Lynx silencieux : attaques à plusieurs étapes avec PowerShell, Golang et C++ - Actus du 05/02/2025
Découvrez comment le « Roi du spam » russe trahit ses complices hackers, l'apparition inédite d'applis de vol de crypto sur l'App Store d'Apple, et l'utilisation de Go Resty et Node Fetch dans 13 millions de tentatives de piratage. Plongez dans l'univers sombre des cybercriminels!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un criminel russe, connu comme le « Roi du spam », dénonçait ses copains hackers à la police
Une enquête de Gazeta.ru, publiée le 4 février 2025, révèle que Piotr Levachov, connu sous le nom de « Severa » dans le cybercrime, serait informateur pour le FBI depuis 2018. Levachov, arrêté en 2017 en Espagne à la demande des États-Unis, est soupçonné d'avoir participé à des piratages lors des élections américaines de 2016. Selon des témoignages, les hackers russes arrêtés aux États-Unis doivent souvent choisir entre coopérer avec les autorités ou faire face à de lourdes peines de prison. Après sa libération en 2022, Levachov aurait réapparu sur le forum XSS, où un nouveau profil, « Bratva », a suscité des soupçons quant à son identité secrète. Des événements troublants, comme la fermeture d'un chat Telegram pour cybercriminels, ont suivi, et des arrestations ont eu lieu en 2024. Levachov, qui se déclare « patriote russe », pourrait risquer sa vie s'il rentrait en Russie, où il serait perçu comme un traître par ses anciens associés et pourrait faire face à des poursuites. Ces révélations soulèvent des questions sur la loyauté et la survie dans le monde du cybercrime.
Sources :
Des applications de vol de crypto-monnaies découvertes pour la première fois dans l'App Store d'Apple
Des applications malveillantes ont été découvertes pour la première fois dans l'App Store d'Apple, conçues pour voler des phrases de récupération de portefeuilles de cryptomonnaies. Appelée "SparkCat", cette campagne utilise un kit de développement logiciel (SDK) malveillant, notamment un composant Java nommé "Spark", dissimulé sous forme de module d'analyse. Selon Kaspersky, ces applications infectées ont été téléchargées plus de 242 000 fois sur Google Play. Le SDK utilise la reconnaissance optique de caractères (OCR) pour extraire des phrases de récupération à partir d'images sur les appareils, ciblant des mots-clés spécifiques selon la région. Dix-huit applications Android et dix applications iOS sont concernées, dont certaines sont encore disponibles dans les magasins d'applications. L'application Android ChatAi, par exemple, a été installée plus de 50 000 fois avant d'être retirée. Les utilisateurs sont conseillés de désinstaller immédiatement ces applications et d'utiliser un outil antivirus mobile pour détecter d'éventuelles traces. Il est également recommandé de ne pas stocker les phrases de récupération de portefeuilles en captures d'écran, mais plutôt sur des supports physiques hors ligne ou dans des gestionnaires de mots de passe sécurisés.
Sources :
Les cybercriminels utilisent Go Resty et Node Fetch dans 13 millions de tentatives de piratage de mots de passe
Les cybercriminels exploitent de plus en plus des outils HTTP légitimes pour faciliter les attaques de prise de contrôle de compte (ATO) sur les environnements Microsoft 365. Selon Proofpoint, des campagnes utilisant des clients HTTP comme Axios et Node Fetch ont été observées, envoyant des requêtes HTTP pour mener des attaques ATO. Ces outils, initialement disponibles sur des dépôts publics comme GitHub, sont utilisés dans des techniques telles que l'Adversary-in-the-Middle (AitM) et les attaques par force brute. En mars 2024, Proofpoint a noté une augmentation significative des attaques, touchant 78 % des locataires Microsoft 365 au moins une fois. En mai 2024, ces attaques ont atteint un pic, utilisant des millions d'IP résidentielles détournées. Les attaquants ont ciblé des individus de valeur, comme des cadres et des responsables financiers, avec un taux de succès de 43 % entre juin et novembre 2024. De plus, une campagne de pulvérisation de mots de passe a enregistré plus de 13 millions de tentatives de connexion. Les outils utilisés pour ces attaques continuent d'évoluer, rendant les attaques plus efficaces et difficiles à détecter, ce qui souligne la nécessité d'une vigilance accrue en matière de cybersécurité.
Sources :
Lynx silencieux utilise PowerShell, Golang et les chargeurs C++ dans des cyberattaques à plusieurs étapes
Un nouvel acteur de menace, baptisé Silent Lynx, a été identifié comme responsable d'attaques cybernétiques visant des entités au Kirghizistan et au Turkménistan. Selon Subhajeet Singha de Seqrite Labs, ce groupe a précédemment ciblé des institutions en Europe de l'Est et des think tanks gouvernementaux en Asie centrale, notamment dans le secteur bancaire. Les cibles incluent des ambassades, des avocats et des banques soutenues par l'État. Les infections débutent par un courriel de spear-phishing contenant une archive RAR, qui sert à livrer des charges malveillantes permettant un accès à distance aux systèmes compromis. La première campagne, détectée le 27 décembre 2024, utilise un fichier ISO contenant un binaire C++ malveillant et un PDF trompeur, exécutant ensuite un script PowerShell pour communiquer avec des bots Telegram pour l'exécution de commandes et l'exfiltration de données. La seconde campagne emploie également une archive RAR avec un PDF trompeur et un exécutable Golang, établissant une connexion inverse vers un serveur contrôlé par l'attaquant. Les campagnes de Silent Lynx illustrent une stratégie d'attaque sophistiquée, mettant en évidence leur intérêt pour l'espionnage en Asie centrale.
Sources :
SystemBC attaque Linux : pourquoi la défense proactive est désormais essentielle
Des analystes en cybersécurité tirent la sonnette d'alarme concernant une version Linux de SystemBC, un RAT bien connu, qui cible les serveurs d'entreprise et les infrastructures cloud basées sur Linux. Initialement détecté en 2018 comme un malware Windows, SystemBC permet aux attaquants de contrôler à distance les systèmes infectés et de déployer des charges utiles malveillantes, notamment des ransomwares. La version Linux, plus sophistiquée, agit comme un proxy SOCKS5 ou une porte dérobée, facilitant l'accès persistant aux systèmes compromis. Elle est souvent livrée via des emails de phishing ou des vulnérabilités dans les serveurs Linux, et peut s'exécuter sous forme de fichier binaire déguisé en processus système légitime. Les attaquants utilisent des scripts shell ou des tâches cron pour automatiser son exécution. SystemBC se distingue par sa capacité à masquer son trafic et à éviter la détection, en imitant le trafic légitime. Sa présence dans un réseau peut entraîner des perturbations majeures et des pertes financières. Il est crucial pour les équipes de sécurité de détecter rapidement les communications malveillantes et d'utiliser des outils avancés pour renforcer leur protection contre cette menace croissante.
Sources :
Une nouvelle faille de Veeam permet l'exécution de code arbitraire via une attaque de type « Man-in-the-Middle »
Veeam a publié des correctifs pour une vulnérabilité critique affectant son logiciel de sauvegarde, permettant à un attaquant d'exécuter du code arbitraire sur des systèmes vulnérables. Cette faille, identifiée sous le nom CVE-2025-23114, a un score CVSS de 9,0 sur 10,0. Selon Veeam, la vulnérabilité réside dans le composant Veeam Updater, permettant une attaque de type Man-in-the-Middle pour obtenir des permissions de niveau root sur le serveur affecté. Les produits concernés incluent Veeam Backup pour Salesforce (versions 3.1 et antérieures), Nutanix AHV (versions 5.0 et 5.1), AWS (versions 6a et 7), Microsoft Azure (versions 5a et 6), Google Cloud (versions 4 et 5), ainsi que Oracle Linux Virtualization Manager et Red Hat Virtualization (versions 3 à 4.1). Les versions corrigées sont disponibles pour chaque produit, avec des mises à jour spécifiques pour chaque composant. Veeam précise que les déploiements ne protégeant pas ces environnements ne sont pas affectés par cette vulnérabilité. Les utilisateurs sont encouragés à mettre à jour leurs systèmes pour garantir la sécurité.
Sources :
Naviguer vers l'avenir : principales tendances en matière de gestion des vulnérabilités informatiques
Le rapport Kaseya Cybersecurity Survey 2024 met en lumière l'importance croissante des évaluations de vulnérabilité pour les organisations, qui prévoient d'intensifier ces investissements en 2025. Cette tendance reflète une prise de conscience accrue de la nécessité d'une surveillance continue et d'une réponse rapide aux menaces émergentes. La fréquence des scans de vulnérabilité doit être adaptée au niveau de risque et aux exigences de conformité : les zones à haut risque, comme les applications publiques, peuvent nécessiter des scans quotidiens ou hebdomadaires, tandis que certaines réglementations, comme le PCI DSS, imposent des scans trimestriels. En 2024, 44 % des répondants ont cité le manque de formation des utilisateurs comme une cause majeure des défis en cybersécurité, une augmentation significative par rapport à 28 % en 2023. De plus, près de la moitié des participants ont identifié de mauvaises pratiques des utilisateurs comme un problème majeur. Les investissements dans la sécurité cloud, les tests de pénétration automatisés et la sécurité réseau augmentent, soulignant l'urgence d'identifier et de corriger rapidement les vulnérabilités. Des mesures proactives, telles que les évaluations de vulnérabilité, peuvent réduire les coûts des incidents et renforcer la résilience en cybersécurité. VulScan offre des fonctionnalités avancées pour une gestion efficace des vulnérabilités.
Sources :
La campagne AsyncRAT utilise des charges utiles Python et des tunnels TryCloudflare pour des attaques furtives
Une campagne de malware a été identifiée, diffusant un cheval de Troie d'accès à distance (RAT) nommé AsyncRAT, utilisant des charges utiles Python et des tunnels TryCloudflare. Selon Jyotika Singh de Forcepoint X-Labs, AsyncRAT permet aux attaquants de contrôler discrètement les systèmes infectés, d'exfiltrer des données et d'exécuter des commandes tout en restant cachés. L'attaque débute par un email de phishing contenant un lien Dropbox, qui, une fois cliqué, télécharge une archive ZIP. Cette archive contient un fichier de raccourci Windows (LNK) qui prolonge l'infection, tout en affichant un document PDF apparemment inoffensif. Le fichier LNK est récupéré via une URL TryCloudflare, qui permet de masquer l'origine de l'attaque. Ce fichier déclenche l'exécution d'un code JavaScript, menant à un script batch qui télécharge une autre archive ZIP contenant la charge utile Python. Cette campagne illustre comment les hackers exploitent des infrastructures légitimes pour tromper les utilisateurs. Parallèlement, une augmentation des campagnes de phishing utilisant des outils de phishing-as-a-service (PhaaS) a été observée, ciblant des plateformes de confiance pour voler des identifiants. Des attaques récentes ont également visé des organisations en Amérique latine et en Europe, utilisant des documents légaux et des sites gouvernementaux pour distribuer des malwares.
Sources :
Comment l’automatisation des certificats aide à prévenir les attaques SSL/TLS ?
L'utilisation de certificats SSL inspire confiance aux utilisateurs grâce au « cadenas vert » visible dans la barre d'URL. Cependant, une étude d'Enterprise Management Associates révèle que 80 % des certificats SSL/TLS sont vulnérables aux attaques, avec environ 23 000 certificats gérés par une organisation moyenne. Les principales vulnérabilités incluent les certificats expirés, auto-signés et l'utilisation de protocoles obsolètes comme TLS 1.2. Ces failles peuvent entraîner des attaques Man in The Middle (MITM) et des attaques de stripping SSL, compromettant la sécurité des données. Les conséquences peuvent varier, allant de l'effondrement d'un site à des violations de données prolongées. La confiance, essentielle à l'objectif des certificats SSL, est ainsi mise à mal, entraînant méfiance et atteinte à la réputation. De plus, la gestion inadéquate des certificats peut engendrer des configurations de chiffrement défaillantes. Face à la réduction de la validité des certificats TLS à 90 jours par Google fin 2024, l'automatisation de la gestion des certificats devient cruciale. Elle permet de diminuer les erreurs humaines, d'améliorer la visibilité sur l'inventaire des certificats et de réagir rapidement aux menaces potentielles.
Sources :
La CISA ajoute quatre vulnérabilités activement exploitées au catalogue KEV et demande des correctifs d'ici le 25 février
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté quatre vulnérabilités de sécurité à son catalogue des vulnérabilités exploitées (KEV), en raison de preuves d'exploitation active. Les vulnérabilités incluent :
- CVE-2024-45195 (CVSS : 7.5/9.8) - Une vulnérabilité de navigation forcée dans Apache OFBiz permettant à un attaquant distant d'accéder sans autorisation et d'exécuter du code arbitraire sur le serveur (corrigée en septembre 2024).
- CVE-2024-29059 (CVSS : 7.5) - Une vulnérabilité de divulgation d'informations dans Microsoft .NET Framework pouvant exposer l'URI ObjRef et mener à une exécution de code à distance (corrigée en mars 2024).
- CVE-2018-9276 (CVSS : 7.2) - Une vulnérabilité d'injection de commandes dans Paessler PRTG Network Monitor, permettant à un attaquant avec des privilèges administratifs d'exécuter des commandes via la console web (corrigée en avril 2018).
- CVE-2018-19410 (CVSS : 9.8) - Une vulnérabilité d'inclusion de fichiers locaux dans Paessler PRTG Network Monitor, permettant à un attaquant distant non authentifié de créer des utilisateurs avec des privilèges de lecture-écriture (corrigée en avril 2018).
Bien que ces vulnérabilités aient été corrigées, aucune information publique n'indique comment elles ont pu être exploitées dans des attaques réelles. Les agences fédérales sont invitées à appliquer les correctifs d'ici le 25 février 2025 pour se protéger contre ces menaces actives.
Sources :
Zyxel ne corrigera pas les failles récemment exploitées dans les routeurs en fin de vie
Zyxel a récemment averti que des vulnérabilités activement exploitées dans ses routeurs de la série CPE ne seront pas corrigées, car ces appareils ont atteint leur fin de vie (EoL) depuis plusieurs années. VulnCheck a découvert deux failles en juillet 2024, dont l'une permet l'exécution de code arbitraire via une injection de commande Telnet (CVE-2024-40891), et l'autre concerne des identifiants par défaut faibles (CVE-2025-0890) qui ne sont souvent pas modifiés par les utilisateurs. Ces vulnérabilités exposent plus de 1 500 appareils à travers le monde, rendant leur surface d'attaque significative. Zyxel recommande aux utilisateurs de remplacer ces modèles obsolètes par des équipements plus récents pour garantir une meilleure sécurité. En plus des deux failles mentionnées, une troisième vulnérabilité (CVE-2024-40890) a également été identifiée. Zyxel a exprimé des préoccupations concernant la publication des détails de ces vulnérabilités par VulnCheck sans notification préalable. Les chercheurs soulignent que, bien que ces appareils soient anciens, leur utilisation persistante dans les réseaux mondiaux les rend toujours pertinents pour les attaquants.
Sources :
Les applications Google Play et Apple App Store prises en flagrant délit de vol de portefeuilles cryptographiques
Des applications malveillantes ont été découvertes pour la première fois dans l'App Store d'Apple, conçues pour voler des phrases de récupération de portefeuilles de cryptomonnaie. Appelée "SparkCat", cette campagne utilise un kit de développement logiciel (SDK) malveillant, notamment un composant Java nommé "Spark", dissimulé sous forme de module d'analyse. Selon Kaspersky, ces applications infectées ont été téléchargées plus de 242 000 fois sur Google Play. Le SDK exploite la reconnaissance optique de caractères (OCR) pour extraire des phrases de récupération à partir d'images sur les appareils, ciblant des mots-clés spécifiques selon les régions. Sur iOS, le SDK utilise des noms variés comme "Gzip" et "googleappsdk", et communique avec des serveurs de commande et de contrôle via un module réseau basé sur Rust. Kaspersky a identifié 18 applications Android et 10 iOS infectées, dont certaines sont encore disponibles dans les magasins d'applications. Les utilisateurs sont conseillés de désinstaller ces applications et d'utiliser des outils antivirus. Il est également recommandé de ne pas stocker les phrases de récupération en captures d'écran, mais plutôt sur des supports physiques sécurisés.
Sources :
Les agences de cybersécurité partagent des conseils de sécurité pour les périphériques de réseau
Les agences de cybersécurité des pays des Five Eyes (Royaume-Uni, Australie, Canada, Nouvelle-Zélande et États-Unis) ont publié des recommandations pour inciter les fabricants de dispositifs de réseau en périphérie à améliorer la visibilité judiciaire afin d'aider à détecter les attaques et à enquêter sur les violations de sécurité. Ces dispositifs, tels que les pare-feu, les routeurs, les passerelles VPN et les systèmes IoT, sont souvent ciblés par des attaquants étatiques et motivés financièrement, car ils ne prennent généralement pas en charge les solutions de détection et de réponse aux points de terminaison (EDR). De plus, ils manquent souvent de mises à jour régulières, d'authentification robuste et présentent des vulnérabilités de sécurité. Les agences soulignent que ces dispositifs, en raison de leur position à la périphérie du réseau, sont des cibles privilégiées pour les cyberattaques, permettant aux attaquants de surveiller le trafic et d'accéder aux réseaux internes. Les recommandations incluent l'intégration de fonctionnalités de journalisation et d'analyse robustes par défaut pour faciliter la détection des activités malveillantes. CISA a également mis en garde contre les vulnérabilités exploitées par des groupes de menaces soutenus par des États, appelant les fabricants à renforcer la sécurité de leurs produits.
Sources :
Des cyberespions chinois utilisent une nouvelle porte dérobée SSH pour pirater des périphériques réseau
Un groupe de hackers chinois, connu sous le nom d'Evasive Panda ou DaggerFly, utilise une nouvelle méthode d'attaque pour compromettre les appareils réseau en injectant un malware dans le processus du démon SSH. Cette suite d'attaques, identifiée par Fortinet sous le nom "ELF/Sshdinjector.A!tr", a été observée depuis novembre 2024. Les chercheurs de Fortiguard rapportent que cette méthode permet un accès persistant et des opérations discrètes sur les appareils ciblés. Bien que les détails sur la manière dont les appareils sont initialement compromis ne soient pas divulgués, une fois infectés, un composant de type dropper vérifie si le dispositif est déjà touché et s'il fonctionne avec des privilèges root. Si les conditions sont remplies, plusieurs fichiers malveillants, dont une bibliothèque SSH, sont installés pour assurer la communication et l'exfiltration de données. Les attaquants peuvent exécuter diverses commandes, telles que la collecte d'informations système, le vol de données d'identification et l'exécution de commandes à distance. Fortinet a utilisé des outils d'IA pour analyser ce malware, et ses clients sont déjà protégés contre cette menace via son service FortiGuard AntiVirus.
Sources :
Netgear avertit les utilisateurs de corriger les vulnérabilités critiques des routeurs WiFi
Netgear a récemment corrigé deux vulnérabilités critiques affectant plusieurs modèles de routeurs WiFi et a exhorté ses utilisateurs à mettre à jour leurs appareils avec le dernier firmware. Ces failles de sécurité touchent des points d'accès WiFi 6 (WAX206, WAX214v2, WAX220) et des modèles de routeurs Nighthawk Pro Gaming (XR1000, XR1000v2, XR500). Bien que l'entreprise n'ait pas fourni de détails spécifiques sur les bugs, elle a indiqué que des acteurs malveillants non authentifiés peuvent les exploiter pour exécuter du code à distance et contourner l'authentification, sans nécessiter d'interaction de l'utilisateur. Netgear recommande vivement de télécharger le dernier firmware pour éviter toute exploitation potentielle. Un tableau répertorie les modèles vulnérables et les versions de firmware corrigées. Les utilisateurs doivent suivre des étapes précises pour télécharger et installer la mise à jour. Netgear a également averti que la vulnérabilité d'exécution de code à distance persisterait si toutes les étapes recommandées n'étaient pas suivies. L'entreprise a précédemment conseillé à ses clients de mettre à jour leurs appareils pour corriger d'autres vulnérabilités, soulignant l'importance de la sécurité des dispositifs réseau.
