Les États-Unis sanctionnent une société chinoise pour piratage soutenu par l'État - Actus du 04/01/2025
Découvrez comment des chercheurs ont mis au jour une faille critique dans les noyaux, facilitant le contournement des signatures et l'exécution de code malveillant. Explorez l'essor de PLAYFULGHOST par phishing et SEO toxique, et les sanctions US contre une entreprise chinoise de cybersécurité.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des chercheurs découvrent une vulnérabilité des noyaux permettant le contournement de signature et l'exécution de code
Une vulnérabilité de haute gravité a été révélée dans Nuclei, un scanner de vulnérabilités open-source de ProjectDiscovery, permettant aux attaquants de contourner les vérifications de signature et d'exécuter potentiellement du code malveillant. Suivie sous le nom CVE-2024-43405, elle a un score CVSS de 7,4 et affecte toutes les versions de Nuclei supérieures à 3.0.0. La faille provient d'une incohérence entre le processus de vérification des signatures et le parseur YAML concernant les caractères de nouvelle ligne, ce qui permet à un attaquant d'injecter du contenu malveillant dans un modèle tout en conservant une signature valide pour la partie bénigne. Nuclei utilise des fichiers YAML pour envoyer des requêtes spécifiques afin d'identifier des failles de sécurité. La société Wiz, qui a découvert cette vulnérabilité, souligne que la vérification des signatures est le seul moyen de valider les modèles, représentant ainsi un point de défaillance potentiel. La vulnérabilité a été corrigée par ProjectDiscovery le 4 septembre 2024 avec la version 3.3.2. Les attaquants pourraient exploiter cette faille en exécutant des modèles malveillants, entraînant une exécution de commandes arbitraires ou une compromission du système.
Sources :
PLAYFULGHOST diffusé via le phishing et l'empoisonnement SEO dans les applications VPN trojanisées
Des chercheurs en cybersécurité ont identifié un nouveau malware nommé PLAYFULGHOST, qui possède de nombreuses fonctionnalités de collecte d'informations, telles que le keylogging, la capture d'écran, l'enregistrement audio, un shell distant et le transfert/exécution de fichiers. Selon l'équipe de Google Managed Defense, ce backdoor présente des similitudes fonctionnelles avec un outil d'administration à distance connu, Gh0st RAT, dont le code source a été divulgué en 2008. Les vecteurs d'accès initiaux incluent des emails de phishing et des techniques de SEO poisoning pour distribuer des versions trojanisées d'applications VPN légitimes comme LetsVPN. Une méthode de phishing implique l'ouverture d'une archive RAR malveillante déguisée en fichier image. PLAYFULGHOST utilise des techniques telles que le détournement de l'ordre de recherche DLL et le side-loading pour s'exécuter. Il peut établir une persistance sur l'hôte par plusieurs méthodes et collecte des données variées, y compris des frappes au clavier et des informations sur les comptes QQ. De plus, il peut effacer des journaux d'événements Windows et supprimer des données de navigateurs et d'applications de messagerie. Des outils comme Mimikatz et un rootkit sont également déployés via PLAYFULGHOST, ciblant potentiellement des utilisateurs de Windows parlant chinois.
Sources :
Les États-Unis sanctionnent une société chinoise de cybersécurité pour ses campagnes de piratage informatique soutenues par l'État
Le département du Trésor américain, par l'intermédiaire de l'Office of Foreign Assets Control (OFAC), a imposé des sanctions à l'encontre de la société de cybersécurité basée à Pékin, Integrity Technology Group, pour son rôle dans des cyberattaques contre des victimes américaines. Ces attaques sont attribuées à un acteur de menace soutenu par l'État chinois, connu sous le nom de Flax Typhoon, qui opère un botnet IoT appelé Raptor Train depuis au moins 2021. Flax Typhoon a ciblé divers secteurs en Amérique du Nord, en Europe, en Afrique et en Asie, exploitant des vulnérabilités connues pour accéder aux systèmes des victimes et utilisant des logiciels d'accès à distance légitimes pour maintenir un accès persistant. Le département du Trésor a qualifié ces acteurs malveillants chinois de menaces sérieuses pour la sécurité nationale des États-Unis. Integrity Group, également connu sous le nom de Yongxin Zhicheng, est accusé d'avoir soutenu les campagnes de Flax Typhoon entre 2022 et 2023 et est lié au ministère de la Sécurité d'État de la République populaire de Chine. Le département d'État a souligné que ces hackers ont ciblé de nombreuses entreprises, universités et agences gouvernementales américaines et étrangères.
Sources :
Les mauvaises mises à jour du plugin Tenable font tomber les agents Nessus dans le monde entier
Le 3 janvier 2025, Tenable a annoncé que des mises à jour défectueuses de plugins avaient mis hors ligne des agents de scan de vulnérabilités Nessus dans le monde entier, affectant les versions 10.8.0 et 10.8.1. Les utilisateurs concernés, répartis en Amérique, en Europe et en Asie, doivent procéder à une mise à jour manuelle vers la version 10.8.2 ou revenir à la version 10.7.3 pour rétablir le fonctionnement de leurs agents. Tenable a suspendu les mises à jour des plugins pour éviter d'autres problèmes et a publié un rapport d'incident détaillant la situation. Les clients utilisant des profils d'agents doivent également réinitialiser les plugins pour récupérer les agents hors ligne. Ce problème survient après un incident similaire en juillet 2024, où une mise à jour défectueuse de CrowdStrike a causé des pannes massives, affectant de nombreuses organisations. Les commentaires des utilisateurs soulignent une tendance inquiétante concernant le manque de tests adéquats avant les déploiements majeurs, suggérant que la pression concurrentielle pourrait être en cause. Tenable prévoit de reprendre la distribution des plugins d'ici la fin de la journée.
Sources :
Les États-Unis sanctionnent une entreprise chinoise liée aux pirates informatiques de Flax Typhoon
Le 3 janvier 2025, le département du Trésor américain a sanctionné la société de cybersécurité basée à Pékin, Integrity Tech, en raison de son implication dans des cyberattaques attribuées au groupe de hackers parrainé par l'État chinois, Flax Typhoon. Selon l'Office of Foreign Assets Control (OFAC), les hackers ont utilisé l'infrastructure d'Integrity Tech pour cibler des réseaux en Europe et aux États-Unis pendant plus d'un an, à partir de l'été 2022. Flax Typhoon a exploité des logiciels de réseau privé virtuel et des protocoles de bureau à distance pour mener ses attaques, compromettant même des serveurs en Californie à l'été 2023. Ces sanctions font suite à une opération en septembre 2024 visant à perturber un botnet, "Raptor Train", contrôlé par Integrity Tech, qui a infecté plus de 260 000 dispositifs. Integrity Tech, un important contractant du gouvernement chinois, est accusé de travailler sous la direction du gouvernement pour cibler des infrastructures critiques aux États-Unis et à l'étranger. Les sanctions interdisent aux organisations et citoyens américains d'effectuer des transactions avec Integrity Tech, et tout actif associé sera gelé.
