Le groupe TeamTNT cible le cloud pour miner des crypto-monnaies - Actus du 26/10/2024
Découvrez comment le contournement de la signature du pilote Windows, les failles zero-day lucratives de Pwn2Own Ireland et les nouvelles attaques cloud de TeamTNT façonnent le paysage de la cybersécurité. Une lecture essentielle pour comprendre les menaces actuelles !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le nouveau contournement de la signature du pilote Windows permet l'installation de rootkits du noyau
Un nouveau contournement de la signature des pilotes Windows permet aux attaquants d'installer des rootkits sur des systèmes entièrement mis à jour en rétrogradant des composants du noyau. En prenant le contrôle du processus de mise à jour de Windows, ils peuvent introduire des logiciels vulnérables sans que le système d'exploitation ne détecte de modifications. Alon Leviev, chercheur en sécurité, a démontré cette vulnérabilité lors des conférences BlackHat et DEFCON, révélant que même les systèmes Windows 11 à jour peuvent être compromis. Microsoft a minimisé le problème, affirmant qu'il ne franchissait pas une frontière de sécurité définie, mais Leviev a prouvé qu'il était possible d'exploiter cette faille en remplaçant le fichier ‘ci.dll’, responsable de l'application de la signature des pilotes, par une version non corrigée. Cela permet de charger des pilotes non signés et de contourner les protections de sécurité. Leviev a également présenté un outil, Windows Downdate, pour créer des rétrogradations personnalisées, rendant ainsi les systèmes vulnérables à des failles déjà corrigées. Malgré les améliorations de sécurité du noyau, cette méthode de contournement, nommée "ItsNotASecurityBoundary", expose des failles persistantes dans la sécurité de Windows.
Sources :
Plus de 70 failles zero-day rapportent 1 million de dollars aux pirates informatiques de Pwn2Own Ireland
Le Pwn2Own Ireland 2024 a conclu sa quatrième édition avec plus d'un million de dollars en récompenses pour plus de 70 vulnérabilités zero-day découvertes sur des appareils entièrement patchés. Cette compétition de hacking met en compétition des chercheurs en sécurité qui tentent de compromettre divers produits logiciels et matériels pour remporter le titre de "Master of Pwn". Au total, les participants ont gagné 1 066 625 dollars. Lors de la dernière journée, plusieurs équipes ont réussi à exploiter des dispositifs de Lexmark, TrueNAS et QNAP. Par exemple, l'équipe Smoking Barrels a exploité deux vulnérabilités dans TrueNAS X, tandis que l'équipe Cluck a utilisé une chaîne de six vulnérabilités pour passer de QNAP à Lexmark, remportant respectivement 20 000 et 23 000 dollars. Viettel Cyber Security a été couronné "Master of Pwn" avec 33 points, récoltant 205 000 dollars pour ses exploits. Le prochain événement Pwn2Own se tiendra à Tokyo le 22 janvier 2025, axé sur l'industrie automobile avec quatre catégories, dont Tesla et les systèmes d'exploitation.
Sources :
Le célèbre groupe de hackers TeamTNT lance de nouvelles attaques dans le cloud pour le minage de crypto-monnaies
Le groupe de cryptojacking TeamTNT se prépare à une nouvelle campagne à grande échelle ciblant les environnements cloud pour miner des cryptomonnaies et louer des serveurs compromis. Selon Assaf Morag, directeur de l'intelligence des menaces chez Aqua, le groupe exploite des démons Docker exposés pour déployer des malwares, notamment Sliver, et des cryptomineurs, utilisant des serveurs compromis et Docker Hub comme infrastructure. Cette activité témoigne de la persistance de TeamTNT et de sa capacité à évoluer, en menant des attaques multi-étapes pour compromettre les environnements Docker et les intégrer dans un Docker Swarm. En plus de distribuer des charges malveillantes via Docker Hub, TeamTNT loue la puissance de calcul des victimes à des tiers pour le minage illégal, diversifiant ainsi sa stratégie de monétisation. Les attaques impliquent l'identification de points de terminaison API Docker non authentifiés, et l'utilisation d'un script d'attaque pour déployer des conteneurs malveillants. Une évolution notable est le passage du backdoor Tsunami au framework open-source Sliver pour contrôler les serveurs infectés. Parallèlement, Trend Micro a révélé une campagne ciblée impliquant le botnet de minage Prometei, exploitant des vulnérabilités dans RDP et SMB.
Sources :
Donald Trump, Kamala Harris, les deux candidats ont été ciblés par des hackers chinois
Des hackers liés au gouvernement chinois ont tenté d'infiltrer les communications téléphoniques de l'ancien président Donald Trump et de son colistier JD Vance, ainsi que de l'équipe de la vice-présidente Kamala Harris. Selon des sources de CNN, cette cyberattaque a également touché des hauts fonctionnaires de l'administration Biden. Le FBI et l'Agence de sécurité des infrastructures et de la cybersécurité des États-Unis (CISA) ont confirmé qu'une enquête était en cours sur ces accès non autorisés aux infrastructures de télécommunications commerciales. Les hackers ciblaient principalement des opérateurs mobiles américains tels qu'AT&T, Verizon et Lumen, dans le but de récupérer des informations sensibles sur la sécurité nationale, y compris des demandes de mandat d'écoute téléphonique. Cette situation est perçue comme une violation de cybersécurité préoccupante par des responsables américains. La Chine, souvent accusée d'espionnage à grande échelle, a nié ces allégations. Cette campagne de cyberespionnage s'inscrit dans un contexte plus large d'attaques contre des entreprises de télécommunications aux États-Unis, soulignant les tensions croissantes entre les deux pays.
Sources :
Quatre membres du ransomware REvil condamnés pour cybercriminalité en Russie
Quatre membres de l'opération de ransomware REvil ont été condamnés à plusieurs années de prison en Russie, une rareté pour des cybercriminels russes reconnus coupables de hacking et de blanchiment d'argent. Selon le journal Kommersant, un tribunal de Saint-Pétersbourg a déclaré Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky et Ruslan Khansvyarov coupables de circulation illégale de moyens de paiement. Puzyrevsky et Khansvyarov ont également été reconnus coupables d'utilisation et de distribution de logiciels malveillants. Zaets et Malozemov ont écopé de 4,5 et 5 ans de prison, tandis que Khansvyarov et Puzyrevsky ont reçu des peines de 5,5 et 6 ans. Ces quatre individus font partie d'un groupe de 14 personnes initialement arrêtées. Huit d'entre elles ont été accusées de leurs activités malveillantes. Les autres membres sont poursuivis dans une nouvelle affaire liée à l'accès illégal à des informations informatiques. REvil, autrefois l'un des groupes de ransomware les plus actifs, a été démantelé après des arrestations par le Service fédéral de sécurité de la Russie (FSB). Cette condamnation intervient également après l'ouverture d'une enquête sur Cryptex et UAPS, sanctionnées par les États-Unis pour avoir offert des services de blanchiment d'argent aux cybercriminels.
Sources :
Votre usage de l’IA au bureau met peut-être en danger votre entreprise, alertent des experts
L'adoption croissante des outils d'intelligence artificielle, comme les chatbots, dans les entreprises soulève des préoccupations en matière de cybersécurité. Les employés pourraient divulguer des informations sensibles à des plateformes telles que ChatGPT, qui sont vulnérables aux cyberattaques. Selon Adrien Merveille, expert en cybersécurité, un pirate ayant accès à un compte professionnel de chatbot peut accéder à des documents confidentiels et à l'historique des conversations. De plus, les programmes développés en interne ne sont pas à l'abri, car des attaques comme le "code poisoning" peuvent altérer les résultats générés par l'IA, nuisant ainsi à l'entreprise. Pour contrer ces menaces, des solutions émergent, comme U-Cyber 360° de Mailinblack, qui vise à protéger les organisations et à sensibiliser les employés à la cybersécurité. Check Point propose également des modules pour bloquer les requêtes divulguant des informations privées sur ChatGPT. Vincent Strubel, directeur général de l'ANSSI, souligne que les règles de sécurité doivent s'appliquer à l'utilisation de l'IA. Il reste à établir des critères pour garantir la sécurité des solutions d'IA, tout en maintenant une vigilance constante face aux risques associés.
Sources :
Le CERT-UA identifie des fichiers RDP malveillants dans la dernière attaque contre des entités ukrainiennes
Le Computer Emergency Response Team d'Ukraine (CERT-UA) a signalé une nouvelle campagne de phishing malveillante visant des agences gouvernementales, des entreprises et des entités militaires. Les courriels exploitent l'attrait de services populaires comme Amazon et Microsoft, contenant des fichiers de configuration Remote Desktop Protocol ('.rdp'). Lorsqu'ils sont exécutés, ces fichiers permettent aux attaquants d'accéder à distance aux systèmes compromis, de voler des données et d'installer d'autres malwares. Cette activité, attribuée à un acteur de menace identifié comme UAC-0215, pourrait s'étendre au-delà de l'Ukraine. Amazon a lié cette campagne au groupe de hackers d'État russe APT29, qui a utilisé des domaines trompeurs pour cibler les identifiants Windows via Microsoft Remote Desktop. CERT-UA a également averti d'une attaque à grande échelle, UAC-0218, visant à voler des informations sensibles par le biais d'emails de phishing contenant des archives RAR piégées. De plus, une campagne de type ClickFix a été identifiée, incitant les utilisateurs à exécuter un script PowerShell malveillant. CERT-UA estime que cette dernière provient d'un autre acteur de menace russe, APT28. Ces offensives s'inscrivent dans un contexte plus large d'attaques numériques contre l'Ukraine.
Sources :
Le ransomware Black Basta se fait passer pour un support informatique sur Microsoft Teams pour pirater les réseaux
Le ransomware Black Basta a récemment adapté ses attaques de social engineering en utilisant Microsoft Teams, se faisant passer pour le support informatique d'entreprise afin de cibler les employés. Actif depuis avril 2022, Black Basta a été responsable de nombreuses cyberattaques à l'échelle mondiale, notamment après la dissolution du syndicat de cybercriminalité Conti. Les membres de Black Basta exploitent diverses méthodes pour infiltrer les réseaux, y compris des vulnérabilités et des campagnes de phishing par e-mail. Dans une nouvelle campagne, les attaquants inondent les boîtes de réception des employés avec des e-mails non malveillants, puis les contactent via Teams en se faisant passer pour le support technique. Ils créent des comptes sous des identités trompeuses, souvent avec des noms incluant "Help Desk". L'objectif est de convaincre les employés d'installer des outils de support à distance comme AnyDesk ou Quick Assist, permettant ainsi aux attaquants d'accéder aux dispositifs des victimes. Une fois connectés, ils installent des malwares tels que Cobalt Strike pour étendre leur accès au réseau. ReliaQuest recommande aux organisations de restreindre les communications externes sur Teams et d'activer la journalisation pour détecter les activités suspectes.
Sources :
La Russie condamne les membres du ransomware REvil à plus de 4 ans de prison
La Russie a condamné quatre membres de l'opération de ransomware REvil à des peines de prison allant de 4,5 à 6 ans pour distribution de logiciels malveillants et circulation illégale de moyens de paiement. REvil, également connu sous le nom de Sodin et Sodinokibi, a été lancé en avril 2019 et est rapidement devenu l'un des groupes de ransomware les plus prolifiques, générant plus de 100 millions de dollars en un an. Cependant, après une attaque majeure en juillet 2021 contre plus de 1 500 entreprises via Kaseya, la pression internationale a conduit à une intervention. Le président Biden a demandé à son homologue russe, Vladimir Poutine, d'agir contre les cybercriminels en Russie. En janvier 2022, le Service fédéral de sécurité de la Russie (FSB) a démantelé le groupe REvil, entraînant l'arrestation de 14 membres et la saisie de 6,6 millions de dollars. Quatre membres condamnés, Artem Zayets, Alexey Malozemov, Daniil Puzyrevsky et Ruslan Khansvyarov, ont été reconnus coupables, tandis que quatre autres feront l'objet d'une procédure distincte pour accès illégal à des informations informatiques.
Sources :
Amazon saisit des domaines utilisés dans une campagne malveillante de bureau à distance pour voler des données
Amazon a saisi des domaines utilisés par le groupe de hackers russe APT29, également connu sous le nom de "Cozy Bear", dans le cadre d'attaques ciblées visant des organisations gouvernementales et militaires pour voler des identifiants Windows via des fichiers de connexion au protocole de bureau à distance (RDP) malveillants. Bien que les pages de phishing aient été conçues pour ressembler à des domaines AWS, Amazon précise qu'elle n'était pas la cible de ces attaques. APT29 a élargi son approche en envoyant des courriels de phishing à un plus grand nombre de cibles, en utilisant des thèmes liés à des problèmes d'intégration avec les services d'Amazon et de Microsoft. Les fichiers RDP, une fois ouverts, établissaient des connexions avec des serveurs contrôlés par les attaquants, permettant le partage des ressources locales, y compris les disques durs et les imprimantes. Cette campagne, qui a eu un impact significatif en Ukraine, a également visé d'autres pays considérés comme des adversaires de la Russie. Les experts recommandent de bloquer les fichiers '.rdp' et de restreindre les connexions RDP pour réduire la surface d'attaque. APT29 demeure une menace cybernétique majeure, exploitant des vulnérabilités pour cibler des organisations importantes à l'échelle mondiale.
Sources :
Free confirme une fuite de données, que peut faire le hacker avec vos infos personnelles
Free a informé ses clients d'une fuite de données résultant d'une cyberattaque ciblant un outil de gestion interne. Les informations compromises incluent des données personnelles telles que noms, prénoms, adresses email et postales, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et détails contractuels. Un cybercriminel a revendiqué l'attaque, affirmant avoir accès à des données de 5,1 millions de clients de Freebox, avec un total de 19 192 948 fiches clients en sa possession. Un échantillon de ces données a été publié sur un forum de hackers, une plateforme souvent utilisée pour échanger des fichiers volés. Les informations exposées peuvent être utilisées pour des campagnes de phishing, ciblant particulièrement les adresses email et numéros de téléphone récupérés. Les victimes potentielles doivent faire preuve de vigilance face à d'éventuelles tentatives d'usurpation d'identité, notamment en vérifiant l'authenticité des communications reçues. En cas de doute, il est conseillé de ne pas cliquer sur les liens suspects et de contacter directement l'expéditeur. Cette situation souligne l'importance de la cybersécurité et de la protection des données personnelles.
