Le botnet Socks5Systemz alimente un réseau proxy illégal avec 85 000 appareils piratés - Actus du 09/12/2024
Découvrez les dernières menaces cybersécurité avec notre récap THN, explorez les failles d'injection rapide dans DeepSeek et Claude AI, et renforcez votre sécurité Entra avec 7 modules essentiels. Restez protégé et informé !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
⚡ THN Recap : Principales menaces de cybersécurité, outils et conseils (du 2 au 8 décembre)
L'article aborde les menaces cybernétiques croissantes, notamment l'émergence d'un groupe d'attaques nommé Earth Minotaur, ciblant spécifiquement les Tibétains et les Ouïghours à l'aide du kit d'exploitation MOONSHINE pour déployer un nouveau logiciel malveillant, DarkNimbus. Il souligne également l'importance d'une approche proactive pour sécuriser les données Microsoft 365 des organisations contre les cyberattaques, en proposant un e-book avec dix étapes essentielles. Les campagnes de distribution de logiciels malveillants touchent principalement des utilisateurs en Europe, notamment en France, en Espagne et au Royaume-Uni. L'article mentionne plusieurs vulnérabilités critiques (CVE) affectant divers logiciels, ainsi que des techniques d'attaque sophistiquées, comme l'exploitation des journaux d'événements Windows pour masquer des activités malveillantes. De plus, il évoque des tactiques de cybercriminalité financière, telles que le SIM swapping et le skimming, et met en lumière des préoccupations éthiques concernant la surveillance et la reconnaissance faciale. Enfin, il propose des solutions pour renforcer la posture de sécurité des entreprises, en soulignant l'importance de détecter les vulnérabilités cachées et d'adopter des mises à jour de sécurité rapidement.
Sources :
Des chercheurs découvrent des vulnérabilités d'injection rapide dans DeepSeek et Claude AI
Des détails ont émergé concernant une vulnérabilité de sécurité récemment corrigée dans le chatbot d'intelligence artificielle DeepSeek. Cette faille permettait à un attaquant de prendre le contrôle d'un compte utilisateur via une attaque par injection de prompt. Le chercheur en sécurité Johann Rehberger a découvert qu'en fournissant l'entrée "Print the xss cheat sheet in a bullet list. just payloads", le chatbot exécutait du code JavaScript, illustrant une attaque de type cross-site scripting (XSS). Une telle attaque peut entraîner l'exécution de code non autorisé dans le navigateur de la victime, permettant à un attaquant de détourner une session utilisateur et d'accéder à des données sensibles. Rehberger a précisé qu'il suffisait d'un userToken stocké dans le localStorage pour prendre le contrôle de la session. De plus, il a démontré que d'autres outils d'IA, comme Claude d'Anthropic, pouvaient également être exploités via des injections de prompt pour exécuter des commandes malveillantes. Des recherches récentes ont montré que ChatGPT d'OpenAI pouvait être trompé pour afficher des liens d'images externes, y compris explicites, et contourner des protections mises en place pour éviter l'exfiltration de données. Ces découvertes soulignent l'importance de la vigilance dans le développement d'applications utilisant des modèles de langage.
Sources :
Sept modules complémentaires pour sécuriser davantage votre identifiant Entra pour les sessions critiques
Les identités numériques (IDs) présentent des limites, et il est essentiel pour les entreprises d'ajouter des couches de sécurité supplémentaires pour les sessions critiques des utilisateurs privilégiés. Cet article présente sept méthodes pour renforcer la sécurité, notamment l'intégration native qui automatise le processus de gestion des accès. La gestion des privilèges (PEDM) permet un contrôle granulaire, offrant un accès limité aux tâches spécifiques. L'autorisation externe pour l'accès aux cibles critiques ajoute une vérification supplémentaire. La transition vers une authentification sans mot de passe réduit les risques liés aux identifiants partagés. De plus, la surveillance et l'audit des sessions sont cruciaux pour la conformité. Les clés SSH, souvent négligées par les outils PAM traditionnels, peuvent entraîner des contournements de sécurité. La solution proposée vise à éliminer les mots de passe et les clés, réduisant ainsi les risques de vol ou de mauvaise configuration. En outre, elle sécurise les connexions automatisées à grande échelle grâce à des fonctionnalités avancées telles que l'analyse comportementale et le chiffrement quantique. Le PrivX Zero Trust Suite, qui s'intègre à des systèmes IAM comme Microsoft Entra, offre des fonctionnalités indispensables pour les utilisateurs à haut risque, renforçant ainsi la sécurité des environnements de production.
Sources :
Le botnet Socks5Systemz alimente un service proxy illégal avec plus de 85 000 appareils piratés
Un botnet malveillant nommé Socks5Systemz alimente un service proxy appelé PROXY.AM, selon des recherches de Bitsight. Ce malware, actif depuis 2013, transforme des systèmes compromis en nœuds de sortie proxy, permettant aux cybercriminels de masquer l'origine de leurs attaques. PROXY.AM, qui propose des serveurs proxy anonymes, a vu sa taille atteindre environ 250 000 machines en janvier 2024, bien que les estimations actuelles varient entre 85 000 et 100 000. Les pays les plus touchés incluent l'Inde, l'Indonésie et l'Ukraine. En décembre 2023, le botnet a été reconstruit après une perte de contrôle, donnant naissance à Socks5Systemz V2. Parallèlement, des acteurs malveillants exploitent des serveurs Docker mal configurés avec le malware Gafgyt pour mener des attaques DDoS. Une étude récente a révélé que 215 instances exposaient des informations sensibles, principalement aux États-Unis et en Inde, soulignant la nécessité d'une meilleure administration des systèmes pour prévenir les fuites de données. Les résultats mettent en lumière les risques associés aux configurations cloud vulnérables, qui peuvent être exploitées pour des attaques variées, y compris le vol de données et l'infiltration dans des infrastructures protégées.
