Un malware nord-coréen cible les développeurs sur plusieurs OS - Actus du 31/07/2024
Découvrez comment un malware nord-coréen menace les développeurs sur Windows, Linux et macOS, pourquoi Microsoft attribue la récente panne d'Azure à une attaque DDoS, et comment des pirates chinois utilisent LODEINFO et NOOPDOOR pour cibler les entreprises japonaises. Ne manquez pas notre analyse...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un malware lié à la Corée du Nord cible les développeurs sur Windows, Linux et macOS
Une campagne de malware, nommée DEV#POPPER et liée à la Corée du Nord, cible actuellement les développeurs de logiciels sur les systèmes Windows, Linux et macOS. Les chercheurs de Securonix ont révélé que cette attaque, qui utilise des techniques avancées de manipulation sociale, incite les victimes à télécharger des logiciels piégés sous prétexte d'un entretien d'embauche. Les artefacts découverts récemment montrent que la campagne s'étendait à plusieurs plateformes, avec une version mise à jour d'un malware appelé BeaverTail. Les attaquants se présentent comme des recruteurs et demandent aux candidats de télécharger un fichier ZIP contenant un module npm. Ce module exécute un JavaScript obfusqué qui identifie le système d'exploitation et communique avec un serveur distant pour exfiltrer des données. De plus, un backdoor Python, InvisibleFerret, est capable de collecter des métadonnées système, d'accéder aux cookies des navigateurs, d'exécuter des commandes et de voler des frappes au clavier. Les nouvelles versions du malware incluent des techniques d'obfuscation améliorées et l'utilisation de logiciels de gestion à distance comme AnyDesk. Cette extension sophistiquée de la campagne DEV#POPPER démontre des capacités d'exfiltration d'informations sensibles renforcées.
Sources :
Microsoft affirme que la panne massive d'Azure a été causée par une attaque DDoS
Microsoft a confirmé qu'une panne massive de neuf heures survenue le 30 juillet 2024, affectant plusieurs services Microsoft 365 et Azure à l'échelle mondiale, a été causée par une attaque par déni de service distribué (DDoS). Cette interruption a touché des services tels que Microsoft Entra, Intune, Power BI, ainsi que divers services Azure, y compris Azure App Services et Azure Policy. Bien que l'attaque DDoS ait déclenché les mécanismes de protection de Microsoft, une erreur dans la mise en œuvre de ces défenses a amplifié l'impact de l'attaque au lieu de le réduire. Microsoft a rapidement apporté des modifications de configuration réseau pour renforcer ses efforts de protection DDoS et a effectué des basculements vers des chemins réseau alternatifs. La société prévoit de publier un examen préliminaire de l'incident dans les 72 heures et un rapport final dans les deux semaines suivantes, fournissant des détails supplémentaires et des leçons tirées de cette panne. Ce n'est pas la première fois que Microsoft fait face à des attaques DDoS, une précédente attaque en juin 2023 ayant également perturbé ses services.
Sources :
Des pirates informatiques chinois ciblent les entreprises japonaises avec les logiciels malveillants LODEINFO et NOOPDOOR
Des organisations japonaises sont ciblées par un acteur menaçant soutenu par l'État chinois, utilisant des familles de logiciels malveillants comme LODEINFO et NOOPDOOR pour collecter des informations sensibles sur des hôtes compromis, souvent en restant sous le radar pendant deux à trois ans. La société israélienne de cybersécurité Cybereason suit cette campagne, nommée Cuckoo Spear, liée à un ensemble d'intrusions connu sous le nom d'APT10, également désigné par plusieurs autres noms. Les acteurs exploitent des techniques de phishing pour propager le malware, et une version mise à jour de LODEINFO a été découverte, intégrant des techniques anti-analyse. APT10 est divisé en deux sous-groupes, Earth Tengshe et Earth Kasha, chacun ayant des méthodes d'accès initial différentes. Earth Kasha, en particulier, a commencé à exploiter des vulnérabilités dans des applications publiques depuis avril 2023 pour distribuer LODEINFO et NOOPDOOR. LODEINFO permet d'exécuter du code arbitraire, de capturer des frappes et de prendre des captures d'écran, tandis que NOOPDOOR, similaire à un autre backdoor d'APT10, permet le téléchargement et l'exécution de programmes. Ces menaces maintiennent une persistance dans les réseaux d'entreprise compromis en abusant des tâches planifiées.
Sources :
Comment tirer le meilleur parti du budget d’alerte par e-mail de votre équipe de sécurité
L'article aborde l'augmentation des attaques de phishing, exacerbée par l'IA et le manque de personnel en cybersécurité. Il souligne l'importance de la gestion efficace des alertes pour éviter le gaspillage de ressources sur des alertes redondantes ou des faux positifs. La solution proposée, Material, automatise la gestion des rapports d'abus, en consolidant les messages similaires et en appliquant des protections immédiates. Cela permet aux équipes de sécurité de regrouper les attaques complexes, souvent difficiles à identifier en raison de variations dans les lignes de sujet et le contenu. En utilisant Material, une entreprise a économisé plus de 300 heures en trois mois dans l'investigation des emails de phishing. Material simplifie le processus de traitement des rapports d'utilisateurs, offrant une protection instantanée tout en permettant une enquête approfondie. Les options de remédiation granulaires permettent de bloquer ou de supprimer rapidement les emails malveillants. En fin de compte, Material aide les équipes de sécurité à réduire les faux positifs, à accélérer le traitement des cas de phishing et à diminuer le temps consacré aux tâches administratives, améliorant ainsi l'efficacité globale de la cybersécurité.
Sources :
Les cybercriminels déploient plus de 100 000 applications Android malveillantes pour voler les codes OTP
Une nouvelle campagne malveillante a été identifiée, utilisant des applications Android pour voler les messages SMS des utilisateurs depuis février 2022. Cette campagne à grande échelle implique plus de 107 000 échantillons d'applications malveillantes, dont plus de 99 000 étaient inconnues et non disponibles dans les dépôts habituels. Ces applications interceptent les mots de passe à usage unique (OTP) utilisés pour la vérification des comptes en ligne, facilitant ainsi la fraude d'identité. Les victimes se trouvent dans 113 pays, principalement en Inde et en Russie. L'attaque débute par l'installation d'une application trompeuse, souvent via des publicités ou des bots Telegram, qui demande ensuite l'accès aux messages SMS entrants. Une fois installée, l'application envoie les messages volés à des serveurs de commande et de contrôle. Les acteurs malveillants, dont l'identité reste inconnue, acceptent divers moyens de paiement, y compris les cryptomonnaies, pour alimenter un service permettant d'acheter des numéros de téléphone virtuels. Cette campagne met en lumière l'utilisation abusive de Telegram par des acteurs malveillants pour propager des malwares et exfiltrer des informations sensibles, soulignant la nécessité d'une vigilance accrue face à ces menaces.
Sources :
Le groupe de cyberespionnage XDSpy cible des entreprises en Russie et en Moldavie
Une campagne de phishing ciblant des entreprises en Russie et en Moldavie a été orchestrée par un groupe de cyberespionnage peu connu, XDSpy, selon la société de cybersécurité F.A.C.C.T. Cette campagne, observée ce mois-ci, utilise un malware nommé DSDownloader. XDSpy, identifié pour la première fois par CERT.BY en février 2020, est impliqué dans des attaques de vol d'informations visant des agences gouvernementales en Europe de l'Est et dans les Balkans depuis 2011. Les attaques se basent sur des emails de spear-phishing pour infiltrer les cibles avec un module principal, XDDown, qui déploie des plugins pour collecter des informations système et exfiltrer des fichiers. Au cours de l'année passée, XDSpy a ciblé des organisations russes avec un dropper en C# nommé UTask. La dernière série d'attaques utilise des emails de phishing contenant des fichiers RAR, incluant un exécutable légitime et un fichier DLL malveillant. Ce dernier exécute DSDownloader, qui télécharge discrètement un malware supplémentaire. Parallèlement, la guerre russo-ukrainienne a intensifié les cyberattaques, avec des groupes pro-ukrainiens ciblant également des entités russes. Des alertes ont été émises concernant une augmentation des attaques de phishing par un acteur biélorusse, UAC-0057.
Sources :
Meta conclut un accord de 1,4 milliard de dollars avec le Texas pour la collecte illégale de données biométriques
Meta, la société mère de Facebook, Instagram et WhatsApp, a accepté un règlement record de 1,4 milliard de dollars avec l'État du Texas concernant des allégations de collecte illégale de données biométriques de millions d'utilisateurs sans leur consentement. Ce règlement, l'un des plus importants imposés à la société technologique, souligne l'engagement du procureur général Ken Paxton à protéger les droits à la vie privée des Texans. L'affaire remonte à plus de deux ans, lorsque Meta a été poursuivie pour avoir capturé des données faciales sans consentement, en violation de la loi texane sur les identifiants biométriques. Bien que Meta n'ait pas admis de faute, le procès a révélé que la société avait utilisé un logiciel de reconnaissance faciale sur les photos téléchargées sur Facebook, enfreignant ainsi la loi CUBI. En novembre 2021, Meta a annoncé l'arrêt de son système de reconnaissance faciale et la suppression de plus d'un milliard de modèles de reconnaissance faciale. En parallèle, le Texas a également poursuivi Google pour des violations similaires liées à la collecte de données biométriques. Ce règlement marque une étape significative dans la lutte contre l'abus des données personnelles par les grandes entreprises technologiques.
Sources :
Une campagne massive de vol de SMS infecte les appareils Android dans 113 pays
Une campagne malveillante ciblant les appareils Android a été découverte, infectant des dispositifs dans 113 pays avec un logiciel malveillant volé SMS, capable de dérober des mots de passe à usage unique (OTP) pour plus de 600 services. Les chercheurs de Zimperium ont suivi cette opération depuis février 2022, identifiant au moins 107 000 échantillons distincts de malware. Les cybercriminels, motivés par des gains financiers, utilisent des appareils infectés comme relais d'authentification et d'anonymisation. La distribution du logiciel malveillant se fait via des publicités malveillantes ou des bots Telegram, qui promettent des applications piratées en échange du numéro de téléphone de la victime. Ce numéro est ensuite utilisé pour générer un APK personnalisé, facilitant le suivi et de futures attaques. Zimperium a identifié 2 600 bots Telegram contrôlés par 13 serveurs de commande. Les principales victimes se trouvent en Inde et en Russie, mais des pays comme le Brésil, le Mexique et les États-Unis sont également touchés. Le malware envoie les SMS capturés à un site web, permettant l'achat de numéros de téléphone virtuels pour l'anonymisation. Les victimes risquent des frais non autorisés et peuvent être impliquées dans des activités illégales. Pour se protéger, il est conseillé d'éviter les APK externes et de vérifier les autorisations des applications.
Sources :
Le ransomware Dark Angels reçoit une rançon record de 75 millions de dollars
Un rapport de Zscaler ThreatLabz révèle qu'une entreprise du Fortune 50 a payé une rançon record de 75 millions de dollars au groupe de ransomware Dark Angels, un montant sans précédent qui pourrait inciter d'autres cybercriminels à adopter des tactiques similaires. Ce paiement, confirmé par la société d'intelligence crypto Chainalysis, dépasse largement le précédent record de 40 millions de dollars payé par l'assureur CNA après une attaque par Evil Corp. Bien que Zscaler n'ait pas divulgué le nom de l'entreprise, la société pharmaceutique Cencora, classée 10e dans le Fortune 50, a subi une cyberattaque en février 2024, ce qui soulève des questions sur un éventuel paiement de rançon. Dark Angels, actif depuis mai 2022, utilise une approche ciblée, attaquant des entreprises de grande valeur pour des rançons élevées, contrairement à d'autres groupes qui visent des victimes de manière indiscriminée. Ils exploitent des vulnérabilités dans les réseaux d'entreprise pour voler des données et déployer leur ransomware, utilisant des techniques sophistiquées comme le "Big Game Hunting". Ce modèle d'attaque est devenu courant parmi les groupes de ransomware ces dernières années.
Sources :
La CISA met en garde contre un bug VMware ESXi exploité dans des attaques de ransomware
CISA a averti les agences fédérales américaines de sécuriser leurs serveurs contre une vulnérabilité d'authentification dans VMware ESXi, exploitée dans des attaques par ransomware. Cette faille, identifiée sous le code CVE-2024-37085 par des chercheurs de Microsoft, permet aux attaquants d'ajouter un nouvel utilisateur au groupe 'ESX Admins', ce qui leur confère des privilèges administratifs complets. Bien que son exploitation nécessite une interaction utilisateur et des privilèges élevés, plusieurs groupes de ransomware, tels que Storm-0506 et Black Basta, l'utilisent déjà pour accéder aux hyperviseurs et voler des données sensibles. CISA a inclus cette vulnérabilité dans son catalogue des vulnérabilités connues et a donné aux agences fédérales un délai de trois semaines, jusqu'au 20 août, pour sécuriser leurs systèmes. Bien que cette directive s'applique uniquement aux agences fédérales, CISA encourage toutes les organisations à corriger cette faille pour éviter des attaques potentielles. Les opérations de ransomware se concentrent de plus en plus sur les machines virtuelles ESXi, exploitant des vulnérabilités spécifiques pour accéder plus rapidement aux hyperviseurs des victimes, ce qui représente un risque significatif pour la cybersécurité.
Sources :
Le ransomware Black Basta passe à un malware personnalisé plus évasif
Le groupe de ransomware Black Basta, actif depuis avril 2022, a démontré sa capacité d'adaptation en développant de nouveaux outils et tactiques pour échapper à la détection. Responsable de plus de 500 attaques, il utilise une stratégie de double extorsion, combinant vol de données et chiffrement, avec des rançons atteignant des millions. Après la neutralisation du botnet QBot, Black Basta a dû établir de nouveaux partenariats pour accéder aux réseaux d'entreprise. Mandiant, qui suit ce groupe sous le nom d'UNC4393, a identifié des malwares personnalisés utilisés lors des intrusions, témoignant de leur évolution. En 2024, Black Basta a compromis des entités notables comme Veolia et Hyundai. Le groupe utilise des exploits de vulnérabilités zero-day, notamment pour Windows et VMware. Il a récemment abandonné le phishing au profit de malwares comme SilentNight et DarkGate pour l'accès initial. Des outils personnalisés tels que DawnCry, PortYard, et CogScan ont été déployés, renforçant leur sophistication. En utilisant également des outils disponibles, Black Basta demeure une menace mondiale majeure dans le paysage des ransomwares.
Sources :
Google Chrome ajoute un cryptage lié aux applications pour bloquer les logiciels malveillants voleurs d'informations
Google Chrome a introduit un nouveau système de cryptage lié aux applications pour renforcer la protection des cookies sur les systèmes Windows et améliorer la défense contre les malwares d'infostealing. Dans un article de blog, l'ingénieur logiciel Will Harris a expliqué que, bien que Chrome utilise déjà des techniques robustes pour protéger les données sensibles, le DPAPI de Windows ne protège pas contre les outils malveillants qui exploitent le code exécuté par l'utilisateur connecté. Avec Chrome 127, un nouveau mécanisme de cryptage lié à l'application a été mis en place, permettant de lier les données cryptées à l'identité de l'application, similaire au fonctionnement du Keychain sur macOS. Ce système utilise un service Windows fonctionnant avec des privilèges 'SYSTEM' pour vérifier l'identité de l'application lors de la demande de cryptage, rendant difficile pour d'autres applications d'accéder à ces données. Cette amélioration sera étendue aux mots de passe, données de paiement et autres jetons d'authentification. Google continue d'améliorer la sécurité des utilisateurs avec des initiatives telles que la protection des téléchargements et la détection des menaces basées sur les comptes. Ces mesures visent à rendre le vol de données plus coûteux et détectable pour les attaquants.
Sources :
L’évolution de la cybercriminalité en France : rapport 2024
Le rapport 2024 sur l'évolution de la cybercriminalité en France souligne l'augmentation des menaces pesant sur les institutions, l'économie et la sécurité des citoyens. Les infractions les plus fréquentes incluent les escroqueries en ligne, les atteintes aux systèmes d'information et les attaques par rançongiciel, touchant particulièrement les femmes âgées de 18 à 44 ans. Les escroqueries en ligne, telles que le smishing et les faux investissements, sont en forte hausse, tandis que des groupes organisés, dotés de compétences techniques avancées, se spécialisent dans les rançongiciels. L'accessibilité croissante des outils cybercriminels facilite ces attaques. Le rapport met également en avant des opérations notables de lutte contre la cybercriminalité, comme l'interpellation d'un jeune Français impliqué dans la vente d'outils de rançongiciel et les actions coordonnées contre le groupe Ragnar_Locker. En outre, le rapport évoque la création de COMCYBER-MI, un service national dédié à la lutte contre les cybermenaces. Enfin, il souligne l'importance d'une réponse collective et résiliente face à ces défis numériques, tout en appelant à une meilleure sensibilisation du public aux risques liés à la cybercriminalité.
Sources :
Columbus enquête pour savoir si des données ont été volées lors d'une attaque de ransomware
La ville de Columbus, Ohio, enquête sur un incident de ransomware survenu le 18 juillet 2024, qui a perturbé ses services. Bien que les lignes d'urgence 911 et 311 aient continué de fonctionner, des services publics ont été affectés, suscitant des interrogations sur un éventuel lien avec une mise à jour défectueuse de CrowdStrike. Le maire Andrew J. Ginther a confirmé que l'incident était lié à une cyberattaque, mais a précisé que les systèmes de la ville n'avaient pas été encryptés. Les autorités ont rapidement réagi en collaborant avec le FBI et le département de la Sécurité intérieure pour contenir la menace. Les attaquants, décrits comme un groupe sophistiqué opérant à l'étranger, n'ont pas été identifiés. Bien que l'attaque ait été contenue, la possibilité que des données personnelles aient été volées n'est pas exclue. La ville est en train d'identifier les individus dont les informations pourraient avoir été exposées et prévoit de les informer dans les semaines à venir. Les citoyens sont également avertis de rester vigilants face à d'éventuelles tentatives de phishing. Une mise à jour sera publiée prochainement pour clarifier la situation concernant le vol de données.
