Les pirates exploitent une vulnérabilité PHP pour déployer une porte dérobée Msupedge - Actus du 20/08/2024
Découvrez comment les États-Unis alertent sur l'escalade des cyber-opérations iraniennes, l'exploitation d'une faille PHP par des pirates pour installer une porte dérobée Msupedge, et l'anatomie détaillée de ces attaques. Protégez vos données dès maintenant!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les États-Unis mettent en garde contre l'escalade des opérations d'influence menées par des pirates informatiques iraniens
Le gouvernement américain met en garde contre une intensification des opérations de cyber-influence menées par l'Iran en vue des élections présidentielles. Dans une déclaration conjointe de l'Office of the Director of National Intelligence (ODNI), du FBI et de la Cybersecurity and Infrastructure Security Agency (CISA), il est affirmé que l'Iran a mené des cyberattaques pour accéder à des informations sensibles liées aux élections américaines. L'avis souligne l'intention de Téhéran de semer le doute sur l'intégrité des institutions démocratiques et de mener des activités cybernétiques agressives pour collecter des renseignements. Les autorités américaines notent que l'Iran considère ces élections comme cruciales pour ses intérêts de sécurité nationale, ce qui accroît sa volonté d'influencer les résultats. Des attaques récentes, attribuées à des acteurs soutenus par l'État iranien, ont visé la campagne de l'ancien président Trump, entraînant le vol et la divulgation d'informations confidentielles. Par ailleurs, des opérations de désinformation ont été signalées, et OpenAI a interrompu une opération d'influence iranienne utilisant ChatGPT. Les autorités encouragent les acteurs impliqués dans les élections à signaler toute activité suspecte. Le FBI assure que la sécurité du vote ne sera pas compromise malgré ces menaces.
Sources :
Des pirates informatiques exploitent une vulnérabilité PHP pour déployer une porte dérobée furtive Msupedge
Un nouveau backdoor, nommé Msupedge, a été utilisé dans une cyberattaque ciblant une université non nommée à Taïwan. Selon l'équipe de Symantec, ce backdoor se distingue par sa communication avec un serveur de commande et de contrôle (C&C) via le trafic DNS. Les origines de Msupedge et les objectifs de l'attaque restent inconnus. L'accès initial aurait été facilité par l'exploitation d'une vulnérabilité critique récemment divulguée dans PHP (CVE-2024-4577, score CVSS : 9.8), permettant une exécution de code à distance. Msupedge est une bibliothèque dynamique (DLL) installée dans des chemins spécifiques, dont l'un est lancé par le serveur HTTP Apache. Ce backdoor utilise le tunneling DNS pour communiquer avec le serveur C&C, en se basant sur l'outil open-source dnscat2. Il reçoit des commandes par résolution de nom, utilisant l'adresse IP résolue du serveur C&C (ctl.msedeapi[.]net) pour déterminer son comportement. Les commandes incluent la création de processus, le téléchargement de fichiers et la gestion de fichiers temporaires. Parallèlement, le groupe de menaces UTG-Q-010 est lié à une campagne de phishing utilisant le malware open-source Pupy RAT.
Sources :
Anatomie d'une attaque
Dans le paysage actuel des menaces cybernétiques, les organisations sont confrontées à des attaques de plus en plus sophistiquées ciblant leurs applications, notamment via des vulnérabilités comme celles liées à Log4j. Le programme CVE, géré par MITRE, catalogue ces failles de sécurité, facilitant le partage d'informations entre professionnels de l'IT. Les attaquants exploitent souvent des vulnérabilités pour obtenir un accès initial, puis cherchent à escalader leurs privilèges. Les pare-feu d'application web (WAF) se concentrent sur le trafic réseau, mais peuvent manquer des comportements spécifiques aux applications. Pour pallier ces lacunes, l'Application Detection and Response (ADR) offre une détection contextuelle, permettant de distinguer les actions légitimes des menaces réelles, réduisant ainsi les faux positifs. En cas de détection d'une exploitation potentielle, comme celle de Log4Shell, l'ADR déclenche une réponse alignée sur le cadre de cybersécurité NIST, incluant l'analyse continue des vulnérabilités. En intégrant l'ADR dans les systèmes SIEM/SOAR/XDR, les organisations améliorent leur détection des menaces, leur réponse aux incidents et leur gestion des vulnérabilités, renforçant ainsi leur posture de sécurité globale face aux menaces émergentes.
Sources :
Des chercheurs découvrent une attaque Bootstrap TLS sur les clusters Azure Kubernetes
Des chercheurs en cybersécurité ont révélé une vulnérabilité affectant les services Kubernetes d'Azure de Microsoft, permettant à un attaquant d'escalader ses privilèges et d'accéder aux identifiants des services utilisés par le cluster. Selon Mandiant, un attaquant ayant la possibilité d'exécuter des commandes dans un Pod d'un cluster vulnérable pourrait télécharger la configuration du nœud du cluster, extraire les jetons de sécurité TLS et réaliser une attaque de bootstrap TLS pour lire tous les secrets du cluster. Les clusters utilisant "Azure CNI" et "Azure" pour la configuration réseau sont concernés. Microsoft a corrigé cette faille après une divulgation responsable. La technique d'attaque repose sur l'accès à un composant peu connu, Azure WireServer, pour demander une clé utilisée pour chiffrer des valeurs protégées. Les chercheurs ont également signalé une autre vulnérabilité critique (CVE-2024-7646) dans le contrôleur ingress-nginx, permettant à un acteur malveillant d'injecter du contenu malveillant et d'accéder aux ressources sensibles du cluster. De plus, une faille de conception dans le projet git-sync de Kubernetes pourrait permettre l'exécution de commandes sur plusieurs services Kubernetes, soulignant l'importance de la validation des entrées pour prévenir de telles attaques.
Sources :
Le groupe cybernétique iranien TA453 cible un dirigeant juif avec le nouveau malware AnvilEcho
Des acteurs de menace soutenus par l'État iranien, identifiés sous le nom TA453, ont lancé des campagnes de spear-phishing ciblant une figure juive éminente depuis fin juillet 2024. Ces attaques visent à déployer un nouvel outil de collecte de renseignements, AnvilEcho, via des courriels trompeurs. TA453 est lié aux Gardiens de la Révolution islamique d'Iran (IRGC) et s'inscrit dans une stratégie de phishing ciblée pour soutenir les priorités politiques et militaires du pays. Les chercheurs de Proofpoint ont observé que ces campagnes utilisent des techniques de manipulation sociale, se faisant passer pour des entités légitimes afin d'établir la confiance avec les victimes. Les attaques récentes impliquaient des invitations à un podcast, suivies de liens malveillants vers des fichiers ZIP contenant des raccourcis Windows pour livrer le kit d'outils BlackSmith. AnvilEcho, successeur probable des implants PowerShell, permet des fonctions telles que la reconnaissance système et le téléchargement de fichiers sensibles. Ces efforts s'inscrivent dans une tendance plus large de l'IRGC à cibler des politiciens, des défenseurs des droits humains et des universitaires, reflétant des priorités d'intelligence persistantes. Parallèlement, une nouvelle souche de malware, Cyclops, a été identifiée, indiquant une adaptation continue des acteurs de menace.
Sources :
Google s'engage à renforcer la confidentialité avec Gemini AI
Face aux préoccupations concernant la confidentialité liées à l'assistant AI Gemini de Google sur les appareils Android, la société a annoncé qu'elle clarifierait ses politiques. Google prévoit de publier un document détaillé expliquant comment il protégera les données des utilisateurs d'Android avec Gemini AI. Anciennement connu sous le nom de "Bard", Gemini AI a récemment gagné en popularité, offrant divers services alimentés par l'IA, tels que l'écriture et le brainstorming. Cependant, les utilisateurs s'inquiètent de l'impact de leurs interactions sur leur vie privée, surtout compte tenu de la réputation de Google en matière de collecte de données. Pour apaiser ces craintes, Google a promis de partager des informations sur la manière dont Gemini AI gère les données sensibles. Selon les déclarations de l'entreprise, Gemini traite les données privées des utilisateurs sans impliquer de tiers, et les données sensibles restent stockées sur l'appareil de l'utilisateur. De plus, les données traitées dans le cloud ou sur l'appareil sont sécurisées au sein de l'architecture de Google. Google a également annoncé des améliorations de fonctionnalités pour enrichir l'expérience utilisateur. Un document explicatif sur les pratiques de confidentialité de Gemini AI sera bientôt disponible.
Sources :
Les appareils Google Pixel sont vulnérables en raison d'une application préinstallée
Des chercheurs en sécurité ont découvert une vulnérabilité affectant les appareils Google Pixel depuis plusieurs années, liée à un package d'application Android préinstallé, "Showcase.apk". Ce dernier, développé par Smith Micro, possède des privilèges système excessifs, permettant des attaques d'exécution de code à distance. Bien que l'application ne soit pas malveillante en soi, elle présente des risques, comme la récupération de fichiers de configuration via une connexion HTTP non sécurisée. Son intégration au niveau du firmware rend difficile sa suppression par l'utilisateur. Les chercheurs ont averti Google, qui a confirmé qu'il prévoit de corriger ce problème dans de futures mises à jour, tout en précisant que l'exploitation de cette vulnérabilité nécessite un accès physique au dispositif et le mot de passe de l'utilisateur. Google a également indiqué que l'application est désactivée par défaut sur la plupart des appareils et qu'elle n'est pas présente sur les modèles Pixel 9. Les utilisateurs sont encouragés à mettre à jour leurs appareils dès que des mises à jour système sont disponibles pour minimiser les risques. Les chercheurs ont publié des détails supplémentaires sur cette vulnérabilité dans un rapport distinct.
Sources :
Les pirates de Blind Eagle exploitent le spear-phishing pour déployer des RAT en Amérique latine
Des chercheurs en cybersécurité ont identifié un acteur malveillant nommé Blind Eagle, qui cible de manière persistante des entités et des individus en Colombie, Équateur, Chili, Panama et d'autres pays d'Amérique latine. Actif depuis au moins 2018, ce groupe, également connu sous le nom d'APT-C-36, s'attaque à divers secteurs, notamment les institutions gouvernementales et les entreprises financières. Blind Eagle utilise des techniques de spear-phishing pour distribuer des chevaux de Troie d'accès à distance tels qu'AsyncRAT et NjRAT. Les attaques commencent par des courriels frauduleux se faisant passer pour des institutions légitimes, incitant les victimes à cliquer sur des liens malveillants. Ces liens redirigent les utilisateurs vers des sites contrôlés par les attaquants, où un chargeur de malware, comme Ande Loader, est utilisé pour déployer des RAT. Le groupe utilise des techniques d'injection de processus pour exécuter des malwares en mémoire, évitant ainsi les défenses basées sur les processus. Blind Eagle démontre une grande adaptabilité, modifiant ses campagnes pour mener des opérations d'espionnage ou de vol de données financières, ce qui en fait une menace significative dans la région.
Sources :
Des milliers de sites Oracle NetSuite risquent de divulguer des informations sur leurs clients
Des chercheurs en cybersécurité alertent sur la découverte de milliers de sites e-commerce Oracle NetSuite exposés à des fuites d'informations sensibles. Selon Aaron Costello d'AppOmni, un problème potentiel dans la plateforme SuiteCommerce permettrait aux attaquants d'accéder à des données sensibles en raison de contrôles d'accès mal configurés sur des types d'enregistrements personnalisés (CRTs). Il est important de noter que ce problème ne réside pas dans le produit NetSuite lui-même, mais dans une mauvaise configuration par les clients, entraînant la divulgation d'adresses complètes et de numéros de téléphone mobile de clients enregistrés. L'attaque exploite des CRTs avec des contrôles d'accès de niveau table définis sur "Aucune permission requise", permettant aux utilisateurs non authentifiés d'accéder aux données via les API d'enregistrement et de recherche de NetSuite. Pour atténuer ce risque, il est conseillé aux administrateurs de renforcer les contrôles d'accès sur les CRTs et de restreindre l'accès public aux champs sensibles. Parallèlement, Cymulate a révélé une méthode pour manipuler le processus de validation des identifiants dans Microsoft Entra ID, permettant aux attaquants d'accéder à des privilèges élevés, nécessitant toutefois un accès administrateur sur un serveur hôte d'un agent d'authentification.
Sources :
La CISA met en garde contre une vulnérabilité critique de Jenkins exploitée dans des attaques de ransomware
L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a ajouté une vulnérabilité critique affectant Jenkins à son catalogue des vulnérabilités exploitées, suite à son exploitation dans des attaques par ransomware. Suivie sous le nom CVE-2024-23897 (score CVSS : 9.8), cette faille de traversée de chemin pourrait permettre l'exécution de code. Selon CISA, la vulnérabilité dans l'interface de ligne de commande (CLI) de Jenkins permet aux attaquants un accès limité à certains fichiers, pouvant mener à une exécution de code. Découverte par des chercheurs de Sonar en janvier 2024, elle a été corrigée dans les versions 2.442 et LTS 2.426.3 de Jenkins en désactivant la fonctionnalité de parsing de commandes. En mars, Trend Micro a signalé plusieurs attaques provenant des Pays-Bas, de Singapour et d'Allemagne, où des exploits d'exécution de code à distance étaient activement échangés. CloudSEK et Juniper Networks ont récemment révélé des cyberattaques exploitant cette vulnérabilité contre les entreprises BORN Group et Brontoo Technology Solutions, attribuées à des acteurs malveillants tels qu'IntelBroker et le gang de ransomware RansomExx. Les agences fédérales américaines ont jusqu'au 9 septembre 2024 pour appliquer les correctifs nécessaires.
Sources :
Un pilote Windows zero-day exploité par des pirates de Lazarus pour installer un rootkit
Le groupe de hackers nord-coréen Lazarus a exploité une vulnérabilité zero-day dans le pilote AFD.sys de Windows pour élever ses privilèges et installer le rootkit FUDModule sur des systèmes ciblés. Cette faille, identifiée comme CVE-2024-38193, a été corrigée par Microsoft lors de son Patch Tuesday d'août 2024, en même temps que sept autres vulnérabilités. Découverte par des chercheurs de Gen Digital, cette vulnérabilité permet aux attaquants d'accéder à des zones sensibles du système en utilisant des pilotes vulnérables, sans nécessiter l'installation de pilotes obsolètes. Ce qui rend cette faille particulièrement dangereuse est qu'elle se trouve dans un pilote installé par défaut sur tous les appareils Windows, facilitant ainsi l'attaque. Gen Digital a également lié cette exploitation à une campagne ciblant des professionnels de la cryptomonnaie au Brésil, où les hackers ont utilisé des offres d'emploi fictives pour distribuer un logiciel malveillant. Le groupe Lazarus est connu pour ses cyberattaques visant des entreprises financières et de cryptomonnaie, ayant été impliqué dans des vols de millions de dollars pour financer les programmes d'armement de la Corée du Nord. Les États-Unis offrent une récompense pour toute information sur leurs activités malveillantes.
Sources :
Toyota confirme une violation de sécurité après la fuite de données volées sur un forum de piratage
Toyota a confirmé une violation de ses systèmes après qu'un acteur malveillant a divulgué un archive de 240 Go de données volées sur un forum de hackers. La société a déclaré que la situation était limitée et qu'elle collaborait avec les personnes affectées. Les détails concernant la date de la découverte de la violation, la méthode d'accès de l'attaquant et le nombre de personnes touchées n'ont pas été précisés. Le groupe ZeroSevenGroup, responsable de la fuite, affirme avoir ciblé une branche américaine de Toyota, volant des informations sur les employés, les clients, ainsi que des contrats et des données financières. Ils ont également collecté des informations sur l'infrastructure réseau, y compris des identifiants, à l'aide de l'outil ADRecon. Bien que Toyota n'ait pas divulgué la date de la violation, des recherches indiquent que les fichiers ont été créés le 25 décembre 2022, suggérant un accès à un serveur de sauvegarde. Cette violation survient après plusieurs incidents de sécurité récents, dont une attaque par ransomware et des fuites de données personnelles de clients, ce qui a conduit Toyota à mettre en place un système de surveillance automatisé pour prévenir de futures violations.
Sources :
Les ransomwares génèrent un montant record de 450 millions de dollars au premier semestre 2024
Au cours du premier semestre 2024, les victimes de ransomware ont versé 459,8 millions de dollars aux cybercriminels, établissant un nouveau record qui pourrait dépasser les 1,1 milliard de dollars de l'année précédente si cette tendance se maintient. Malgré des opérations de répression significatives contre des groupes comme LockBit, les paiements ont augmenté de 2 % par rapport à 2023, en raison d'une stratégie des gangs de ransomware visant des organisations de grande taille pour obtenir des paiements plus élevés. Un paiement record de 75 millions de dollars a été effectué par une entreprise du Fortune 50, soulignant cette tendance. Le paiement médian a également grimpé, passant de moins de 199 000 dollars en 2023 à 1,5 million de dollars en juin 2024. Bien que le nombre d'attaques confirmées ait augmenté de 10 % par rapport à l'année précédente, le taux de paiement des rançons a diminué, avec seulement 28 % des victimes choisissant de payer. Parallèlement, le vol de cryptomonnaies a doublé, atteignant 1,58 milliard de dollars, mais l'activité illicite sur la blockchain a diminué de 20 %, indiquant une adoption croissante de l'utilisation légitime des cryptomonnaies.
Sources :
La CISA met en garde contre un bug Jenkins RCE exploité dans des attaques de ransomware
CISA a récemment ajouté une vulnérabilité critique de Jenkins, identifiée comme CVE-2024-23897, à son catalogue de bugs de sécurité, soulignant qu'elle est activement exploitée dans des attaques de ransomware. Jenkins, un serveur d'automatisation open-source, est utilisé pour automatiser le développement logiciel. Cette faille permet à des attaquants non authentifiés d'accéder à des fichiers arbitraires sur le système de fichiers du contrôleur Jenkins via l'interface de ligne de commande. La vulnérabilité est due à une faiblesse dans le parseur de commandes args4j, qui remplace un caractère @ suivi d'un chemin de fichier par le contenu du fichier, une fonctionnalité activée par défaut dans les versions vulnérables. Après la publication de correctifs en janvier, des exploits de preuve de concept ont rapidement émergé, et plus de 28 000 instances de Jenkins exposées ont été identifiées, principalement en Chine et aux États-Unis. Des groupes de ransomware, comme RansomEXX, ont déjà exploité cette vulnérabilité pour attaquer des entreprises, entraînant des perturbations majeures. CISA a donc exhorté toutes les organisations à corriger cette faille pour éviter des attaques potentielles. Les agences fédérales ont jusqu'au 9 septembre pour sécuriser leurs serveurs Jenkins.
Sources :
Des pirates informatiques liés au vol de cryptomonnaies Holograph de 14 millions de dollars arrêtés en Italie
Quatre hackers soupçonnés d'être impliqués dans le vol de 14 millions de dollars de cryptomonnaie de la plateforme Holograph ont été arrêtés en Italie, où ils menaient une vie luxueuse. Selon la police nationale italienne, ces individus résidaient dans une villa à Salerne. Holograph, une entreprise basée aux îles Caïmans, a été victime d'une exploitation d'une faille dans un contrat intelligent le 13 juin 2024, permettant aux malfaiteurs de créer arbitrairement 1 milliard de tokens HLG et de retirer la somme en neuf transactions. Après l'incident, la valeur des tokens a chuté de plus de 80 %. Les enquêtes ont révélé que le hack avait été orchestré par un ancien développeur ayant une connaissance interne du protocole. Grâce à la coopération avec la police nationale française, deux des suspects ont été arrêtés et sont en attente d'extradition, tandis que les deux autres restent libres. Les forces de l'ordre ont également saisi des clés de portefeuilles de cryptomonnaie et divers appareils électroniques pour les examiner. Suite aux arrestations, le prix du HLG a augmenté de 28,3 % en 24 heures, bien qu'il reste inférieur aux niveaux d'avant le vol.
