MEDUSA : Le ransomware qui désactive l'anti-malware avec des certificats volés. - Actus du 21/03/2025
Découvrez comment le groupe UAT-5918 cible Taiwan avec des shells Web, la menace d'une démo malveillante sur Steam, et l’offensive du ransomware MEDUSA utilisant des pilotes signés volés. Protégez-vous face à ces cybermenaces sophistiquées!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
UAT-5918 cible l'infrastructure critique de Taiwan à l'aide de shells Web et d'outils open-source
Des chasseurs de menaces ont identifié un nouvel acteur malveillant nommé UAT-5918, qui cible des infrastructures critiques à Taïwan depuis au moins 2023. Ce groupe, motivé par le vol d'informations, utilise des web shells et des outils open-source pour maintenir un accès persistant dans les environnements des victimes. Les secteurs visés incluent l'informatique, les télécommunications, l'éducation et la santé. UAT-5918 est considéré comme une menace persistante avancée (APT) partageant des tactiques avec plusieurs groupes de hackers chinois tels que Volt Typhoon et Earth Estries. Les attaques commencent par l'exploitation de vulnérabilités non corrigées dans des serveurs web et des applications exposés à Internet, permettant au groupe de déployer des outils pour la reconnaissance réseau et le mouvement latéral. Parmi les outils utilisés figurent Fast Reverse Proxy pour établir des tunnels d'accès, ainsi que Mimikatz et BrowserDataLite pour le vol de données d'identification. UAT-5918 effectue également un vol systématique de données en explorant les disques locaux et partagés. Les chercheurs notent que ces activités post-compromission sont réalisées manuellement, avec pour objectif principal le vol d'informations.
Sources :
Steam tire la démo de la démo infectée Windows avec des logiciels malveillants voleurs d'informations
Valve a retiré du magasin Steam le jeu 'Sniper: Phantom's Resolution' après que plusieurs utilisateurs aient signalé que le programme d'installation de la démo infectait leurs systèmes avec un malware volé d'informations. Développé par 'Sierra Six Studios', ce titre devait offrir un aperçu avant sa sortie prévue dans les mois à venir. Les développeurs avaient averti les joueurs des risques de sécurité liés au téléchargement depuis des sites externes, mais la version Steam présentait également des menaces. Les joueurs ont suspecté une fraude en raison de la copie d'éléments d'autres jeux et du téléchargement de l'installateur depuis un dépôt GitHub externe. Une analyse a révélé que le fichier d'installation était nommé 'Windows Defender SmartScreen.exe' et contenait des outils d'attaque, notamment un utilitaire d'escalade de privilèges et 'Fiddler', capable d'intercepter des cookies. Le malware exécutait des scripts Node.js pour échapper à la détection et ajoutait une tâche de démarrage pour assurer sa persistance. GitHub a rapidement supprimé le dépôt malveillant, et Valve a également retiré le jeu. Les utilisateurs infectés sont conseillés de désinstaller le jeu et de scanner leur système. Cet incident survient un mois après la distribution d'un autre malware via un jeu sur Steam.
Sources :
MEDUSA Ransomware utilise un conducteur malveillant pour désactiver l'anti-malware avec des certificats volés
Les acteurs de la menace derrière l'opération de ransomware Medusa ont été observés utilisant un pilote malveillant nommé ABYSSWORKER dans le cadre d'une attaque BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les outils anti-malware. Selon Elastic Security Labs, une attaque Medusa a été réalisée en déployant un chargeur utilisant un packer-as-a-service appelé HeartCrypt, accompagné d'un pilote signé par un certificat révoqué d'un fournisseur chinois. Ce pilote, "smuol.sys", imite un pilote légitime de CrowdStrike, permettant de contourner les systèmes de sécurité. Une fois lancé, ABYSSWORKER peut ajouter des processus à une liste de processus protégés et écouter des requêtes de contrôle d'entrée/sortie, offrant un ensemble d'outils pour désactiver les systèmes EDR. Des codes de contrôle spécifiques permettent des opérations variées, y compris la suppression de fichiers et la terminaison de processus. Parallèlement, une autre recherche a révélé que des acteurs exploitent un pilote vulnérable associé à ZoneAlarm pour obtenir des privilèges élevés et désactiver les fonctionnalités de sécurité de Windows. Cela a permis aux attaquants d'accéder à des informations sensibles. De plus, l'opération RansomHub utilise un backdoor multifonction, Betruger, pour faciliter les attaques de ransomware.
Sources :
10 Network Critical Pentest Résultats Les équipes IT Overlook
vPenTest a réalisé plus de 10 000 tests de pénétration automatisés sur des réseaux internes l'année dernière, révélant que de nombreuses entreprises présentent encore des failles de sécurité critiques. Ces vulnérabilités incluent des erreurs de configuration, des mots de passe faibles et des failles non corrigées, que les attaquants exploitent pour accéder aux réseaux, se déplacer latéralement et élever leurs privilèges. L'article identifie dix risques majeurs pour la sécurité des réseaux internes, en expliquant leur nature, leur dangerosité et les solutions pour les corriger. Parmi les problèmes notables, l'utilisation de crédentials par défaut, qui peut permettre un accès non autorisé, et la vulnérabilité EternalBlue, qui donne un accès administratif complet aux systèmes affectés. Pour atténuer ces risques, il est crucial d'appliquer rapidement les correctifs de sécurité et de limiter l'accès IPMI aux systèmes autorisés. De plus, le protocole LLMNR, qui permet aux systèmes de répondre à des requêtes de résolution, peut être exploité pour rediriger le trafic vers des systèmes malveillants, compromettant ainsi des informations sensibles. En offrant des tests de pénétration automatisés, vPenTest permet aux entreprises de détecter et de corriger les vulnérabilités de manière proactive tout au long de l'année.
Sources :
Panda aquatique APT lié à la Chine: campagne de 10 mois, 7 cibles mondiales, 5 familles de logiciels malveillants
Le groupe de menace persistante avancée (APT) lié à la Chine, connu sous le nom d'Aquatic Panda, a été associé à une campagne d'espionnage mondial en 2022, ciblant sept organisations, notamment des gouvernements, des ONG et des think tanks en Taiwan, Hongrie, Turquie, Thaïlande, France et États-Unis. Cette activité, qui s'est déroulée sur dix mois de janvier à octobre 2022, a été nommée Opération FishMedley par ESET. Les opérateurs ont utilisé des implants tels que ShadowPad, SodaMaster et Spyder, typiques des acteurs de menace alignés avec la Chine. Aquatic Panda, également désigné sous d'autres noms comme Bronze University et Charcoal Typhoon, est actif depuis au moins 2019 et est suivi par la société de cybersécurité slovaque ESET sous le nom de FishMonger. Ce groupe opère sous l'égide du Winnti Group, également connu sous le nom d'APT41. Les attaques de 2022 se distinguent par l'utilisation de cinq familles de malwares, dont un chargeur nommé ScatterBee. L'accès initial à la campagne reste inconnu. ESET souligne que des implants bien connus continuent d'être réutilisés par le groupe, même après leur description publique.
Sources :
Kaspersky relie la tête de la jument à douze, ciblant les entités russes via des serveurs C2 partagés
Deux groupes de cybermenaces, codenommés Head Mare et Twelve, semblent avoir uni leurs forces pour cibler des entités russes, selon des révélations de Kaspersky. Head Mare utilise des outils associés à Twelve et des serveurs de commande et de contrôle (C2) liés à ce dernier, suggérant une collaboration. Les deux groupes ont été documentés en septembre 2024, Head Mare exploitant une vulnérabilité dans WinRAR pour accéder aux systèmes et déployer des ransomwares comme LockBit et Babuk. Twelve, quant à lui, a mené des attaques destructrices en utilisant des outils publics pour chiffrer les données des victimes et détruire leurs infrastructures. Kaspersky a identifié l'utilisation de nouveaux outils par Head Mare, notamment CobInt et un implant personnalisé nommé PhantomJitter. Les attaques de Head Mare exploitent également des failles dans Microsoft Exchange et des techniques de phishing. Les acteurs malveillants effacent les traces de leurs activités et utilisent divers outils pour la reconnaissance et le mouvement latéral. Les attaques se terminent par le déploiement de ransomwares, incitant les victimes à les contacter via Telegram pour récupérer leurs fichiers. Kaspersky souligne que Head Mare élargit ses techniques et collabore avec Twelve pour cibler des entreprises en Russie.
Sources :
Narcotrafic : le désir de Bruno Retailleau d’accéder aux messageries chiffrées échoue
Dans la nuit du 20 au 21 mars 2025, les députés français ont rejeté des amendements visant à permettre un accès spécial des services de renseignement aux messageries chiffrées, comme Signal et WhatsApp, dans le cadre d'une loi contre le narcotrafic. Éric Bothorel, un des parlementaires opposés à ces mesures, a salué cette décision, affirmant que le chiffrement ne serait pas menacé. Bien que les élus soutiennent l'objectif de lutter contre le narcotrafic, ils estiment que les moyens proposés, tels que l'accès spécial, pourraient affaiblir la sécurité des communications. Bruno Retailleau avait suggéré une alternative, la « proposition du fantôme », qui a été rejetée, jugée encore plus problématique par des experts en cryptographie. Les opposants craignent qu'une telle mesure introduise une vulnérabilité dans le chiffrement de bout en bout, compromettant ainsi la confidentialité des échanges. Malgré ce revers, le gouvernement continue d'examiner d'autres aspects de la loi, notamment le « dossier-coffre », destiné à prévenir les fuites d'informations. L'Assemblée nationale doit finaliser l'examen de ce texte le 21 mars.
Sources :
Les cyberattaques en cours exploitent les vulnérabilités critiques dans Cisco Smart Licensing Utility
Deux vulnérabilités critiques récemment corrigées affectant Cisco Smart Licensing Utility sont actuellement exploitées, selon le SANS Internet Storm Center. Les failles concernées sont : CVE-2024-20439, qui permet à un attaquant de se connecter à un système affecté grâce à des identifiants d'utilisateur statiques non documentés, et CVE-2024-20440, qui permet d'accéder à des fichiers de log contenant des données sensibles via une requête HTTP malveillante. Ces vulnérabilités, notées 9.8 sur l'échelle CVSS, permettent à un attaquant d'obtenir des privilèges administratifs et des informations d'identification pour accéder à l'API. Elles ne sont exploitables que si l'utilitaire est en cours d'exécution et touchent les versions 2.0.0, 2.1.0 et 2.2.0, qui ont été corrigées par Cisco en septembre 2024. La version 2.3.0 n'est pas vulnérable. En mars 2025, des acteurs malveillants tentent activement d'exploiter ces failles, tout en utilisant d'autres vulnérabilités, comme une faille de divulgation d'informations (CVE-2024-0305). Il est crucial que les utilisateurs appliquent les correctifs nécessaires pour se protéger.
Sources :
Veeam RCE Bug permet aux utilisateurs du domaine de pirater les serveurs de sauvegarde, patch maintenant
Veeam a corrigé une vulnérabilité critique de code à distance, identifiée comme CVE-2025-23120, dans son logiciel Backup & Replication, affectant les installations jointes à un domaine. Cette faille, révélée récemment, touche la version 12.3.0.310 et toutes les versions antérieures de la version 12. La mise à jour 12.3.1 (build 12.3.1.1139) a été publiée pour remédier à ce problème. Selon watchTowr Labs, qui a découvert la vulnérabilité, il s'agit d'un problème de désérialisation dans certaines classes .NET, permettant aux attaquants d'injecter des objets malveillants pour exécuter du code nuisible. Bien que Veeam ait tenté de sécuriser son logiciel en ajoutant des entrées à une liste noire, watchTowr a trouvé une nouvelle chaîne d'objets exploitables. La vulnérabilité est particulièrement préoccupante car tout utilisateur de domaine peut l'exploiter, rendant les serveurs Veeam très attractifs pour les gangs de ransomware. Bien qu'aucune exploitation active n'ait été signalée, il est conseillé aux entreprises utilisant Veeam de mettre à jour immédiatement vers la version corrigée et de revoir les meilleures pratiques de sécurité, notamment en déconnectant le serveur du domaine.
Sources :
CISA Tags Nakivo Backup Flaw tel qu'il est activement exploité dans les attaques
CISA a averti les agences fédérales américaines de sécuriser leurs réseaux contre une vulnérabilité critique dans le logiciel Backup & Replication de NAKIVO, identifiée comme CVE-2024-48248. Cette faille de traversée de chemin permet à des attaquants non authentifiés de lire des fichiers arbitraires sur des dispositifs vulnérables. NAKIVO a corrigé cette vulnérabilité avec la version 11.0.0.88174 en novembre, après avoir été informé par la société de cybersécurité watchTowr. L'exploitation de cette faille pourrait exposer des données sensibles, y compris des fichiers de configuration et des sauvegardes, entraînant des violations de données. Bien que NAKIVO n'ait pas signalé cette vulnérabilité comme étant activement exploitée dans un avis de sécurité, il conseille aux clients de vérifier les journaux système pour détecter des tentatives d'accès non autorisées. CISA a ajouté CVE-2024-48248 à son catalogue des vulnérabilités connues exploitées, donnant aux agences fédérales trois semaines pour sécuriser leurs systèmes. Bien que cette directive s'applique uniquement aux agences fédérales, toutes les organisations sont encouragées à corriger cette vulnérabilité rapidement pour prévenir des attaques potentielles. NAKIVO compte plus de 30 000 clients dans 183 pays, y compris des entreprises renommées.
Sources :
Extensions VScode trouvées téléchargement des ransomwares à un stade précoce
Deux extensions malveillantes sur le marché de VSCode, "ahban.shiba" et "ahban.cychelloworld", ont été découvertes en train de déployer un ransomware en développement, mettant en lumière des lacunes dans le processus de révision de Microsoft. Téléchargées respectivement sept et huit fois, ces extensions ont été mises en ligne le 27 octobre 2024 et le 17 février 2025, contournant les processus de sécurité. ReversingLabs a révélé que ces extensions contenaient une commande PowerShell qui téléchargeait et exécutait un script PS agissant comme ransomware depuis un serveur Amazon AWS. Ce ransomware, en phase de test, ne chiffrait que des fichiers dans un dossier spécifique et affichait un message demandant un paiement en ShibaCoin pour la récupération des fichiers. Bien que Microsoft ait rapidement retiré les extensions après signalement, un chercheur en sécurité a indiqué que leur scanner avait alerté Microsoft plus tôt sans réponse. L'extension ahban.cychelloworld a ajouté le code malveillant dans une mise à jour, acceptée sans vérification adéquate. Cet incident souligne une faille préoccupante dans le processus de révision de Microsoft, qui a récemment été critiqué pour avoir retiré trop rapidement des extensions non malveillantes.
Sources :
Les défauts critiques de l'utilitaire de licence Smart Cisco sont désormais exploités dans les attaques
Des attaquants exploitent désormais des vulnérabilités critiques dans l'application Cisco Smart Licensing Utility (CSLU), qui permet aux administrateurs de gérer des licences sans connexion au cloud. Cisco a corrigé une faille (CVE-2024-20439) en septembre, révélant un compte administrateur avec des identifiants statiques non documentés, permettant à des attaquants non authentifiés d'accéder à distance aux systèmes non corrigés. Une seconde vulnérabilité (CVE-2024-20440) permet également d'accéder à des fichiers journaux contenant des données sensibles via des requêtes HTTP malveillantes. Ces failles ne touchent que les versions vulnérables de CSLU et nécessitent que l'application soit lancée. Nicholas Starke, chercheur en sécurité, a publié des détails techniques sur ces vulnérabilités peu après la mise à disposition des correctifs. Bien qu'aucune exploitation active n'ait été observée initialement, des tentatives d'attaques ciblant des instances CSLU exposées sur Internet ont été signalées. Cisco a déclaré qu'aucune preuve d'exploitation n'avait été trouvée, mais des préoccupations persistent quant à la sécurité de ses produits, notamment en raison de précédentes découvertes de comptes backdoor dans d'autres logiciels.
Sources :
Une banque de sperme piratée : données personnelles volées
California Cryobank (CCB), la plus grande banque de sperme des États-Unis, a récemment annoncé une fuite de données ayant potentiellement exposé les informations personnelles de ses clients. L'incident, survenu entre le 20 et le 22 avril 2024, a été détecté le 21 avril, entraînant une enquête interne. Bien que CCB ait confirmé l'accès non autorisé à des fichiers sensibles, les détails techniques de l'attaque et le nombre de personnes affectées restent flous. Les données compromises pourraient inclure des noms, numéros de sécurité sociale, coordonnées bancaires et informations sur l'assurance santé, soulevant des inquiétudes quant à l'usurpation d'identité et à la fraude financière. En réponse, CCB a renforcé sa cybersécurité et a commencé à notifier les clients concernés en mars 2025, leur offrant une année gratuite de services de surveillance de crédit. Cette violation soulève des questions cruciales sur la protection des données dans le secteur de la santé reproductive, mettant en lumière les risques associés à la gestion d'informations sensibles. Les clients, laissés dans l'incertitude pendant un an, doivent maintenant naviguer dans les conséquences potentielles de cette brèche.
Sources :
Pékin accuse Taïwan de cyberattaques massives : la guerre numérique s’intensifie
La Chine accuse Taïwan d'être responsable de cyberattaques massives visant ses infrastructures stratégiques, aggravant ainsi les tensions entre les deux nations. Pékin a identifié quatre hackers taïwanais, Lin Yushu, Cai Jiehong, Nian Xiaofan et Wang Haoming, qu'il accuse d'avoir orchestré ces attaques, prétendument commanditées par le gouvernement taïwanais et le Parti démocrate progressiste (DPP). En réponse, Taïwan dément toute implication et qualifie ces accusations de propagande chinoise destinée à justifier une intervention militaire. Le ministère taïwanais de la Défense insiste sur le fait que ses activités cybernétiques sont défensives, visant à protéger l'île des menaces chinoises. Cette escalade dans le cyberespace s'inscrit dans un contexte de tensions militaires croissantes, avec des incursions aériennes et maritimes de la Chine autour de Taïwan. Pékin menace de représailles, notamment par un renforcement de la surveillance cybernétique et des mesures économiques ou militaires. La guerre numérique est désormais un champ de bataille stratégique, avec des implications potentielles sur la stabilité régionale, où la maîtrise du cyberespace pourrait devenir un facteur décisif dans le rapport de force entre les deux pays.
Sources :
- https://www.zataz.com/pekin-accuse-taiwan-de-cyberattaques-massives-la-guerre-numerique-sintensifie/
RansomHub Ransomware utilise la porte dérobée «multifonction»
Un nouveau logiciel malveillant, nommé Betruger, a été identifié dans plusieurs attaques récentes de ransomware, lié à un affilié de l'opération RansomHub. Selon les chercheurs de Symantec, Betruger est un "backdoor multi-fonction" conçu spécifiquement pour les attaques de ransomware. Ses capacités incluent la journalisation des frappes, l'analyse de réseau, l'escalade de privilèges, le vol de données d'identification, la capture d'écran et le téléchargement de fichiers vers un serveur de commande et de contrôle. Cette approche vise à réduire le nombre d'outils malveillants déployés sur un réseau ciblé lors de la préparation d'une attaque. Contrairement à d'autres groupes de ransomware qui utilisent principalement des outils légitimes ou des malwares disponibles publiquement, RansomHub a opté pour un logiciel personnalisé. Le groupe, actif depuis février 2024, a ciblé des victimes de renom, notamment Halliburton et Christie's, et a été impliqué dans des extorsions basées sur le vol de données plutôt que sur le chiffrement. L'FBI a signalé que RansomHub a compromis plus de 200 victimes dans des secteurs critiques aux États-Unis, y compris la santé et les infrastructures essentielles.
Sources :
Le Royaume-Uni exhorte les organisations critiques à adopter la cryptographie quantique d'ici 2035
Le Centre national de cybersécurité du Royaume-Uni (NCSC) a publié des directives précises concernant la migration vers la cryptographie post-quantique (PQC), exigeant que les organisations critiques achèvent cette transition d'ici 2035. Ce plan vise à structurer la migration avec des étapes claires, soulignant les risques de sécurité liés à un retard dans l'adoption de ces nouvelles technologies. Ollie Whitehouse, CTO du NCSC, a déclaré que l'essor de l'informatique quantique pourrait menacer les méthodes de cryptage actuelles, rendant cette migration essentielle pour protéger les données sensibles. Les directives s'adressent principalement aux agences gouvernementales, aux grandes entreprises et aux opérateurs d'infrastructures critiques. Le calendrier de migration stipule que d'ici 2028, les organisations doivent définir leurs objectifs et évaluer leurs dépendances cryptographiques. D'ici 2031, elles doivent réaliser les activités de migration prioritaires et affiner leur plan. Enfin, d'ici 2035, la migration complète vers la PQC doit être achevée. Le NCSC recommande d'adopter des algorithmes PQC approuvés par le NIST, qui seront fondamentaux pour la sécurité post-quantique. Un programme pilote sera lancé pour aider les organisations dans cette transition complexe.
