Nouveau malware macOS « Cthulhu Stealer » cible les données des utilisateurs d'Apple - Actus du 23/08/2024
Des pirates russes arrêtés en Argentine blanchissant des millions pour Lazarus, l'outil CAPTCHA de Greasy Opal qui lutte contre la cybercriminalité depuis 16 ans, et un webinaire sur les plateformes de cybersécurité tout-en-un. Découvrez toutes les actualités clés sur notre blog !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des pirates russes blanchissent des millions pour Lazarus et sont arrêtés en Argentine
La police fédérale argentine a arrêté un ressortissant russe de 29 ans à Buenos Aires, accusé de blanchiment d'argent lié aux fonds en cryptomonnaie des hackers nord-coréens du groupe Lazarus. En collaboration avec TRM Labs, les enquêteurs ont réussi à identifier le suspect, malgré son utilisation d'un réseau complexe de transactions sur plusieurs blockchains pour dissimuler l'origine des actifs. Ce dernier aurait traité jusqu'à 100 millions de dollars provenant de hackers, notamment suite au piratage de Harmony Horizon en juin 2022. L'individu a mis en place une opération de blanchiment dans son appartement, où des échanges de devises et des transferts de cryptomonnaies avaient lieu quotidiennement. Les investigations ont révélé qu'il avait acheté plus de 1,3 million de USDT avec des roubles russes et effectué 2 463 transferts via Binance Pay, totalisant plus de 4,5 millions de USDT. Après deux ans en Argentine, il a été localisé grâce à des informations de Binance. Les agents ont saisi des appareils électroniques et deux portefeuilles de cryptomonnaies contenant 15 millions de dollars d'actifs liés au suspect. Le groupe Lazarus utilise désormais un nouveau service de blanchiment, YoMix.
Sources :
Le solveur CAPTCHA de Greasy Opal continue de lutter contre la cybercriminalité après 16 ans
Greasy Opal, un développeur actif depuis près de 20 ans, propose un outil de contournement des CAPTCHA qui alimente l'industrie du cybercrime-as-a-service. Bien que se présentant comme une entreprise légitime, ses logiciels sont utilisés pour cibler des gouvernements et des entreprises technologiques majeures, telles qu'Amazon et Facebook. Parmi ses clients figure le groupe de cybercriminalité vietnamien Storm-1152, responsable de la création de 750 millions de comptes Microsoft. Les chercheurs d'Arkose Labs, spécialisés dans la détection de bots, ont observé l'utilisation des outils de Greasy Opal par divers acteurs malveillants. Le logiciel, qui utilise une technologie avancée de reconnaissance optique de caractères (OCR) et des modèles d'apprentissage automatique, est capable de résoudre des CAPTCHA avec une grande précision. Greasy Opal propose une version gratuite et une version payante, avec des abonnements mensuels, générant des revenus estimés à 1,7 million de dollars l'année dernière. Bien qu'il ne soit pas directement impliqué dans des attaques, Greasy Opal est conscient de l'utilisation illégale de ses outils tout en maintenant une façade légitime. Les cibles incluent des services publics en Russie, au Brésil et aux États-Unis, ainsi que des entreprises technologiques.
Sources :
Webinaire : Découvrez la puissance d'une plateforme de cybersécurité tout-en-un indispensable
Le monde de la cybersécurité ressemble à un champ de bataille constant, où les menaces sont omniprésentes et la gestion des alertes est épuisante. Cependant, une solution tout-en-un pourrait révolutionner cette expérience. Le webinaire "Étape par étape : Comment atteindre une protection totale avec une plateforme tout-en-un" propose une démonstration en direct par des experts de Cynet, reconnus pour leurs performances lors des évaluations MITRE ATT&CK. Les participants pourront observer une simulation d'attaques réelles, illustrant comment la plateforme détecte, enquête et neutralise les menaces en temps réel. Ils bénéficieront d'une visibilité complète sur leur environnement de sécurité, d'une réduction significative des faux positifs, et d'une diminution de 90 % du traitement manuel grâce à l'automatisation. De plus, l'expertise du SOC de Cynet assure une protection continue 24/7. Ce webinaire s'adresse aux fournisseurs de services gérés souhaitant se transformer en MSSP et aux petites et moyennes entreprises désireuses de se défendre contre des menaces similaires à celles des grandes entreprises. Ne manquez pas cette occasion d'acquérir des connaissances pratiques pour simplifier votre charge de travail et renforcer la sécurité de votre organisation. Inscrivez-vous dès aujourd'hui !
Sources :
Concentrez-vous sur ce qui compte le plus : la gestion de l'exposition et votre surface d'attaque
Lors d'une récente intervention, Andy Hornegold, VP Produit chez Intruder, a souligné l'importance de la gestion de l'exposition, qui englobe la gestion des actifs de données, des identités utilisateurs et des configurations de comptes cloud. Ce processus permet aux organisations d'évaluer en continu la visibilité, l'accessibilité et la vulnérabilité de leurs actifs numériques. Avec l'augmentation des systèmes exposés à Internet et les mises à jour fréquentes des applications via des processus CI/CD, des failles de sécurité exploitables peuvent apparaître. Par exemple, l'exposition de Windows Remote Desktop à Internet, bien qu'aucune CVE ne soit associée, représente un risque potentiel. Une priorisation efficace des problèmes nécessite un contexte adéquat pour concentrer les ressources sur les enjeux critiques. Intruder propose une approche de gestion de l'exposition qui aide à filtrer les distractions et à se concentrer sur les vulnérabilités significatives. Des exemples récents, comme la découverte d'une porte dérobée dans xz-utils, illustrent la nécessité d'une vigilance accrue. Intruder offre une vue d'ensemble des systèmes exposés et facilite la découverte et la priorisation des vulnérabilités, permettant ainsi aux équipes de se concentrer sur les problèmes ayant le plus d'impact pour sécuriser leur environnement numérique.
Sources :
La nouvelle attaque de ransomware Qilin utilise les identifiants VPN et vole les données de Chrome
Un récent rapport de Sophos révèle une attaque par ransomware Qilin, détectée en juillet 2024, où des acteurs malveillants ont volé des identifiants stockés dans les navigateurs Google Chrome sur des points d'accès compromis. Cette méthode de collecte de données d'identification, associée à une infection par ransomware, est inhabituelle et pourrait avoir des conséquences graves. L'attaque a été facilitée par des identifiants compromis d'un portail VPN sans authentification multi-facteurs (MFA). Après 18 jours d'accès initial, les attaquants ont modifié la politique de domaine par défaut pour introduire un script PowerShell, "IPScanner.ps1", destiné à collecter des données d'identification. Les utilisateurs, sans le savoir, ont déclenché ce script, permettant aux attaquants d'exfiltrer les identifiants avant de chiffrer les fichiers et de laisser une note de rançon. Les paiements de rançon ont considérablement augmenté, atteignant une médiane de 1,5 million de dollars en juin 2024. Les groupes de ransomware, notamment ceux de langue russe, continuent de cibler des entreprises critiques, profitant de la nature essentielle de leurs opérations. De plus, une augmentation des attaques contre les PME et une fragmentation des marchés criminels sont observées, exacerbées par des escroqueries de sortie et la désaffiliation des affiliés des grandes marques.
Sources :
Un nouveau malware macOS « Cthulhu Stealer » cible les données des utilisateurs d'Apple
Des chercheurs en cybersécurité ont découvert un nouvel outil de vol d'informations, nommé Cthulhu Stealer, ciblant les hôtes macOS. Disponible depuis fin 2023 sous un modèle de malware-as-a-service pour 500 $ par mois, il s'attaque aux architectures x86_64 et Arm. Ce malware, écrit en Golang, se présente sous la forme d'une image disque Apple (DMG) contenant deux binaires, imitant des logiciels légitimes tels que CleanMyMac et Adobe GenP. Lorsqu'un utilisateur lance le fichier non signé, il est invité à entrer son mot de passe système, une technique déjà utilisée par d'autres malwares. Cthulhu Stealer vise à dérober des informations système, des mots de passe iCloud et des données de comptes Telegram, en utilisant un outil open-source appelé Chainbreaker. Les données volées sont compressées et envoyées à un serveur de commande et de contrôle. Bien que les menaces sur macOS soient moins fréquentes que sur Windows, les utilisateurs sont conseillés de télécharger des logiciels uniquement à partir de sources fiables. En réponse à cette montée des malwares, Apple a annoncé des mises à jour pour renforcer la sécurité de son système d'exploitation, rendant plus difficile l'ouverture de logiciels non signés.
Sources :
Un pirate informatique letton extradé vers les États-Unis pour son rôle dans le groupe de cybercriminalité Karakurt
Deniss Zolotarjovs, un citoyen letton de 33 ans vivant à Moscou, a été inculpé aux États-Unis pour vol de données, extorsion et blanchiment d'argent depuis août 2021. Il a été arrêté en Géorgie en décembre 2023 et extradé vers les États-Unis ce mois-ci. Selon le ministère américain de la Justice, Zolotarjovs est membre d'une organisation criminelle cybernétique connue pour attaquer des systèmes informatiques à l'échelle mondiale. Ce groupe vole des données de victimes et menace de les divulguer à moins qu'un rançon en cryptomonnaie ne soit payée. Zolotarjovs aurait joué un rôle actif dans le groupe d'e-crime Karakurt, qui a émergé après la répression de Conti en 2022. Des communications révèlent qu'il était impliqué dans les négociations d'extorsion et la recherche d'informations sur les victimes. Le FBI a pu relier son pseudonyme "Sforza_cesarini" à Zolotarjovs grâce à des transferts de Bitcoin et des données d'Apple. Il est le premier membre présumé de Karakurt à être arrêté et extradé, ce qui pourrait faciliter l'identification d'autres membres. Le groupe a également harcelé les employés et partenaires des victimes pour les inciter à payer.
Sources :
Des pirates informatiques exploitent un bug critique dans le plugin LiteSpeed Cache
Des hackers exploitent une vulnérabilité critique dans le plugin LiteSpeed Cache, utilisé pour améliorer les temps de réponse sur WordPress. Identifiée sous le code CVE-2024-28000, cette faille permet une élévation de privilèges sans authentification dans toutes les versions jusqu'à 6.3.0.1. Le problème provient d'un contrôle de hachage faible dans la fonctionnalité de simulation d'utilisateur, permettant aux attaquants de forcer le hachage pour créer de faux comptes administrateurs. Cela peut entraîner une prise de contrôle complète des sites affectés, avec des conséquences telles que l'installation de plugins malveillants, la modification de paramètres critiques, la redirection de trafic vers des sites malveillants et le vol de données utilisateur. Rafie Muhammad de Patchstack a démontré qu'une attaque par force brute, en testant les 1 million de valeurs de hachage possibles, peut donner accès à un site en quelques heures à une semaine. Actuellement, seulement 30 % des 5 millions de sites utilisant LiteSpeed Cache sont à jour, laissant des millions de sites vulnérables. Wordfence a signalé plus de 48 500 attaques ciblant cette vulnérabilité en 24 heures. Les utilisateurs sont fortement conseillés de mettre à jour vers la version 6.4.1 ou de désinstaller le plugin.
Sources :
Le ransomware Qilin vole désormais les identifiants des navigateurs Chrome
Le groupe de ransomware Qilin a récemment adopté une nouvelle méthode en déployant un voleur de données personnalisé pour dérober les identifiants de compte stockés dans le navigateur Google Chrome. Cette technique a été observée par l'équipe Sophos X-Ops lors d'interventions en réponse à des incidents, signalant un changement préoccupant dans le paysage des ransomwares. L'attaque a commencé par l'accès de Qilin à un réseau via des identifiants compromis d'un portail VPN sans authentification multi-facteurs (MFA). Après 18 jours d'inactivité, les attaquants ont modifié des objets de stratégie de groupe (GPO) pour exécuter un script PowerShell sur toutes les machines du réseau, collectant ainsi les identifiants de Chrome. Les informations volées étaient ensuite envoyées à un serveur de commande et de contrôle, tandis que les copies locales étaient effacées pour dissimuler l'activité malveillante. Ce ciblage des identifiants de Chrome complique la défense contre les attaques de ransomware, car chaque machine connectée au domaine était vulnérable. Pour atténuer ce risque, les organisations doivent interdire le stockage d'informations sensibles sur les navigateurs, mettre en œuvre l'authentification multi-facteurs et appliquer le principe du moindre privilège.
Sources :
NIS2 : une nouvelle ère pour la cybersécurité européenne ?
La directive NIS2 de l'Union européenne marque une avancée significative dans la sécurité de l'information, élargissant le champ d'application de la précédente directive NIS1 pour inclure divers secteurs, y compris les PME. Elle impose aux entités concernées de mettre en place un système efficace de remontée des incidents, garantissant une notification rapide et une analyse approfondie des cyberattaques. Ce cadre réglementaire met également en avant le principe de « Zero Trust », qui exige une vérification systématique des accès aux ressources informatiques, renforçant ainsi la sécurité contre les menaces internes et externes. Face aux exigences croissantes de NIS2, l'externalisation de la gestion des incidents cyber et du Security Operation Center (SOC) devient une stratégie pertinente pour les entreprises. Cela leur permet de bénéficier de l'expertise spécialisée et de technologies avancées, tout en assurant une réponse rapide aux incidents. En adoptant des stratégies proactives comme l'externalisation et le principe de « Zero Trust », les entreprises non seulement se conforment à NIS2, mais améliorent également leur résilience face à un paysage de menaces en constante évolution, protégeant ainsi leurs informations et infrastructures critiques.
Sources :
Kaspersky a identifié un nouveau plugin d’espionnage de BlindEagle
Le groupe d'espionnage BlindEagle, actif depuis 2018, a récemment modifié ses méthodes d'attaque, intégrant un nouveau plugin d'espionnage et utilisant des sites d'hébergement brésiliens pour distribuer des malwares. Kaspersky a observé une augmentation des éléments en portugais dans le code malveillant, suggérant une collaboration avec d'autres acteurs de la menace. Dans une campagne de mai 2024, BlindEagle a principalement utilisé njRAT, enrichi de nouvelles fonctionnalités, dont un plugin permettant l'exécution de fichiers binaires et .NET, facilitant l'espionnage et la collecte d'informations sensibles. Les cybercriminels ont employé des techniques de spear phishing, se faisant passer pour des entités gouvernementales, et ont envoyé des courriels contenant des pièces jointes malveillantes déguisées en PDF. Une autre campagne en juin 2024 a introduit la technique de sideloading de DLL, utilisant des documents malveillants pour inciter les victimes à télécharger des fichiers infectés. BlindEagle, également connu sous le nom d'APT-C-36, cible principalement des organisations et des individus en Amérique latine, visant à voler des informations financières. Ces évolutions soulignent la sophistication croissante des menaces cybernétiques dans la région.
Sources :
Alerte vulnérabilité cartes à puce RFID – une porte dérobée permet le clonage de millions de cartes RFID ouvrant de nombreux accès
Quarkslab a identifié une vulnérabilité majeure dans les cartes à puce MIFARE Classic, largement utilisées pour l'accès dans divers secteurs tels que les bureaux, les hôtels et les transports. Malgré des tentatives de sécurisation avec de nouvelles versions, ces cartes ont continué à être la cible d'attaques. En 2020, une variante non licenciée, la FM11RF08S, a été lancée par un fabricant chinois, prétendant intégrer des contre-mesures contre les attaques connues. Cependant, Quarkslab a découvert une porte dérobée matérielle dans cette puce, permettant à quiconque ayant connaissance de cette faille de compromettre les clés d'utilisateur des cartes en quelques minutes. De plus, des recherches sur des modèles plus anciens ont révélé une autre clé de porte dérobée commune à plusieurs fabricants, soulignant une vulnérabilité généralisée. Cette découverte soulève des inquiétudes quant à la sécurité de milliards de cartes vendues dans le monde, mettant en lumière la nécessité d'une vigilance accrue dans le domaine de la cybersécurité. Les implications de cette faille sont considérables, tant pour les utilisateurs que pour les fabricants, et nécessitent une réponse rapide pour protéger les systèmes d'accès critiques.
Sources :
La méfiance de Google à l’égard d’Entrust : ce que les entreprises doivent savoir
Google a décidé de ne plus reconnaître les certificats émis par les autorités de certification racine d'Entrust après le 31 octobre 2024, en raison de manquements à la conformité et d'un manque de progrès face à des incidents signalés. Cette décision vise à protéger l'intégrité de l'infrastructure à clé publique (PKI) du web, essentielle pour garantir la confidentialité et l'authenticité des communications. Les entreprises doivent remplacer leurs certificats Entrust pour maintenir l'accessibilité de leurs sites via Google Chrome, qui représente plus de 65 % des utilisateurs d'Internet. Cette situation souligne l'importance de l'agilité des autorités de certification et la nécessité d'une stratégie multi-AC pour minimiser les risques. Les entreprises doivent également être prêtes à gérer les révocations de certificats et à installer de nouveaux certificats sans perturber leurs activités. De plus, il est conseillé de ne pas dépendre d'une seule AC publique et d'envisager l'utilisation de PKI privées pour renforcer la sécurité interne. Enfin, cette situation préfigure les défis à venir liés à la cryptographie post-quantique, incitant les entreprises à anticiper la migration vers des algorithmes sécurisés pour éviter des perturbations majeures.
Sources :
Garantir aux petites entreprises une expérience IA sûre et sécurisée
Selon le rapport "State of AI in 2023" de McKinsey, environ 25 % des travailleurs mondiaux utilisent régulièrement l'IA générative. Christophe Gaultier, Directeur d'OpenText Cybersecurity France & Belux, souligne que les petites et moyennes entreprises (PME), malgré leurs ressources limitées, peuvent tirer parti de cette technologie pour répondre à diverses demandes. Des outils comme ChatGPT et Microsoft Copilot permettent d'optimiser les tâches répétitives et d'encourager l'innovation. Toutefois, l'adoption de l'IA générative doit se faire avec prudence, en tenant compte des risques de cybersécurité. L'IA peut renforcer la sécurité des données en facilitant l'application de contrôles d'accès et en améliorant la détection des anomalies. De plus, les chatbots alimentés par l'IA peuvent améliorer l'assistance client, augmentant ainsi la satisfaction. Les PME doivent également veiller à respecter les réglementations pour maintenir la confiance des parties prenantes. Il est crucial d'interdire l'accès de l'IA à des informations sensibles et de créer des politiques internes pour protéger les données. Enfin, les PME doivent s'assurer que leurs partenaires adoptent également des pratiques responsables en matière d'IA pour garantir une utilisation sécurisée et bénéfique de cette technologie.
Sources :
ChatGPT et données privées : que lui confier en toute sécurité ?
En mai dernier, OpenAI a dissous son équipe de sécurité après le départ de deux dirigeants clés, soulevant des inquiétudes sur la gestion des données utilisateurs. Shaked Reiner, chercheur en sécurité, souligne que la politique d'OpenAI stipule que ChatGPT collecte de nombreuses informations personnelles, y compris des données de compte et des informations d'utilisation. Bien que ces données soient utilisées pour améliorer les services, l'opacité entourant leur utilisation réelle suscite des préoccupations quant à la vie privée des utilisateurs. Même si OpenAI permet aux utilisateurs d'effacer leurs données, il est difficile de garantir qu'elles n'ont pas été stockées auparavant, ce qui limite le contrôle des utilisateurs sur leur confidentialité. Reiner avertit que les utilisateurs de ChatGPT doivent éviter de partager des informations sensibles, comme des mots de passe ou des données financières, car les modèles de langage peuvent être manipulés par des acteurs malveillants. Cette prudence est également cruciale pour les entreprises qui adoptent l'IA pour renforcer leur sécurité informatique. En somme, il est essentiel que les utilisateurs restent vigilants et informés sur les politiques de confidentialité et les mesures de sécurité des outils d'IA qu'ils utilisent.
Sources :
Une porte dérobée matérielle découverte dans des cartes RFID utilisées dans des hôtels et des bureaux du monde entier
Des chercheurs en cybersécurité ont découvert une porte dérobée matérielle dans un modèle de cartes sans contact MIFARE Classic, permettant une authentification avec une clé inconnue, ouvrant ainsi des portes d'hôtels et de bureaux. Cette vulnérabilité concerne le FM11RF08S, une variante lancée par Shanghai Fudan Microelectronics en 2020. Philippe Teuwen de Quarkslab a expliqué que cette porte dérobée permet à quiconque en ayant connaissance de compromettre toutes les clés définies par l'utilisateur, même lorsqu'elles sont diversifiées, simplement en accédant à la carte pendant quelques minutes. De plus, une porte dérobée similaire a été identifiée dans la génération précédente, le FM11RF08, utilisée depuis 2007. Une version optimisée de l'attaque pourrait accélérer le processus de déchiffrement de la clé de cinq à six fois. Les cartes concernées sont largement utilisées dans les hôtels aux États-Unis, en Europe et en Inde, incitant les consommateurs à vérifier leur vulnérabilité. Ce n'est pas la première fois que des problèmes de sécurité sont révélés dans les systèmes de verrouillage d'hôtels, comme l'a montré une faille récente dans les serrures électroniques RFID de Dormakaba.
Sources :
Une vulnérabilité d'identifiants codés en dur a été détectée dans le service d'assistance Web de SolarWinds
SolarWinds a publié des correctifs pour une nouvelle vulnérabilité de sécurité dans son logiciel Web Help Desk (WHD), permettant à des utilisateurs distants non authentifiés d'accéder à des instances vulnérables. Cette faille, identifiée sous le code CVE-2024-28987, est notée 9.1 sur l'échelle CVSS, indiquant une gravité critique. Le chercheur en sécurité Zach Hanley de Horizon3.ai a découvert et signalé cette vulnérabilité. Les utilisateurs sont invités à mettre à jour vers la version 12.8.3 Hotfix 2, bien que l'application de ce correctif nécessite d'avoir déjà la version 12.8.3.1813 ou 12.8.3 HF1. Cette annonce survient une semaine après que SolarWinds a résolu une autre vulnérabilité critique dans le même logiciel, qui permettait l'exécution de code arbitraire (CVE-2024-28986, score CVSS : 9.8). Cette dernière faille est déjà exploitée activement, selon l'Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA), bien que les détails sur son exploitation restent flous. Des informations supplémentaires concernant CVE-2024-28987 devraient être publiées le mois prochain, rendant impératif l'installation rapide des mises à jour pour atténuer les menaces potentielles.
Sources :
Microsoft : les mises à jour d'août provoquent des problèmes de démarrage et de blocage de Windows Server
Microsoft a confirmé un problème connu affectant les systèmes Windows Server 2019, provoquant des ralentissements, des problèmes de démarrage et des gels après l'installation des mises à jour de sécurité d'août 2024. Ce problème a été signalé par de nombreux administrateurs, qui ont constaté que leurs serveurs devenaient inutilisables après l'installation de la mise à jour cumulative KB5041578. Les symptômes incluent une utilisation élevée du CPU, des latences de disque accrues, des performances dégradées du système d'exploitation ou des applications, ainsi qu'un écran noir au démarrage. Microsoft a identifié que ce problème était lié à des logiciels antivirus, notamment le service Antimalware Service Executable de Windows Defender, qui effectue des analyses sur le dossier de mise à jour. Pour résoudre ce problème, Microsoft a mis en place un retour sur problème connu (KIR) et recommande aux administrateurs de configurer une stratégie de groupe spécifique pour les appareils touchés. Une mise à jour future intégrera également la solution. En outre, Microsoft a signalé que les mises à jour de sécurité d'août 2024 affectaient également le démarrage de Linux sur les systèmes à double démarrage avec Secure Boot activé.
Sources :
Un nouveau malware Android NGate utilise la puce NFC pour voler les données de cartes de crédit
Un nouveau malware Android, nommé NGate, a été découvert, capable de voler des données de cartes de paiement via la technologie NFC. Actif depuis novembre 2023, NGate permet aux attaquants d'émuler les cartes des victimes pour effectuer des paiements non autorisés ou retirer de l'argent aux distributeurs automatiques. Les attaques commencent par des messages malveillants ou des appels automatisés incitant les victimes à installer une application web progressive (PWA) déguisée en mise à jour de sécurité. Ces applications abusent de l'interface de connexion des banques pour dérober les identifiants des utilisateurs. Une fois installée, NGate active un composant open-source, 'NFCGate', qui permet de capturer et relayer les données NFC sans nécessiter un accès root. Les attaquants peuvent ainsi enregistrer ces données comme une carte virtuelle et les utiliser pour des paiements sans contact. ESET, la société de cybersécurité, a démontré que NGate peut également cloner des identifiants uniques de cartes d'accès NFC. Bien qu'un cybercriminel ait été arrêté à Prague, cette méthode représente un risque croissant pour les utilisateurs Android, avec des implications potentielles au-delà des pertes financières, incluant le clonage de badges d'accès et de billets de transport.
Sources :
Des pirates informatiques chinois exploitent une faille zero-day sur un commutateur Cisco pour prendre le contrôle du système
Un groupe de menaces lié à la Chine, connu sous le nom de Velvet Ant, a exploité une vulnérabilité récemment révélée dans les commutateurs Cisco, CVE-2024-20399, pour prendre le contrôle des appareils et éviter la détection. Cette faille, avec un score CVSS de 6.0, permet à un attaquant disposant de droits d'administrateur d'échapper à l'interface de ligne de commande NX-OS et d'exécuter des commandes arbitraires sur le système d'exploitation Linux sous-jacent. Les chercheurs de Sygnia ont observé cette activité au début de l'année, dans le cadre d'une campagne d'espionnage ciblant une organisation en Asie de l'Est, utilisant des appareils F5 BIG-IP pour établir une persistance. La sophistication des techniques d'infiltration, passant des systèmes Windows aux serveurs et appareils réseau, témoigne d'une escalade dans les méthodes d'évasion. L'attaque implique l'utilisation de VELVETSHELL, un malware combinant un backdoor Unix et un utilitaire proxy, permettant l'exécution de commandes, le téléchargement de fichiers et l'établissement de tunnels pour le trafic réseau. Sygnia souligne les risques associés aux appareils tiers, qui peuvent devenir des surfaces d'attaque exploitables en raison de leur nature opaque.
Sources :
Microsoft confirme que les mises à jour d'août interrompent le démarrage de Linux dans les systèmes à double démarrage
Microsoft a confirmé que les mises à jour de sécurité de Windows d'août 2024 provoquent des problèmes de démarrage de Linux sur les systèmes à double amorçage avec Secure Boot activé. Ce problème résulte d'une mise à jour de Secure Boot Advanced Targeting (SBAT) visant à bloquer les chargeurs de démarrage Linux non corrigés contre la vulnérabilité CVE-2022-2601. Les utilisateurs touchés rencontrent un message d'erreur indiquant une violation de la politique de sécurité lors du démarrage de Linux. Bien que Microsoft ait prévu que la mise à jour SBAT ne s'applique pas aux appareils détectant un double amorçage, des méthodes personnalisées n'ont pas été reconnues, entraînant l'application incorrecte de cette mise à jour. De nombreux utilisateurs de distributions Linux comme Ubuntu et Linux Mint ont signalé des échecs de démarrage après l'installation des mises à jour. Pour ceux déjà affectés, les solutions proposées, comme la suppression de la politique SBAT, ne fonctionnent pas toujours. La seule méthode vérifiée consiste à désactiver Secure Boot, réinstaller Linux, puis réactiver Secure Boot. Microsoft enquête sur ce problème et a fourni une clé de registre pour éviter l'installation des mises à jour défectueuses pour ceux qui ne les ont pas encore appliquées.
