky a noté que cette architecture de malware, principalement conçue pour fonctionner en mémoire, améliore ses capacités de furtivité, rendant sa détection plus difficile. EAGERBEE utilise des techniques d'injection de code malveillant dans des processus légitimes pour masquer ses activités, compliquant ainsi l'identification et l'analyse du malware.
Sources :
CISA : Pas d'impact fédéral plus large de la cyberattaque du Trésor, enquête en cours
L'agence collabore étroitement avec le Département du Trésor et BeyondTrust pour comprendre et atténuer les impacts d'une violation de cybersécurité majeure, révélée début décembre 2024. Cette attaque, attribuée à des acteurs soutenus par l'État chinois, a permis un accès à distance à des ordinateurs et documents non classifiés via une clé API compromise de BeyondTrust. Le 6 janvier 2025, BeyondTrust a déclaré qu'aucun nouveau client n'avait été identifié au-delà de ceux déjà informés. Parallèlement, le Bureau de contrôle des avoirs étrangers du Trésor a imposé des sanctions contre Integrity Technology Group, une entreprise chinoise, l'accusant de soutenir un groupe de hackers, Flax Typhoon, dans une campagne contre les infrastructures critiques américaines. En réponse, le ministère chinois des Affaires étrangères a nié ces accusations. En outre, un rapport a révélé que le groupe APT41 avait infiltré le gouvernement philippin pour voler des données sensibles. Les cyberattaques chinoises contre Taïwan ont également augmenté, avec 906 incidents en 2024, ciblant divers secteurs, y compris des attaques par ransomware et des campagnes de désinformation sur les réseaux sociaux pour saper la confiance envers le gouvernement taïwanais.
Sources :
Moxa alerte les utilisateurs sur des vulnérabilités de grande gravité dans les routeurs cellulaires et sécurisés
Moxa, une entreprise taïwanaise, a signalé deux vulnérabilités de sécurité affectant ses routeurs cellulaires, routeurs sécurisés et appareils de sécurité réseau, pouvant entraîner une élévation de privilèges et une exécution de commandes non autorisées. Les vulnérabilités identifiées sont : CVE-2024-9138 (score CVSS 4.0 : 8.6), qui permet à un utilisateur authentifié d'accéder au niveau root, compromettant ainsi le système, et CVE-2024-9140 (score CVSS 4.0 : 9.3), qui permet aux attaquants d'exploiter des caractères spéciaux pour contourner les restrictions d'entrée. Ces failles touchent plusieurs séries de produits et versions de firmware, notamment les séries EDR-810, EDR-8010, EDR-G902, et d'autres. Des correctifs sont disponibles pour certaines séries, nécessitant une mise à jour vers la version 3.14 ou ultérieure. Pour d'autres, comme la série NAT-102, aucun correctif officiel n'est proposé. Moxa recommande de ne pas exposer les appareils à Internet, de limiter l'accès SSH aux adresses IP de confiance et de mettre en place des mesures de détection des tentatives d'exploitation.
Sources :
La CISA affirme que le récent piratage gouvernemental s'est limité au Trésor américain
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a confirmé que la récente violation de la sécurité du Département du Trésor, révélée la semaine dernière, n'a pas affecté d'autres agences fédérales. Le Trésor a annoncé qu'il avait été piraté par des hackers soutenus par le gouvernement chinois, qui ont compromis un système de support à distance de BeyondTrust à l'aide d'une clé API volée. Cette intrusion, attribuée à un acteur de type Advanced Persistent Threat (APT) lié à la Chine, a été qualifiée d'incident majeur de cybersécurité. Les hackers ont ciblé spécifiquement le Bureau de contrôle des avoirs étrangers (OFAC), afin de recueillir des informations sur les individus et organisations chinois susceptibles d'être sanctionnés par les États-Unis. Bien que les hackers aient également accédé au Bureau de recherche financière du Trésor, l'ampleur totale de l'attaque est encore en cours d'évaluation. CISA a assuré qu'il n'y avait aucune preuve que les hackers chinois aient maintenu l'accès aux systèmes du Trésor après la fermeture de l'instance compromise de BeyondTrust. L'agence souligne l'importance cruciale de la sécurité des systèmes fédéraux pour la sécurité nationale et continue de surveiller la situation.
Sources :
Les appareils Moxa vulnérables exposent les réseaux industriels aux attaques
Moxa, un fournisseur de solutions de communication industrielle, a alerté sur deux vulnérabilités critiques affectant ses routeurs cellulaires et appareils de sécurité réseau. Ces failles permettent à des attaquants distants d'obtenir des privilèges root et d'exécuter des commandes arbitraires, ce qui pourrait mener à une exécution de code malveillant. Les vulnérabilités concernent principalement les dispositifs utilisés dans l'automatisation industrielle, les transports, les services publics et les télécommunications. La première vulnérabilité, CVE-2024-9138, a un score de sévérité de 8.6 et concerne des identifiants codés en dur permettant une élévation de privilèges. La seconde, CVE-2024-9140, avec un score de 9.3, est une injection de commande OS exploitant des restrictions d'entrée inappropriées. Moxa a publié des mises à jour de firmware pour corriger ces problèmes et recommande une action immédiate pour éviter toute exploitation. Les utilisateurs de certains modèles doivent mettre à jour vers des versions spécifiques, tandis que d'autres doivent contacter le support Moxa pour des conseils. Des mesures de sécurité supplémentaires, comme la limitation de l'exposition réseau et l'utilisation de pare-feu, sont également conseillées.
