Pirates informatiques russes ciblent les ONG et médias d'Europe de l'Est - Actus du 15/08/2024
Découvrez comment Microsoft résout les plantages d'Outlook et Word, la menace des pirates russes sur les ONG et médias d'Europe de l'Est, et explorez notre guide complet sur les solutions de détection et de réponse aux menaces d'identité ! #Cybersécurité #Microsoft #PiratesInformatiques
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft partage un correctif temporaire pour Outlook et Word qui se bloquent lors de la saisie
Microsoft a publié une solution temporaire pour un problème connu qui provoque des plantages inattendus des applications Microsoft 365, telles qu'Outlook, Word et OneNote, lors de la saisie ou de la vérification orthographique. Ce problème affecte les utilisateurs ayant mis à jour vers la version 2407 Build 17830.20138 ou supérieure. Les clients concernés peuvent vérifier la présence de ce problème dans le Journal des événements Windows, en recherchant les événements 1000 ou 1001 avec les codes d'exception 0xc0000005. Selon Microsoft, ces plantages sont causés par une différence de version entre Office et les packs linguistiques installés. Le nom du module défaillant varie selon les packs linguistiques, comme mscss7it.dll pour l'italien ou mscss7de.dll pour l'allemand. La solution temporaire consiste à effectuer une réparation en ligne de l'application Office. Si les plantages persistent, il est conseillé de désinstaller et de réinstaller le pack linguistique problématique. Microsoft travaille sur une solution définitive et a également partagé un contournement pour un autre problème empêchant la connexion à des comptes Gmail dans Outlook classique.
Sources :
Des pirates informatiques liés à la Russie ciblent les ONG et les médias d'Europe de l'Est
Des organisations à but non lucratif russes et biélorusses, ainsi que des médias indépendants russes et des ONG internationales en Europe de l'Est, ont été ciblées par deux campagnes de spear-phishing orchestrées par des acteurs alignés avec le gouvernement russe. La première campagne, nommée River of Phish, est attribuée à COLDRIVER, un collectif lié au Service fédéral de sécurité de la Russie (FSB). La seconde, COLDWASTREL, est un groupe de menaces non documenté. Les cibles incluent des figures de l'opposition russe en exil, des responsables et des universitaires américains, ainsi qu'un ancien ambassadeur des États-Unis en Ukraine. Les attaques étaient hautement personnalisées, utilisant des tactiques d'ingénierie sociale pour inciter les victimes à cliquer sur des liens dans des documents PDF piégés, redirigeant vers des pages de collecte de données d'identification. Les messages provenaient de comptes Proton Mail imitant des organisations connues des victimes. COLDWASTREL se distingue par l'utilisation de domaines similaires pour la collecte de données et des différences dans le contenu des PDF. Les attaques, enregistrées pour la première fois en mars 2023, illustrent l'efficacité persistante du phishing dans un contexte de ciblage global.
Sources :
Guide de solutions de détection et de réponse aux menaces d'identité
Les acteurs malveillants ont démontré leur capacité à compromettre les infrastructures d'identité et à se déplacer latéralement dans les environnements IaaS, SaaS, PaaS et CI/CD. Les identités humaines incluent les employés, les invités et les fournisseurs, tandis que les identités non humaines englobent les jetons, les clés et les comptes de service. Les solutions ITDR (Identity Threat Detection and Response) multi-environnement peuvent détecter et répondre aux risques liés à toutes les entités d'identité, offrant une approche unifiée plutôt que fragmentée. Les capacités essentielles d'une solution ITDR comprennent la création d'un profil d'identité universel, la détection et la réponse à haute fidélité sur l'ensemble de la surface d'attaque. Pour se protéger efficacement contre les attaques d'identité, les organisations doivent choisir une solution ITDR capable de détecter des menaces variées, telles que la détection de prise de contrôle de compte et de menaces internes. Cela implique également l'évaluation de l'authentification multi-facteurs (MFA) et le suivi des accès aux données sensibles. En corrélant les activités d'identité à travers divers environnements, les solutions ITDR fournissent une vue unifiée et des recommandations pour atténuer les menaces détectées et prévenir de futurs incidents.
Sources :
Le groupe RansomHub déploie un nouvel outil de suppression des EDR lors des dernières cyberattaques
Un groupe de cybercriminalité lié au ransomware RansomHub a développé un nouvel outil, nommé EDRKillShifter, capable de désactiver les logiciels de détection et de réponse des points de terminaison (EDR) sur des hôtes compromis. Découvert par la société de cybersécurité Sophos lors d'une attaque de ransomware échouée en mai 2024, cet outil agit comme un exécutable "loader" pour un pilote légitime vulnérable, permettant aux attaquants de livrer divers payloads selon leurs besoins. RansomHub, soupçonné d'être une rebranding du ransomware Knight, utilise des failles de sécurité connues pour accéder aux systèmes et installer des logiciels de bureau à distance pour un accès persistant. Microsoft a récemment signalé que le syndicat criminel Scattered Spider a intégré RansomHub et d'autres variantes dans ses opérations. L'exécutable, exécuté via la ligne de commande, déchiffre une ressource intégrée et exécute un payload obfusqué, exploitant des pilotes légitimes vulnérables pour obtenir des privilèges élevés et neutraliser les EDR. Pour atténuer cette menace, il est conseillé de maintenir les systèmes à jour, d'activer la protection contre les manipulations dans les logiciels EDR et de séparer les privilèges utilisateur et administrateur.
Sources :
La vulnérabilité GitHub « ArtiPACKED » expose les référentiels à une éventuelle prise de contrôle
Une nouvelle vulnérabilité dans les artefacts de GitHub Actions, nommée ArtiPACKED, pourrait permettre à des acteurs malveillants de prendre le contrôle de dépôts et d'accéder aux environnements cloud des organisations. Selon Yaron Avital de Palo Alto Networks, des erreurs de configuration et des failles de sécurité peuvent entraîner la fuite de jetons, tant pour des services cloud tiers que pour des jetons GitHub, accessibles à quiconque ayant un accès en lecture au dépôt. Cela permettrait à des attaquants de compromettre les services associés à ces secrets. Les jetons GitHub, tels que GITHUBTOKEN et ACTIONSRUNTIMETOKEN, exposés dans les artefacts, pourraient donner un accès non autorisé aux dépôts et permettre d'injecter du code malveillant dans les workflows CI/CD. Les artefacts, qui persistent pendant 90 jours, sont particulièrement vulnérables dans les projets open-source, rendant les secrets facilement exploitables. Une variable d'environnement non documentée, ACTIONSRUNTIME_TOKEN, pourrait être utilisée pour substituer un artefact par une version malveillante. Bien que GitHub ait classé ce problème comme informatif, il est crucial que les utilisateurs sécurisent leurs artefacts, surtout avec la dépréciation d'Artifacts V3, incitant les organisations à revoir leur utilisation.
Sources :
Une nouvelle cybermenace vise les diplomates d'Azerbaïdjan et d'Israël, et vole des données sensibles
Un nouvel acteur malveillant, désigné sous le nom d'Actor240524, a été identifié comme responsable d'une série d'attaques visant l'Azerbaïdjan et Israël, avec pour objectif le vol de données sensibles. Détectée par NSFOCUS le 1er juillet 2024, cette campagne d'attaques utilise des emails de phishing ciblant des diplomates des deux pays. Actor240524 est capable de dérober des secrets et de modifier des fichiers, tout en employant diverses contre-mesures pour dissimuler ses techniques. Les attaques commencent par des emails contenant des documents Word malveillants, incitant les destinataires à activer un contenu qui exécute un macro malveillant, ABCloader. Ce dernier décharge un malware DLL nommé ABCsync, qui communique avec un serveur distant pour recevoir des commandes. ABCsync exécute des shells distants, collecte des informations système et utilise des techniques d'obfuscation pour masquer des chemins de fichiers et des adresses de commande. De plus, Actor240524 vérifie l'environnement d'exécution pour éviter la détection. Les attaques ciblent les relations diplomatiques entre l'Azerbaïdjan et Israël, soulignant l'importance de la cybersécurité dans les échanges entre ces deux nations alliées.
Sources :
La nouvelle variante du botnet Gafgyt cible les mots de passe SSH faibles pour le minage de crypto-monnaie sur GPU
Des chercheurs en cybersécurité ont identifié une nouvelle variante du botnet Gafgyt, ciblant des machines avec des mots de passe SSH faibles pour miner des cryptomonnaies en utilisant la puissance de calcul GPU des instances compromises. Selon Assaf Morag d'Aqua Security, ce botnet IoT s'attaque désormais à des serveurs plus robustes dans des environnements cloud natifs. Actif depuis 2014, Gafgyt exploite des identifiants faibles pour contrôler des dispositifs tels que des routeurs et des caméras, tout en tirant parti de vulnérabilités connues dans des appareils de marques comme Dasan et Huawei. Les appareils infectés forment un botnet capable de lancer des attaques DDoS. Des preuves suggèrent que Gafgyt et Necro sont gérés par un groupe de menaces nommé Keksec. Les variantes récentes utilisent des techniques de camouflage via le réseau TOR et empruntent des modules du code source de Mirai. La dernière chaîne d'attaques implique le brute-forcing de serveurs SSH pour déployer des charges utiles de minage de cryptomonnaies, tout en éliminant les malwares concurrents. Le mineur utilisé est XMRig, ciblant spécifiquement les environnements cloud avec des capacités CPU et GPU élevées. Plus de 30 millions de serveurs SSH accessibles publiquement nécessitent une sécurisation contre ces attaques.
Sources :
Un Russe qui a vendu 300 000 cartes d'identité volées écope de 40 mois de prison
Georgy Kavzharadze, un ressortissant russe de 27 ans, a été condamné à 40 mois de prison pour avoir vendu des identifiants de connexion volés à plus de 300 000 comptes sur Slilpp, le plus grand marché en ligne d'identifiants volés, jusqu'à sa saisie en juin 2021. Selon le ministère américain de la Justice, Kavzharadze, également connu sous plusieurs pseudonymes, a mis en vente plus de 626 100 identifiants volés entre juillet 2016 et mai 2021, générant environ 1,2 million de dollars en transactions frauduleuses. Son compte sur Slilpp contenait, au moment de sa saisie, près de 240 495 identifiants permettant de voler de l'argent sur des comptes bancaires. Il n'acceptait que des paiements en Bitcoin. En mai 2021, il a été accusé de complot en vue de commettre une fraude bancaire et d'autres délits. Extradé aux États-Unis, il a plaidé coupable en février 2024. Slilpp, actif depuis 2012, a été démantelé lors d'une opération conjointe internationale, révélant l'ampleur des activités criminelles en ligne. Les autorités continuent de cibler des opérations similaires pour lutter contre la cybercriminalité.
Sources :
Fuite de données XXL de National Public Data : les données diffusées par un pirate
La fuite de données de National Public Data, révélée sur le forum Breached, souligne les risques liés à la protection des informations personnelles. Peu après, World-Check a également été infiltrée, ajoutant à une liste déjà inquiétante d'incidents, incluant LDLC, Sport2000, SFR et d'autres. Ces fuites, particulièrement préoccupantes aux États-Unis où le numéro de sécurité sociale est crucial, ouvrent la voie à des fraudes potentielles. Le Service Veille ZATAZ avait identifié cette base de données avant sa divulgation, la trouvant dans des espaces privés sur Telegram et un forum russophone. Bien que certaines données soient anciennes, elles demeurent dangereuses, affectant potentiellement de nombreuses personnes en Amérique du Nord. Les informations compromises, certaines obsolètes ou inexactes, compliquent la situation. Les recours collectifs contre National Public Data ne sont que le début des problèmes juridiques à venir. Cette affaire met en lumière l'importance pour les entreprises d'investir dans la cybersécurité et de prendre au sérieux les risques liés aux données personnelles. À l'approche des élections présidentielles américaines, ces données pourraient également être utilisées à des fins politiques malveillantes, soulignant la nécessité d'une gestion rigoureuse des informations.
Sources :
Le RCE TCP/IP sans clic de Windows affecte tous les systèmes avec IPv6 activé, corrigez-le maintenant
Microsoft a averti ses utilisateurs de patcher une vulnérabilité critique de TCP/IP, identifiée comme CVE-2024-38063, qui affecte tous les systèmes Windows utilisant IPv6, activé par défaut. Découverte par Kunlun Lab, cette faille est due à une faiblesse d'Integer Underflow, permettant aux attaquants d'exploiter des débordements de tampon pour exécuter du code arbitraire sur Windows 10, Windows 11 et Windows Server. Les attaquants non authentifiés peuvent exploiter cette vulnérabilité à distance en envoyant des paquets IPv6 spécialement conçus. Microsoft a classé cette faille comme ayant une "exploitation plus probable", soulignant qu'elle pourrait devenir une cible attrayante pour les cybercriminels. Bien que désactiver IPv6 soit une mesure d'atténuation, cela n'est pas recommandé car cela pourrait perturber certains composants Windows. Des experts en sécurité, comme Dustin Childs de Trend Micro, ont qualifié cette vulnérabilité de "wormable", ce qui signifie qu'elle pourrait se propager facilement. Les utilisateurs sont donc fortement encouragés à appliquer les mises à jour de sécurité de Windows dès que possible pour se protéger contre les potentielles attaques exploitant cette faille.
Sources :
Des artefacts GitHub Actions ont été découverts, provoquant la fuite de jetons d'authentification dans des projets populaires
Un rapport de Palo Alto Networks, publié par l'unité 42, révèle que plusieurs projets open-source de grande envergure, notamment ceux de Google, Microsoft, AWS et Red Hat, exposent des jetons d'authentification GitHub via des artefacts de GitHub Actions dans leurs workflows CI/CD. Ces fuites pourraient permettre à des attaquants d'accéder à des dépôts privés, de voler du code source ou d'injecter du code malveillant. Les problèmes identifiés incluent des paramètres par défaut non sécurisés, des erreurs de configuration des utilisateurs et des contrôles de sécurité insuffisants. Le point de vulnérabilité principal est l'action 'actions/checkout', qui persiste le jeton GitHub dans le répertoire .git local. Si un utilisateur télécharge par erreur ce répertoire, le jeton devient exposé. D'autres informations sensibles, comme des clés API, peuvent également être compromises. Les utilisateurs de GitHub doivent donc évaluer les risques et prendre des mesures pour sécuriser leurs artefacts. L'unité 42 a identifié 14 projets majeurs exposant des artefacts contenant des jetons et recommande d'éviter de télécharger des répertoires entiers, de nettoyer les journaux et de revoir régulièrement les configurations des pipelines CI/CD pour limiter les risques d'exposition.
Sources :
Les meilleures stratégies de données pour mieux protéger vos informations contre les pirates informatiques
Chaque information, chaque journal et chaque profil constitue le cœur de votre entreprise. Une collecte de données efficace peut propulser votre organisation, mais elle attire également les cybercriminels. Pour maximiser l'utilisation de vos données tout en les protégeant, il est essentiel d'adopter des stratégies de gestion des données. La gestion des données maîtresses (MDM) permet de créer un profil unique pour chaque client et produit, éliminant ainsi les incohérences et réduisant les fuites de données. La classification des données aide à sécuriser les informations sensibles, en restreignant l'accès aux personnes autorisées. Des politiques de nettoyage des données garantissent que seules les informations pertinentes sont conservées, minimisant ainsi les vulnérabilités. Les entrepôts de données centralisent les informations, facilitant l'analyse des tendances tout en renforçant la cybersécurité. La formation des employés est cruciale pour qu'ils puissent identifier les menaces. L'utilisation de l'IA et de l'apprentissage automatique permet de détecter rapidement les anomalies dans les ensembles de données. Enfin, les solutions de prévention des pertes de données (DLP) surveillent et protègent les informations sensibles, assurant une gouvernance efficace des données et une protection optimale.
Sources :
Le NIST publie les premiers outils de chiffrement pour résister à l'informatique quantique
Le National Institute of Standards and Technology (NIST) des États-Unis a publié ses trois premières normes de cryptographie conçues pour résister aux cyberattaques basées sur l'informatique quantique. Ces normes visent à protéger les informations sensibles contre des attaques futures, notamment celles utilisant la stratégie "récolter maintenant, déchiffrer plus tard". L'informatique quantique, bien que toujours en phase de développement, pourrait potentiellement déchiffrer des données protégées par des méthodes de cryptographie classiques en quelques minutes. Les nouvelles normes, qui résultent d'une évaluation de 82 algorithmes, reposent sur trois algorithmes clés : ML-KEM pour le chiffrement, ML-DSA pour les signatures numériques, et SLH-DSA comme méthode de sauvegarde pour les signatures numériques. Ces algorithmes sont basés sur des problèmes mathématiques difficiles, offrant une résistance forte contre les attaques quantiques. Le NIST exhorte les administrateurs système à adopter ces nouvelles méthodes rapidement, car la transition nécessitera du temps. Des entreprises technologiques comme Google et Apple ont déjà commencé à intégrer ces normes de cryptographie post-quantique pour sécuriser les données en transit. Le NIST continue également d'évaluer d'autres algorithmes pour des utilisations futures.
Sources :
Microsoft supprime les mises à jour Windows provoquant des erreurs 0x80070643
Microsoft a retiré plusieurs mises à jour de sécurité Windows publiées lors du Patch Tuesday de janvier 2024, qui causaient des erreurs 0x80070643 lors de l'installation des mises à jour de l'environnement de récupération Windows (WinRE). Ce problème a été reconnu par l'entreprise peu après des signalements massifs d'utilisateurs. Les mises à jour problématiques, KB5034441, KB5034440 et KB5034439, visaient à corriger une vulnérabilité de contournement de BitLocker (CVE-2024-20666). Cependant, elles affichaient des messages d'erreur génériques au lieu de l'erreur correcte liée à un espace disque insuffisant. Après plusieurs mois d'enquête, Microsoft a annoncé qu'aucune solution automatique ne serait fournie et a recommandé aux utilisateurs d'augmenter manuellement la taille de leur partition WinRE de 250 Mo. Récemment, Microsoft a remplacé les mises à jour défectueuses par de nouvelles (KB5042320, KB5042321, KB5042322) qui ne s'installeront que si la partition WinRE dispose de l'espace nécessaire. Les utilisateurs peuvent suivre des instructions manuelles ou utiliser un script pour redimensionner leur partition afin de recevoir les mises à jour.
Sources :
Les attaquants liés à Black Basta ciblent les utilisateurs avec le malware SystemBC
Une campagne de social engineering, liée au groupe de ransomware Black Basta, a été identifiée, visant à voler des identifiants et à déployer un malware nommé SystemBC. Selon Rapid7, les attaquants utilisent un "email bomb" suivi d'appels via Microsoft Teams pour inciter les utilisateurs à télécharger AnyDesk, un logiciel d'accès à distance légitime, servant de canal pour l'exfiltration de données sensibles. Un exécutable nommé "AntiSpam.exe" est également utilisé pour inciter les utilisateurs à entrer leurs identifiants Windows. Cette chaîne d'attaque inclut l'exécution de plusieurs fichiers binaires et scripts PowerShell, établissant une connexion avec un serveur distant. Pour se protéger, il est recommandé de bloquer les solutions de bureau à distance non approuvées et de rester vigilant face aux appels suspects. Parallèlement, d'autres loaders comme SocGholish et GootLoader émergent, facilitant les intrusions. Les campagnes de phishing continuent d'évoluer, utilisant des techniques sophistiquées pour distribuer des malwares, y compris des faux sites et des publicités malveillantes sur les réseaux sociaux. Ces menaces soulignent l'importance de mesures de sécurité robustes pour protéger les informations sensibles des utilisateurs.
Sources :
AutoCanada révèle une cyberattaque ayant eu un impact sur ses systèmes informatiques internes
AutoCanada a subi une cyberattaque ciblant ses systèmes informatiques internes, détectée dimanche dernier. L'entreprise a immédiatement pris des mesures pour protéger son réseau et ses données, en faisant appel à des experts en cybersécurité pour aider à la containment et à la remédiation. L'enquête est en cours pour déterminer si des données ont été compromises, et AutoCanada a déclaré que l'ampleur et l'impact de l'incident restent inconnus. Bien que les opérations commerciales soient ouvertes, des perturbations sont possibles jusqu'à la restauration complète des systèmes. AutoCanada, qui emploie plus de 4 700 personnes et gère 66 concessions au Canada et 18 aux États-Unis, a généré plus de 6 milliards de dollars de revenus l'année dernière. Dans le même temps, l'entreprise a annoncé des résultats financiers décevants pour le deuxième trimestre 2024, avec des pertes de 33,1 millions de dollars, contre un bénéfice de 45,2 millions de dollars l'année précédente. Cette situation a été exacerbée par une panne informatique massive de CDK Global, qui a également affecté les opérations d'AutoCanada. Aucune revendication d'attaque par des groupes de ransomware n'a été faite jusqu'à présent.
Sources :
SolarWinds corrige un bug critique RCE affectant toutes les versions du Web Help Desk
SolarWinds a publié un avis de sécurité concernant une vulnérabilité critique dans son logiciel Web Help Desk, identifiée sous le code CVE-2024-28986. Cette faille, liée à la désérialisation Java, permettrait à un attaquant d'exécuter du code à distance sur des machines vulnérables. Bien que la vulnérabilité ait été initialement signalée comme pouvant être exploitée sans authentification, les ingénieurs de SolarWinds ont constaté qu'elle ne pouvait être reproduite qu'après authentification. Malgré cela, elle a reçu un score de gravité de 9,8, affectant toutes les versions de Web Help Desk, à l'exception de la version 12.8.3, si le correctif est appliqué. SolarWinds recommande à tous les utilisateurs de WHD de mettre à jour vers la dernière version et d'appliquer le correctif dès que possible. Le correctif est disponible sous forme d'archive ZIP et nécessite des modifications manuelles de fichiers spécifiques. L'entreprise a également publié un article de support détaillant les instructions pour appliquer et retirer le correctif, tout en conseillant de sauvegarder les fichiers originaux avant toute modification.
