Le rootkit Linux Pumakit utilise des techniques de furtivité avancées pour échapper à la détection - Actus du 13/12/2024
Découvrez comment l'Allemagne lutte contre le malware BadBox sur Android, explorez les menaces d'IOCONTROL sur SCADA et IoT Linux liés à l'Iran, et apprenez à créer un rapport RFM CrowdStrike avec l'IA dans Tines. Ne manquez pas ces insights vitaux en cybersécurité !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
L'Allemagne a préchargé le malware BadBox sur les appareils Android
L'Office fédéral de la sécurité de l'information d'Allemagne (BSI) a interrompu l'opération de malware BadBox, préinstallé sur plus de 30 000 appareils IoT Android vendus dans le pays, tels que des cadres photo numériques et des lecteurs multimédias. Ce malware, intégré dans le firmware des appareils, permet de voler des données, d'installer d'autres malwares et d'accéder à distance au réseau de l'utilisateur. Lorsqu'un appareil infecté se connecte à Internet, BadBox communique avec un serveur de commande et de contrôle (C2) pour recevoir des instructions malveillantes et transmettre des données volées. Le BSI a mis en place une mesure de sinkholing, redirigeant les communications vers des serveurs contrôlés par la police, empêchant ainsi le malware de fonctionner. Les propriétaires d'appareils affectés seront informés par leur fournisseur d'accès Internet et doivent déconnecter leurs appareils. Le BSI souligne que ces dispositifs fonctionnaient avec des versions obsolètes d'Android, les rendant vulnérables à d'autres malwares. Il appelle les fabricants à garantir la sécurité des appareils et conseille aux consommateurs de privilégier la cybersécurité lors de l'achat. Des signes d'infection incluent une surchauffe et des performances anormales.
Sources :
Le malware IOCONTROL lié à l'Iran cible les plateformes SCADA et IoT basées sur Linux
Des acteurs de menace affiliés à l'Iran ont développé un nouveau malware, nommé IOCONTROL, ciblant les environnements IoT et de technologie opérationnelle (OT) en Israël et aux États-Unis. Ce malware, conçu pour attaquer des dispositifs tels que des caméras IP, des routeurs et des contrôleurs logiques programmables (PLC), est suffisamment générique pour fonctionner sur diverses plateformes grâce à sa configuration modulaire. IOCONTROL devient ainsi la dixième famille de malwares à cibler spécifiquement les systèmes de contrôle industriel (ICS), après des menaces notables comme Stuxnet et Industroyer. Claroty a analysé un échantillon de malware extrait d'un système de gestion de carburant Gasboy, compromis par le groupe Cyber Av3ngers, qui a exploité des PLC Unitronics pour infiltrer des systèmes d'eau. Ce malware permet aux acteurs de menace de contrôler le terminal de paiement, menaçant ainsi les services de carburant et la sécurité des données des clients. IOCONTROL utilise le protocole MQTT pour masquer le trafic malveillant et résout les domaines de commande et de contrôle via le service DNS-over-HTTPS de Cloudflare, rendant sa détection plus difficile. Une fois connecté, il collecte des informations sur le dispositif et exécute des commandes à distance.
Sources :
Comment générer un rapport RFM CrowdStrike avec l'IA dans Tines
La bibliothèque Tines, gérée par l'équipe de la plateforme d'orchestration, d'IA et d'automatisation Tines, propose des workflows préconstruits partagés par des praticiens de la sécurité. Ces workflows, accessibles gratuitement via l'édition communautaire, illustrent des applications pratiques des modèles de langage (LLMs) pour résoudre des défis complexes en opérations de sécurité. Un exemple notable est le travail de Tom Power, analyste de sécurité à l'Université de Colombie-Britannique, qui a développé un workflow pour automatiser la création de rapports liés au mode de fonctionnalité réduite (RFM) du capteur CrowdStrike Falcon. Ce processus, auparavant manuel et chronophage, est désormais optimisé grâce à l'IA de Tines, permettant aux analystes de soumettre des demandes via un formulaire web. En quelques minutes, le workflow récupère et traite les données, générant un rapport par email avec des insights détaillés. Ce système libère les analystes pour des tâches de cybersécurité prioritaires et s'intègre à l'API de CrowdStrike pour fournir des rapports RFM. Bien que d'autres plateformes d'automatisation sans code puissent être utilisées, certaines fonctionnalités de Tines, comme l'Automatic Mode, sont uniques et améliorent l'efficacité du processus.
Sources :
Le nouveau rootkit Linux PUMAKIT utilise des techniques de furtivité avancées pour échapper à la détection
Des chercheurs en cybersécurité ont découvert un nouveau rootkit Linux nommé PUMAKIT, capable d'escalader les privilèges, de cacher des fichiers et de se dissimuler des outils système tout en évitant la détection. Selon un rapport technique d'Elastic Security Lab, PUMAKIT est un module de noyau chargeable (LKM) sophistiqué qui utilise des mécanismes de furtivité avancés pour masquer sa présence et maintenir la communication avec des serveurs de commande et de contrôle. L'analyse repose sur des artefacts téléchargés sur la plateforme de scan de malwares VirusTotal. Le malware adopte une architecture multi-niveaux comprenant un composant dropper nommé "cron", deux exécutables résidents en mémoire, un rootkit LKM ("puma.ko") et un rootkit utilisateur partagé ("lib64/libs.so"). Il exploite la fonction interne de traçage du noyau Linux pour intercepter jusqu'à 18 appels système différents. PUMAKIT s'active uniquement lorsque certaines conditions sont remplies, comme des vérifications de démarrage sécurisé. Chaque étape de la chaîne d'infection est conçue pour dissimuler le malware, soulignant la sophistication croissante des menaces ciblant les systèmes Linux. PUMAKIT n'a pas encore été attribué à un acteur malveillant connu.
Sources :
Le FBI a arrêté Rydox Marketplace pour 7 600 ventes de PII et une cryptomonnaie d'une valeur de 225 000 $ saisie
Le ministère américain de la Justice (DoJ) a annoncé la fermeture du marché Rydox, spécialisé dans la vente d'informations personnelles volées et d'outils de cybercriminalité, ayant généré au moins 230 000 dollars depuis 2016. Rydox a réalisé plus de 7 600 ventes, incluant des informations de cartes de crédit et des identifiants de connexion. Les utilisateurs de la plateforme devaient payer des frais d'inscription et touchaient 60 % des ventes. Parallèlement, Abiola Kayode, un Nigérian, a été extradé aux États-Unis pour son rôle dans un schéma de compromission d'emails d'entreprise ayant causé des pertes de plus de 6 millions de dollars. En Espagne, une opération conjointe a permis d'arrêter 83 personnes impliquées dans une escroquerie par vishing, ayant trompé plus de 10 000 clients bancaires. En Russie, le FSB a arrêté 11 membres d'un groupe criminel opérant des centres d'appels, générant un million de dollars par jour grâce à des fraudes financières à grande échelle. Ces actions s'inscrivent dans une lutte internationale contre la cybercriminalité, impliquant plusieurs pays et agences de sécurité.
Sources :
Un nouveau malware rootkit furtif Pumakit Linux repéré dans la nature
Un nouveau malware rootkit Linux, nommé Pumakit, a été découvert, utilisant des techniques avancées de dissimulation et d'escalade de privilèges pour se cacher sur les systèmes. Ce malware se compose de plusieurs éléments, dont un dropper, des exécutables résidents en mémoire, un module rootkit du noyau et un rootkit en espace utilisateur. Identifié par Elastic Security dans un binaire suspect sur VirusTotal, Pumakit cible principalement les infrastructures critiques et les systèmes d'entreprise pour des opérations d'espionnage et de vol financier. Le processus d'infection commence par un dropper appelé 'cron', qui exécute des charges utiles directement en mémoire. Le rootkit LKM ('puma.ko') est déployé dans le noyau après des vérifications environnementales. Pumakit exploite la fonction 'kallsymslookupname()' pour manipuler le comportement du système, ciblant spécifiquement les noyaux Linux antérieurs à la version 5.7. Il intercepte 18 appels système et utilise 'ftrace' pour obtenir des privilèges élevés, tout en cachant sa présence et celle des fichiers malveillants. Le rootkit en espace utilisateur, Kitsune SO, renforce cette dissimulation en altérant les appels système visibles par l'utilisateur et en gérant les communications avec le serveur de commande et contrôle.
Sources :
La police ferme le marché de la cybercriminalité Rydox et arrête 3 administrateurs
Les forces de l'ordre albanaises ont fermé le marché de cybercriminalité Rydox et arrêté trois de ses administrateurs, en collaboration avec des partenaires internationaux. Les Kosovars Ardit Kutleshi, Jetmir Kutleshi et Shpend Sokoli ont été appréhendés par la police du Kosovo et le Bureau spécial anti-corruption d'Albanie. Les deux premiers sont inculpés par le département américain de la Justice pour leur rôle dans les opérations de Rydox et attendent leur extradition vers les États-Unis. Ils font face à de multiples accusations, notamment de vol d'identité et de blanchiment d'argent, avec des peines potentielles allant jusqu'à 20 ans. Depuis 2016, Rydox a facilité plus de 7 600 ventes d'informations personnelles volées et a proposé plus de 321 000 produits liés à la cybercriminalité à plus de 18 000 utilisateurs. Les utilisateurs devaient déposer des cryptomonnaies pour effectuer des achats, tandis que Rydox prélevait une commission sur les ventes. Les autorités américaines ont également saisi le domaine Rydox.cc et environ 225 000 dollars en cryptomonnaies. Cette opération a été menée avec l'aide de plusieurs agences, dont le FBI et la police royale malaisienne.
Sources :
Nouveau malware IOCONTROL utilisé dans les attaques d'infrastructures critiques
Des acteurs de menace iraniens utilisent un nouveau malware nommé IOCONTROL pour cibler des dispositifs IoT et des systèmes OT/SCADA dans les infrastructures critiques d'Israël et des États-Unis. Ce malware, qui peut compromettre divers appareils tels que des routeurs, des contrôleurs logiques programmables (PLC) et des systèmes de gestion de carburant, est modulable et adaptable à de nombreux fabricants. Les chercheurs de Claroty, qui ont analysé IOCONTROL, le qualifient d'arme cybernétique d'État capable de provoquer des perturbations significatives. Les attaques, qui ont eu lieu fin 2023 et se sont intensifiées en 2024, ont été revendiquées par un groupe de hackers iraniens, CyberAv3ngers, qui s'intéresse aux systèmes industriels. IOCONTROL peut contrôler des pompes et des terminaux de paiement, et les acteurs de menace affirment avoir compromis 200 stations-service. Le malware utilise des techniques avancées pour communiquer avec son serveur de commande et de contrôle, tout en évitant la détection. Les capacités d'IOCONTROL incluent l'exécution de commandes arbitraires, l'auto-suppression et la numérisation de ports. Le rapport de Claroty fournit des indicateurs de compromission pour aider à identifier et bloquer cette menace.
Sources :
Les États-Unis offrent 5 millions de dollars pour obtenir des informations sur les fermes d'informaticiens nord-coréennes
Le département d'État américain propose une récompense allant jusqu'à 5 millions de dollars pour des informations permettant de perturber les activités des entreprises et des travailleurs informatiques nord-coréens, qui ont généré plus de 88 millions de dollars grâce à des schémas de travail à distance illégaux en six ans. Ces fonds, obtenus illégalement, sont blanchis en violation des sanctions internationales et renvoyés au régime de Pyongyang pour soutenir ses programmes nucléaires interdits par l'ONU. Les travailleurs informatiques nord-coréens peuvent gagner jusqu'à 300 000 dollars par an, ce qui représente des centaines de millions de dollars collectivement. Ils utilisent des identités volées de citoyens américains pour obtenir des emplois à distance et créer des sites web trompeurs. Des opérations récentes ont conduit à la démolition de fermes informatiques nord-coréennes, et des arrestations ont eu lieu, comme celle d'une femme en Arizona. Malgré des vérifications d'antécédents, des acteurs malveillants ont réussi à infiltrer des entreprises américaines, soulignant la nécessité de renforcer la vérification des identités et la collaboration entre gouvernements et entreprises pour contrer ces menaces évolutives.
Sources :
Cleo corrige une faille zero-day critique exploitée dans des attaques de vol de données
Cleo a publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day dans ses logiciels LexiCom, VLTransfer et Harmony, actuellement exploitée dans des attaques de vol de données. En octobre, la société avait déjà corrigé une vulnérabilité de pré-authentification (CVE-2024-50623) et avait recommandé à tous les clients de mettre à jour immédiatement. Des chercheurs de Huntress ont détecté des attaques ciblant des logiciels Cleo entièrement corrigés dès le 3 décembre, avec une augmentation d'activité le 8 décembre, lorsque des attaquants ont contourné la correction existante, permettant l'exécution de commandes bash ou PowerShell. Cette faille est exploitée par le gang de ransomware Termite, lié à la violation du fournisseur SaaS Blue Yonder. Cleo a conseillé aux utilisateurs d'installer la version 5.8.0.24 pour sécuriser leurs serveurs exposés à Internet. En attendant, il est recommandé de désactiver la fonction Autorun pour réduire la surface d'attaque. Huntress a identifié au moins dix entreprises touchées, principalement dans le secteur de la vente au détail en Amérique du Nord. Ces attaques rappellent celles visant des vulnérabilités zero-day dans d'autres logiciels de transfert de fichiers.
Sources :
L'Espagne démantèle un réseau de phishing vocal qui a escroqué 10 000 clients bancaires
La police espagnole, en collaboration avec les autorités péruviennes, a démantelé un vaste réseau de phishing vocal (vishing) lors d'une opération simultanée, arrêtant 83 personnes. Parmi elles, 35 ont été interpellées en Espagne, notamment à Madrid, Barcelone et Mallorca, tandis que 48 autres l'ont été au Pérou. Le chef du réseau a également été capturé lors de ces 29 perquisitions, au cours desquelles des fonds, des téléphones, des ordinateurs et des documents ont été saisis. Les escrocs, qui ont trompé au moins 10 000 victimes pour un montant total de 3 millions d'euros, utilisaient des bases de données volées et des scripts de manipulation sociale pour se faire passer pour des banques. Grâce à la technologie de spoofing, ils faisaient apparaître leurs appels comme provenant de véritables établissements bancaires, ce qui renforçait leur crédibilité. Les victimes, convaincues de fraudes sur leurs comptes, étaient amenées à partager des codes de vérification, qui étaient ensuite utilisés pour retirer de l'argent dans des agences bancaires. La police recommande de ne jamais divulguer d'informations personnelles sans avoir vérifié l'identité de l'interlocuteur et rappelle que les banques ne demandent jamais de détails sensibles par téléphone.
