Un suspect canadien arrêté pour violation de données et attaques d'extorsion liées à Snowflake - Actus du 05/11/2024
Découvrez comment le Canada a appréhendé un pirate informatique lié à Snowflake, l'origine d'un faux mail Crédit Agricole depuis une université palestinienne détournée, et les dernières mises à jour de sécurité de Google pour contrer des attaques zero-day sur Android.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Arrestation au Canada d'un suspect derrière les attaques de vol de données Snowflake
Les autorités canadiennes ont arrêté Alexander "Connor" Moucka, un homme soupçonné d'avoir volé des données de centaines de millions d'individus en ciblant plus de 165 organisations clientes de la société de stockage en nuage Snowflake. Cette arrestation a eu lieu le 30 octobre 2024, à la demande des États-Unis, et Moucka doit comparaître à nouveau devant le tribunal le 5 novembre. Une enquête conjointe menée par Snowflake, Mandiant et CrowdStrike a révélé que l'attaquant, identifié comme UNC5537, avait utilisé des identifiants volés via un malware pour cibler des organisations n'ayant pas configuré la protection par authentification multi-facteurs (MFA) sur leurs comptes Snowflake. Les violations de données, qui ont débuté en avril 2024, ont touché des entreprises majeures telles que Mastercard, AT&T et Ticketmaster, affectant des millions d'utilisateurs. Ticketmaster a confirmé le vol de données de 560 millions de clients, tandis qu'AT&T a signalé le vol des journaux d'appels de 109 millions de clients. En réponse à ces incidents, Snowflake a annoncé l'implémentation obligatoire de l'authentification multi-facteurs pour les nouveaux comptes à partir d'octobre 2024 et l'exigence de mots de passe d'au moins 14 caractères.
Sources :
Ce faux mail du Crédit Agricole est envoyé depuis une fac en Palestine détournée par des pirates
Depuis début novembre, des clients du Crédit Agricole sont ciblés par des mails de phishing. Les cybercriminels usurpent l'identité de la banque en prétendant qu'il y a un problème de sécurité sur les comptes, incitant les victimes à cliquer sur un lien. Ce lien redirige vers un site clone qui demande des identifiants, lesquels sont ensuite transmis aux malfaiteurs. Les messages frauduleux passent souvent les filtres de sécurité car ils proviennent d'une adresse légitime d'une université palestinienne piratée. Un expert en cybersécurité a confirmé que ces mails émanent d'un compte compromis à l'université technique de Palestine – Kadoorie. Pour éviter de tomber dans le piège, il est conseillé de vérifier l'expéditeur, d'examiner le domaine dans la barre d'adresse et de se méfier des pages demandant uniquement des identifiants. En cas de doute, il est préférable de se connecter directement via le site officiel ou de contacter la banque. La société Mailinblack propose des solutions pour protéger les organisations et former les employés à la cybersécurité, incluant des outils de gestion de mots de passe et des simulations d'attaques.
Sources :
Google corrige deux zero-day Android utilisés dans des attaques ciblées
Google a corrigé deux vulnérabilités zero-day Android, exploitées dans des attaques ciblées, dans le cadre de ses mises à jour de sécurité de novembre 2024. Ces failles, identifiées comme CVE-2024-43047 et CVE-2024-43093, font partie d'un total de 51 vulnérabilités corrigées. La première, CVE-2024-43047, est un problème de type "use-after-free" dans des composants Qualcomm, permettant une élévation de privilèges. Elle a été signalée par Qualcomm début octobre 2024. La seconde, CVE-2024-43093, affecte le cadre Android et les mises à jour du système Google Play, également liée à une élévation de privilèges. Bien que Google n'ait pas divulgué les détails d'exploitation, des chercheurs d'Amnesty International ont identifié la première vulnérabilité, suggérant son utilisation dans des attaques par spyware. Parmi les autres 49 failles corrigées, une seule est classée comme critique. Les mises à jour concernent les versions Android 12 à 15, avec des correctifs spécifiques pour Qualcomm et MediaTek. Les utilisateurs doivent se rendre dans les paramètres pour appliquer les mises à jour, tandis que les appareils sous Android 11 ou plus anciens pourraient recevoir des mises à jour de sécurité limitées.
Sources :
Le nouveau malware bancaire Android « ToxicPanda » cible les utilisateurs avec des transferts d'argent frauduleux
Un nouveau malware bancaire Android, nommé ToxicPanda, a infecté plus de 1 500 appareils, permettant aux cybercriminels d'effectuer des transactions frauduleuses. Selon les chercheurs de Cleafy, ToxicPanda vise à réaliser des transferts d'argent via une technique d'attaque par prise de contrôle de compte (ATO) et contourne les mesures de vérification d'identité des banques. Ce malware, d'origine probablement chinoise, partage des caractéristiques avec un autre malware, TgToxic, qui vole des informations d'identification et des fonds de portefeuilles crypto. La majorité des infections a été observée en Italie, suivie du Portugal et d'autres pays. ToxicPanda se présente sous la forme d'applications populaires et est distribué via des pages contrefaites. Une fois installé, il utilise les services d'accessibilité d'Android pour obtenir des permissions élevées, intercepter des mots de passe à usage unique et contrôler à distance les appareils compromis. Les chercheurs ont également accédé à son panneau de commande, permettant aux opérateurs de gérer les appareils infectés. Bien que ToxicPanda montre des similitudes avec TgToxic, il semble être à un stade précoce de développement, avec des fonctionnalités encore limitées. Des chercheurs ont également développé un service d'analyse de malware pour détecter les abus des fonctionnalités d'accessibilité sur Android.
Sources :
Exploiter Wazuh pour la sécurité Zero Trust
Les organisations utilisent des plateformes d'Extended Detection and Response (XDR) pour réagir rapidement aux violations de sécurité, minimisant ainsi les dommages et le temps d'arrêt. Parmi les stratégies clés, la prévention de l'accès initial permet de détecter en temps réel les menaces, tandis que la microsegmentation, principe de sécurité Zero Trust, réduit la surface d'attaque en isolant les parties du réseau. L'authentification multi-facteurs renforce la sécurité en exigeant plusieurs vérifications avant l'accès. Wazuh, par exemple, offre une surveillance en temps réel et une réponse automatisée aux incidents, permettant d'identifier les abus d'outils légitimes comme Netcat, souvent utilisé par les acteurs malveillants pour établir des portes dérobées. Un cas d'étude sur la vulnérabilité des XZ Utils (CVE-2024-3094) illustre comment Wazuh exploite ses capacités de collecte de journaux pour détecter des accès non autorisés via SSH. Grâce à sa capacité de réponse active, Wazuh automatise la gestion des incidents, ce qui est crucial dans des environnements à ressources limitées. En adoptant une approche Zero Trust, les organisations peuvent renforcer leur défense contre les menaces évolutives, en utilisant les capacités de collecte de données, de détection de vulnérabilités et de réponse automatisée de Wazuh.
Sources :
Synology demande un correctif pour une faille critique Zero-Click RCE affectant des millions de périphériques NAS
Synology, fabricant taïwanais d'appliances de stockage en réseau (NAS), a corrigé une vulnérabilité critique affectant DiskStation et BeePhotos, susceptible de permettre une exécution de code à distance. Suivie sous le nom CVE-2024-10443 et baptisée RISK:STATION par Midnight Blue, cette faille zero-day a été démontrée lors du concours de hacking Pwn2Own Ireland 2024 par le chercheur en sécurité Rick de Jager. RISK:STATION est une vulnérabilité "zero-click non authentifiée", permettant aux attaquants d'obtenir une exécution de code au niveau root sur les appareils Synology, touchant des millions de dispositifs. Son caractère zero-click signifie qu'aucune interaction utilisateur n'est nécessaire pour l'exploiter, facilitant ainsi le vol de données sensibles et l'installation de logiciels malveillants. Les versions affectées incluent BeePhotos pour BeeStation OS et Synology Photos pour DSM 7.2, avec des mises à jour recommandées. Midnight Blue a indiqué qu'entre un et deux millions d'appareils Synology sont actuellement exposés à cette vulnérabilité. Parallèlement, QNAP a corrigé trois failles critiques lors de Pwn2Own, conseillant aux utilisateurs d'appliquer les correctifs rapidement, les dispositifs NAS étant des cibles prisées pour les attaques par ransomware.
Sources :
Une campagne de malware utilise les contrats intelligents Ethereum pour contrôler les packages npm Typosquat
Une campagne en cours cible les développeurs npm avec des centaines de versions de typosquatting de leurs homologues légitimes, visant à les tromper pour qu'ils exécutent des logiciels malveillants multiplateformes. Cette attaque se distingue par l'utilisation de contrats intelligents Ethereum pour la distribution des adresses de serveurs de commande et de contrôle (C2), selon des recherches indépendantes de Checkmarx, Phylum et Socket. Signalée pour la première fois le 31 octobre 2024, l'activité aurait commencé au moins une semaine auparavant, avec 287 paquets de typosquatting publiés sur le registre npm. Les paquets contiennent du JavaScript obfusqué qui s'exécute lors de l'installation, récupérant un binaire à partir d'un serveur distant. Ce binaire établit une persistance et exfiltre des informations sensibles. Fait intéressant, le code JavaScript interagit avec un contrat intelligent Ethereum pour obtenir l'adresse IP, rendant la campagne difficile à bloquer en raison de la nature décentralisée de la blockchain. Bien que l'identité de l'attaquant reste inconnue, des messages d'erreur en russe suggèrent un locuteur russe. Cette situation souligne la nécessité pour les développeurs de rester vigilants lors du téléchargement de paquets dans les dépôts de logiciels.
Sources :
Un suspect canadien arrêté pour violation de données et attaques d'extorsion liées à Snowflake
Les autorités canadiennes ont arrêté Alexander "Connor" Moucka, également connu sous les pseudonymes Judische et Waifu, le 30 octobre 2024, suite à un mandat d'arrêt provisoire demandé par les États-Unis. Moucka est suspecté d'avoir mené une série de piratages liés à la violation de la plateforme de stockage de données en cloud Snowflake, révélée en juin 2024. À cette époque, Snowflake avait signalé que "un nombre limité" de ses clients avaient été ciblés, et Mandiant, une entreprise de Google, a attribué ces attaques à un groupe de menaces motivées financièrement, UNC5537, qui aurait touché environ 165 organisations, dont des grandes entreprises comme AT&T et Ticketmaster. Les hackers ont tenté d'extorquer les entreprises en menaçant de vendre les données volées sur des forums criminels. AT&T aurait payé 370 000 dollars pour supprimer les données dérobées. Les attaques ont été facilitées par des identifiants de clients volés via des infections de logiciels malveillants. Des rapports ont également établi des liens entre Judische et un écosystème criminel plus large, ainsi qu'avec un autre hacker, John Binns, arrêté en Turquie en mai 2024. L'affaire est en cours de développement.
Sources :
Google met en garde contre une vulnérabilité CVE-2024-43093 activement exploitée dans le système Android
Google a averti d'une faille de sécurité affectant son système d'exploitation Android, actuellement exploitée activement. Cette vulnérabilité, identifiée comme CVE-2024-43093, est une faille d'escalade de privilèges dans le composant Android Framework, permettant un accès non autorisé aux répertoires "Android/data", "Android/obb" et "Android/sandbox". Bien que les détails sur son exploitation dans des attaques réelles soient limités, Google a noté des indications d'une exploitation ciblée. Parallèlement, la faille CVE-2024-43047, désormais corrigée, affectant les chipsets Qualcomm, a également été signalée comme exploitée. Cette vulnérabilité, liée à un problème de mémoire dans le service de traitement du signal numérique, pourrait entraîner une corruption de la mémoire. Le mois dernier, des chercheurs de Google Project Zero ont été crédités pour avoir signalé cette faille. L'avis de sécurité ne précise pas comment ces vulnérabilités sont exploitées ni si elles sont utilisées ensemble pour des attaques de type spyware ciblant des membres de la société civile. CVE-2024-43093 est la deuxième faille Android Framework exploitée activement, après CVE-2024-32896, corrigée par Google en juin et septembre 2024.
Sources :
Nokia enquête sur une faille de sécurité après qu'un pirate informatique a prétendu avoir volé le code source
Nokia enquête sur une possible violation de données après qu'un hacker, connu sous le nom d'IntelBroker, a affirmé avoir volé le code source de l'entreprise. Dans une déclaration à BleepingComputer, Nokia a reconnu les allégations d'un acteur non autorisé ayant accédé à des données d'un sous-traitant tiers, mais a précisé qu'aucune preuve n'indiquait que ses systèmes ou données avaient été affectés. IntelBroker prétend vendre une importante collection de code source de Nokia, obtenue via une intrusion dans le serveur d'un fournisseur, en utilisant des identifiants par défaut. Les données volées incluraient des clés SSH, des identifiants BitBucket, des comptes SMTP et d'autres informations sensibles. Le hacker a réussi à télécharger des projets Python de clients, y compris ceux de Nokia. BleepingComputer a partagé un arbre de fichiers contenant les données supposément volées avec Nokia, mais n'a pas encore reçu de réponse. IntelBroker est également connu pour d'autres violations de sécurité, notamment celles de DC Health Link, Hewlett Packard Enterprise et Weee!, ainsi que pour la fuite de données de plusieurs entreprises, dont T-Mobile, AMD et Apple. L'enquête de Nokia se poursuit alors qu'elle surveille la situation de près.
Sources :
L'API Enveloppes de DocuSign utilisée à mauvais escient pour envoyer de fausses factures réalistes
Des acteurs malveillants exploitent l'API Envelopes de DocuSign pour créer et distribuer massivement de fausses factures qui semblent authentiques, en imitant des marques reconnues comme Norton et PayPal. En utilisant ce service légitime, les attaquants contournent les protections de sécurité par e-mail, car les messages proviennent d'un domaine DocuSign réel, docusign.net. Leur objectif est d'inciter les cibles à signer électroniquement des documents, qu'ils peuvent ensuite utiliser pour autoriser des paiements en dehors des départements de facturation des entreprises. Les chercheurs en sécurité de Wallarm rapportent que ces acteurs malveillants, utilisant des comptes DocuSign payants, abusent de l'API pour envoyer des factures frauduleuses qui imitent le design des entreprises ciblées. Les frais présentés dans ces factures sont maintenus dans une fourchette réaliste pour renforcer la légitimité des demandes de signature. Les attaques semblent automatisées et se produisent à grande échelle, rendant difficile leur détection par la plateforme. DocuSign a reconnu ces abus et a déclaré surveiller activement les comportements associés à la fraude pour prévenir de telles activités.
Sources :
Schneider Electric confirme une violation de la plateforme de développement après le vol de données par un pirate informatique
Schneider Electric a confirmé une violation de sa plateforme de développement après qu'un hacker, connu sous le nom de "Grep", ait revendiqué le vol de 40 Go de données depuis son serveur JIRA. L'entreprise a déclaré qu'elle enquêtait sur cet incident de cybersécurité impliquant un accès non autorisé à une plateforme de suivi de projets internes. Son équipe de réponse aux incidents a été mobilisée, et les produits et services de Schneider Electric restent apparemment non affectés. Grep a affirmé avoir utilisé des identifiants exposés pour accéder au serveur et a extrait 400 000 lignes de données utilisateur, incluant 75 000 adresses e-mail et noms complets d'employés et de clients. Sur un site du dark web, le hacker a plaisanté en demandant 125 000 dollars en "baguettes" pour ne pas divulguer les données volées. Il a également annoncé la formation d'un nouveau groupe de hackers, l'International Contract Agency (ICA), qui menace de divulguer les données si l'entreprise ne reconnaît pas la violation dans les 48 heures. Cette situation survient après une précédente attaque par ransomware ciblant la division "Sustainability Business" de Schneider Electric.
Sources :
Sortie de Windows Server 2025 : voici les nouvelles fonctionnalités
Microsoft a annoncé la disponibilité générale de Windows Server 2025 à partir du 1er novembre. Cette nouvelle version, accessible via le Long-Term Servicing Channel (LTSC) et l'Annual Channel (AC), apporte des avancées significatives dans des domaines tels que Hyper-V, l'intégration GPU, et le stockage défini par logiciel. Ian LeGrow, vice-président chez Microsoft, a souligné que cette version est idéale pour les organisations cherchant des solutions de virtualisation tout en exploitant l'IA et l'apprentissage automatique. Parmi les nouvelles fonctionnalités, on trouve le hotpatching via Azure Arc, des performances de stockage NVMe améliorées, et un support de clonage de blocs. Windows Server 2025 introduit également des améliorations dans Active Directory, le durcissement des services de fichiers, et des comptes de service gérés délégués. D'autres fonctionnalités incluent un réseau accéléré et une sécurité basée sur la virtualisation. Cependant, Microsoft a reconnu des problèmes connus, notamment des bugs d'installation et des erreurs BSOD sur des systèmes avec plus de 256 processeurs logiques. La fin du support est prévue pour le 10 octobre 2029, avec une période d'assistance prolongée jusqu'en 2034. Un essai gratuit de 180 jours est disponible pour les clients intéressés.
Sources :
Un malware personnalisé « Pygmy Goat » utilisé dans le piratage du pare-feu Sophos sur le réseau gouvernemental
Le Centre national de cybersécurité du Royaume-Uni (NCSC) a analysé un malware Linux nommé "Pygmy Goat", utilisé pour compromettre des dispositifs de pare-feu Sophos XG dans le cadre d'attaques récentes attribuées à des acteurs menaçants chinois. Sophos a publié des rapports détaillant des attaques sur cinq ans, révélant que ce rootkit imite les conventions de nommage des fichiers de ses produits. Pygmy Goat, un objet partagé ELF x86-32, permet un accès clandestin aux dispositifs réseau, utilisant des mécanismes avancés de persistance et d'évasion. Il exploite la variable d'environnement LD_PRELOAD pour s'injecter dans le démon SSH, surveillant le trafic SSH à la recherche d'une séquence spécifique de "bytes magiques". Lorsqu'une connexion est identifiée comme une session de porte dérobée, le malware redirige le trafic vers un socket Unix interne pour communiquer avec son serveur de Command and Control (C2). Le rapport du NCSC fournit des règles de détection et des fichiers de hachage pour identifier les activités de Pygmy Goat, recommandant également des vérifications manuelles et une surveillance des paquets ICMP chiffrés pour prévenir les infections.
Sources :
Ce faux mail de la Société Générale est une nouvelle arnaque pour voler les données bancaires
Une nouvelle campagne de phishing cible les clients de la Société Générale depuis novembre 2024, utilisant des e-mails frauduleux avec de fausses alertes de sécurité. Ces messages incitent les destinataires à cliquer sur un lien menant à un site imitant parfaitement la banque, où ils sont informés que la double authentification est désormais obligatoire. Les victimes sont ensuite invitées à fournir leurs identifiants bancaires et des informations personnelles, avant d'être redirigées vers le véritable site de la banque. Les cybercriminels s'attaquent également aux clients du Crédit mutuel, utilisant des techniques similaires et des adresses d'expédition provenant potentiellement d'entreprises piratées. Pour se protéger, il est conseillé de vérifier l'adresse de l'expéditeur, d'examiner le nom de domaine des sites visités, et de ne jamais cliquer sur les liens dans les e-mails suspects. En cas de doute, il est préférable de se connecter directement au site de la banque ou de contacter son conseiller. La société Mailinblack propose des solutions de cybersécurité, incluant des formations et des outils pour prévenir ces risques.
Sources :
Voici deux faux mails du Crédit mutuel sur lesquels il ne faut surtout pas cliquer
Une nouvelle campagne de phishing cible les clients du Crédit mutuel et de la Société Générale, avec des emails frauduleux envoyés début novembre 2024. Les cybercriminels utilisent des notifications trompeuses pour inciter les victimes à cliquer sur des liens menant à des sites clones, où ils sont invités à fournir leurs identifiants bancaires. Deux versions de ces messages ont été identifiées : l'une évoque une nouvelle réglementation sur les opérations en ligne, tandis que l'autre prétend qu'une notification a été reçue sur le compte. Les faux sites imitent l'esthétique des véritables plateformes bancaires, mais présentent des anomalies, comme des adresses email suspectes et des noms de domaine étrangers. Pour se protéger, il est conseillé de vérifier l'adresse de l'expéditeur, d'éviter de cliquer sur les liens, et de se connecter directement via l'application ou le site officiel de la banque. Les cybercriminels semblent utiliser des techniques similaires pour cibler les clients de la Société Générale, rendant la vigilance essentielle face à ces menaces. Des solutions comme U-Cyber 360° de Mailinblack peuvent aider les entreprises à renforcer leur cybersécurité et à former leurs employés.
