Liens entre hackers nord-coréens et vol de 308 millions en crypto-monnaies - Actus du 24/12/2024
Découvrez comment le FBI relie des pirates nord-coréens à un vol de 308 millions en crypto, la montée du ransomware Clop avec 66 nouvelles victimes, et l'identification de packages PyPI malveillants volant des frappes et comptes sociaux. Une plongée dans les cybermenaces actuelles!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le FBI lie des pirates informatiques nord-coréens à un vol de crypto-monnaies de 308 millions de dollars
Le groupe de hackers nord-coréen, connu sous le nom de TraderTraitor, a été lié à un vol de 308 millions de dollars en cryptomonnaies lors d'une attaque contre l'échange japonais DMM Bitcoin en mai 2024, selon le FBI. Cette attaque a contraint DMM à restreindre l'enregistrement des comptes, les retraits de cryptomonnaies et le trading jusqu'à la fin des enquêtes. L'attaque a commencé fin mars 2024, lorsqu'un hacker s'est fait passer pour un recruteur sur LinkedIn et a contacté un employé de Ginco, une entreprise japonaise de logiciels de portefeuille de cryptomonnaies. Le hacker a envoyé un code Python malveillant sous prétexte d'un test d'embauche, compromettant ainsi l'ordinateur de la victime et permettant à TraderTraitor d'accéder à Ginco, puis à DMM. En mai, les hackers ont exploité des informations de session pour se faire passer pour l'employé compromis, manipulant une demande de transaction légitime et entraînant la perte de 4 502,9 BTC. Les autorités américaines surveillent TraderTraitor depuis 2022, alors que le groupe ciblait le secteur de la blockchain avec des applications frauduleuses.
Sources :
Le ransomware Clop extorque désormais 66 victimes du vol de données Cleo
Le groupe de ransomware Clop a commencé à extorquer 66 victimes de vols de données liés à Cleo, leur donnant 48 heures pour répondre à leurs demandes. Les cybercriminels ont contacté directement ces entreprises, leur fournissant des liens vers un canal de discussion sécurisé pour négocier le paiement de la rançon. Sur leur site de fuite, Clop a publié des noms partiels d'entreprises qui n'ont pas engagé de négociations, menaçant de révéler leurs noms complets si elles restent silencieuses. Cette attaque a été rendue possible grâce à une vulnérabilité zero-day dans les produits Cleo LexiCom, VLTransfer et Harmony, permettant aux hackers d'accéder aux réseaux des entreprises ciblées. Clop a précédemment exploité des failles similaires dans d'autres plateformes de transfert de fichiers. La vulnérabilité actuelle, identifiée comme CVE-2024-50623, permet des téléchargements et des exécutions de code à distance. Bien qu'un correctif soit disponible, des chercheurs ont averti que celui-ci pourrait être contourné. Clop a également annoncé qu'il supprimerait les données des attaques précédentes pour se concentrer sur cette nouvelle vague d'extorsion. Actuellement, il est difficile d'évaluer le nombre total d'entreprises touchées, mais Cleo affirme que son logiciel est utilisé par plus de 4 000 organisations dans le monde.
Sources :
Des chercheurs découvrent des packages PyPI qui volent des frappes au clavier et détournent des comptes sociaux
Des chercheurs en cybersécurité de Fortinet FortiGuard Labs ont identifié deux paquets malveillants, zebo et cometlogger, sur le dépôt Python Package Index (PyPI), capables d'exfiltrer des informations sensibles. Ces paquets ont respectivement attiré 118 et 164 téléchargements avant d'être supprimés, principalement aux États-Unis, en Chine, en Russie et en Inde. Zebo, un malware typique, utilise des techniques d'obfuscation pour masquer l'URL de son serveur de commande et contrôle (C2) et intègre des fonctionnalités pour surveiller et exfiltrer des données, comme la capture de frappes et de captures d'écran, qu'il envoie à ImgBB. Il crée également un script batch pour s'assurer de son exécution automatique au démarrage de Windows. Cometlogger, quant à lui, siphonne une vaste gamme d'informations, y compris des cookies, mots de passe et données d'applications comme Discord et Instagram. Il collecte également des métadonnées système et des informations réseau, tout en évitant de s'exécuter dans des environnements virtualisés. Les chercheurs mettent en garde contre l'exécution de tels scripts, soulignant l'importance de vérifier le code avant de l'exécuter et d'éviter les sources non vérifiées.
Sources :
Le ransomware Clop menace 66 victimes de l'attaque Cleo avec une fuite de données
Le groupe de ransomware Clop a commencé à extorquer 66 entreprises victimes de vols de données via des attaques ciblant les produits Cleo. Sur leur portail du dark web, ils ont donné aux entreprises 48 heures pour répondre à leurs demandes de rançon, en fournissant des liens vers un canal de discussion sécurisé pour négocier le paiement. Les hackers ont listé des noms partiels des entreprises qui n'ont pas engagé de négociations, menaçant de révéler leurs noms complets si elles continuent d'ignorer leurs messages. Cette attaque a été facilitée par une vulnérabilité zero-day dans les produits Cleo, permettant aux cybercriminels de voler des données. Clop a précédemment exploité des failles dans d'autres plateformes de transfert de fichiers sécurisés. La vulnérabilité actuelle, identifiée comme CVE-2024-50623, permet des téléchargements et des exécutions de code à distance. Bien qu'un correctif soit disponible, des chercheurs ont averti que celui-ci pourrait être contourné. Clop a également annoncé qu'il supprimerait les données des attaques précédentes pour se concentrer sur cette nouvelle vague d'extorsion. Actuellement, il est difficile d'évaluer le nombre total d'entreprises compromises, mais Cleo affirme que son logiciel est utilisé par plus de 4 000 organisations dans le monde.
Sources :
Avis sur l’audit avec SE RANKING
Un référencement naturel efficace est crucial pour améliorer la visibilité d'un site sur les moteurs de recherche. Pour identifier les faiblesses et optimiser les performances, un audit SEO est indispensable. Cet audit permet de détecter les problèmes techniques et d'évaluer les opportunités d'amélioration. SE RANKING est une plateforme spécialisée qui offre une analyse SEO complète, facilitant la mise en place de stratégies efficaces et le suivi des concurrents. Elle s'adresse aux propriétaires de sites, agences et professionnels du SEO, leur fournissant des données d'analyse de trafic et des statistiques sur les réseaux sociaux. SE RANKING propose divers outils adaptés aux besoins spécifiques, tels que la recherche de mots-clés et l'analyse des backlinks. L'importance du référencement est particulièrement notable pour les professionnels du secteur énergétique, où une bonne optimisation peut aider à résoudre des problèmes de consommation partagée. En outre, SE RANKING simplifie la gestion des mots-clés, permettant un suivi précis du positionnement dans les résultats de recherche. Grâce à ses fonctionnalités avancées, SE RANKING se positionne comme un outil incontournable pour réussir son SEO et améliorer la visibilité en ligne.
Sources :
Des pirates informatiques nord-coréens ont réussi à voler 308 millions de dollars en bitcoins à la société de crypto-monnaie DMM Bitcoin
Les autorités japonaises et américaines ont attribué le vol de 308 millions de dollars en cryptomonnaies à DMM Bitcoin, survenu en mai 2024, à des acteurs cybernétiques nord-coréens. Ce vol est lié à l'activité de menace TraderTraitor, également connue sous les noms Jade Sleet, UNC4899 et Slow Pisces, qui se caractérise par des campagnes de social engineering ciblant simultanément plusieurs employés d'une même entreprise. L'alerte a été émise par le FBI, le Cyber Crime Center du Département de la Défense et la Police nationale du Japon. DMM Bitcoin a cessé ses opérations suite à cette attaque. TraderTraitor, actif depuis 2020, a une histoire de ciblage d'entreprises du secteur Web3, incitant les victimes à télécharger des applications de cryptomonnaie infectées. En mars 2024, les acteurs ont contacté un employé de Ginco, une société de portefeuille de cryptomonnaies, en se faisant passer pour un recruteur, ce qui a conduit à une compromission. En mai, ils ont utilisé les informations de session pour accéder aux systèmes de communication de Ginco, manipulant une demande de transaction légitime de DMM, entraînant le vol de 4 502,9 BTC. Les fonds volés ont été transférés vers des portefeuilles contrôlés par TraderTraitor.
Sources :
La CISA ajoute la vulnérabilité USAHERDS d'Acclaim au catalogue KEV en raison d'une exploitation active
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a récemment ajouté une vulnérabilité de haute sévérité, CVE-2021-44207, au catalogue des vulnérabilités exploitées, suite à des preuves d'exploitation active. Cette faille, avec un score CVSS de 8.1, concerne des identifiants statiques dans Acclaim Systems USAHERDS, permettant à un attaquant d'exécuter du code arbitraire sur des serveurs vulnérables. Plus précisément, elle concerne l'utilisation de valeurs statiques ValidationKey et DecryptionKey dans les versions 7.4.0.1 et antérieures, qui peuvent être exploitées pour obtenir une exécution de code à distance. Bien qu'aucun nouvel incident d'exploitation de cette vulnérabilité n'ait été signalé récemment, elle avait été utilisée par le groupe APT41, lié à la Chine, en 2021 pour cibler des réseaux gouvernementaux d'États américains. Les agences fédérales sont invitées à appliquer des mesures d'atténuation fournies par le fournisseur d'ici le 13 janvier 2025. Par ailleurs, Adobe a averti d'une faille critique dans ColdFusion (CVE-2024-53961), déjà exploitée, et recommande aux utilisateurs d'appliquer les correctifs disponibles pour réduire les risques potentiels.
Sources :
La vulnérabilité CVE-2024-56337 d'Apache Tomcat expose les serveurs à des attaques RCE
La Fondation Apache Software (ASF) a publié une mise à jour de sécurité pour corriger une vulnérabilité importante dans son logiciel de serveur Tomcat, pouvant entraîner une exécution de code à distance (RCE) dans certaines conditions. Cette vulnérabilité, identifiée sous le nom CVE-2024-56337, est considérée comme une atténuation incomplète de CVE-2024-50379, une autre faille critique déjà traitée le 17 décembre 2024. Les utilisateurs de Tomcat sur des systèmes de fichiers insensibles à la casse, avec le servlet par défaut en écriture activé, doivent effectuer des configurations supplémentaires selon leur version de Java. Les deux vulnérabilités sont des conditions de course Time-of-check Time-of-use (TOCTOU) pouvant permettre l'exécution de code sur des systèmes de fichiers insensibles à la casse. Les versions affectées de Tomcat incluent 11.0.0-M1 à 11.0.1, 10.1.0-M1 à 10.1.33, et 9.0.0.M1 à 9.0.97. Des modifications de configuration spécifiques sont requises selon la version de Java utilisée. L'ASF a remercié plusieurs chercheurs pour leur contribution à la découverte de ces failles. Parallèlement, la Zero Day Initiative a signalé une vulnérabilité critique dans Webmin (CVE-2024-12828).
Sources :
Adobe met en garde contre un bug critique de ColdFusion avec un code d'exploitation PoC
Adobe a publié des mises à jour de sécurité en urgence pour corriger une vulnérabilité critique dans ColdFusion, identifiée sous le code CVE-2024-53961. Cette faille, due à une faiblesse de traversée de chemin, affecte les versions 2023 et 2021 de ColdFusion, permettant aux attaquants de lire des fichiers arbitraires sur des serveurs vulnérables. Adobe a attribué à cette vulnérabilité une note de gravité "Priorité 1", signalant un risque élevé d'exploitation active. L'entreprise recommande aux administrateurs d'installer les correctifs de sécurité (ColdFusion 2021 Update 18 et ColdFusion 2023 Update 12) dans les 72 heures et de suivre les directives de configuration de sécurité fournies. Bien qu'Adobe n'ait pas confirmé d'exploitations en cours, il a conseillé aux utilisateurs de consulter la documentation mise à jour sur le filtrage des séries pour se protéger contre les attaques de désérialisation Wddx. La CISA a également mis en garde contre les vulnérabilités de traversée de répertoire, jugées "impardonnables", et a rappelé que des failles similaires avaient déjà été exploitées dans le passé, incitant à une vigilance accrue.
Sources :
La FTC ordonne à Marriott et Starwood de mettre en œuvre une sécurité stricte des données
La Federal Trade Commission (FTC) a ordonné à Marriott International et à Starwood Hotels de mettre en place un programme de sécurité des données clients suite à des violations massives de données. Après l'acquisition de Starwood en 2016, Marriott a subi trois violations majeures affectant 344 millions de clients. L'ordre de la FTC impose plusieurs mesures clés, notamment l'établissement d'un programme de sécurité de l'information complet, incluant le chiffrement, des contrôles d'accès, l'authentification multi-facteurs, et des plans de réponse aux incidents. Marriott doit également limiter la conservation des informations personnelles et permettre aux consommateurs américains de demander la suppression de leurs données. De plus, l'entreprise doit surveiller ses actifs informatiques pour détecter des activités anormales dans les 24 heures et réaliser des évaluations indépendantes tous les deux ans pendant 20 ans. L'ordre, qui doit être mis en œuvre dans les 180 jours suivant sa prise d'effet le 20 décembre 2024, restera en vigueur pendant 20 ans. Marriott a déjà réglé avec la FTC en octobre 2024, acceptant de payer 52 millions de dollars pour des violations antérieures.
Sources :
Les plugins WordPress Premium de WPLMS corrigent sept défauts critiques
Deux plugins WordPress essentiels au thème premium WPLMS, utilisé par plus de 28 000 utilisateurs pour la gestion de l'apprentissage, présentent plus d'une douzaine de vulnérabilités critiques. Ces failles permettent à un attaquant distant et non authentifié de télécharger des fichiers arbitraires, d'exécuter du code, d'escalader des privilèges jusqu'au niveau administrateur et de réaliser des injections SQL. Les chercheurs de Patchstack ont identifié 18 problèmes de sécurité, dont 10 majeurs, affectant les plugins WPLMS et VibeBP. Parmi les vulnérabilités notables, on trouve la possibilité pour des attaquants de télécharger des fichiers malveillants sans authentification (CVE-2024-56046) et d'injecter des requêtes SQL (CVE-2024-56042). Les utilisateurs doivent mettre à jour WPLMS vers la version 1.9.9.5.3 ou supérieure et VibeBP vers 1.9.9.7.7 ou plus récente. Patchstack recommande également de renforcer la sécurité des sites en appliquant des contrôles d'accès basés sur les rôles et en assainissant les requêtes SQL. Vibe Themes a collaboré avec Patchstack pour corriger ces vulnérabilités après avoir été informé des problèmes en mars 2024.
Sources :
Un tribunal américain déclare le fabricant de logiciels espions NSO responsable du piratage de WhatsApp
Un juge fédéral américain a statué que la société israélienne NSO Group avait violé les lois américaines sur le piratage en utilisant des vulnérabilités de WhatsApp pour déployer le logiciel espion Pegasus sur au moins 1 400 appareils. NSO Group commercialise Pegasus comme un logiciel de surveillance destiné aux gouvernements, permettant de surveiller les activités des victimes et d'extraire des données. Will Cathcart, de WhatsApp, a salué cette décision comme une victoire majeure pour la vie privée, affirmant que les entreprises de logiciels espions ne pouvaient pas échapper à leur responsabilité. Meta, la société mère de WhatsApp, a également exprimé sa satisfaction quant à cette avancée. Le tribunal a déjà tranché en faveur de WhatsApp, mais le montant des dommages-intérêts sera déterminé l'année prochaine. Les documents judiciaires ont révélé que NSO avait continué à exploiter les vulnérabilités de WhatsApp même après le dépôt de la plainte en 2019. Bien que NSO nie toute responsabilité, Pegasus a été lié à des attaques contre des personnalités de haut niveau, y compris des employés du gouvernement américain et des journalistes. En 2021, le département américain du Commerce a sanctionné NSO pour avoir fourni des logiciels espions utilisés contre des journalistes et des activistes.
