Une bibliothèque Python malveillante exfiltre des données via Telegram - Actus du 25/11/2024
Découvrez comment la panne de Microsoft 365 impacte vos outils essentiels, explorez le nouvel outil Google pour une migration Android sans souci, et restez vigilant avec l'alerte sur la bibliothèque Python "aiocpa" exfiltrant des données via Telegram. Restez informé et protégé!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La panne de Microsoft 365 affecte Exchange Online, Teams et Sharepoint
Le 25 novembre 2024, Microsoft a signalé une panne généralisée affectant plusieurs services de Microsoft 365, notamment Exchange Online, Teams et SharePoint. Cette interruption, qui a débuté environ six heures auparavant, a entraîné des milliers de rapports d'utilisateurs sur Downdetector, indiquant également des problèmes de connexion avec d'autres services comme OneDrive et Outlook. Microsoft a reconnu le problème et a commencé à enquêter sur l'accès à Exchange Online et aux fonctionnalités de calendrier de Teams. Dans son rapport, l'entreprise a confirmé que l'accès à Exchange Online via divers clients était bloqué. Bien que la cause de la panne soit attribuée à un "changement récent", Microsoft a déjà déployé un correctif et redémarré certains systèmes affectés. Actuellement, environ 60 % des environnements touchés reçoivent le correctif, tandis que des redémarrages manuels sont effectués sur les machines en mauvais état. Malgré cette situation, les pages de statut de santé des services de Microsoft ne montrent pas de problèmes avec l'infrastructure réseau de l'entreprise. Cette panne survient après un incident similaire en juillet, causé par une attaque DDoS, qui avait également perturbé plusieurs services.
Sources :
Le nouvel outil de restauration des identifiants de Google simplifie la connexion aux applications après la migration vers Android
Google a lancé une nouvelle fonctionnalité appelée Restore Credentials, destinée à faciliter la restauration de l'accès aux applications tierces après la migration vers un nouvel appareil Android. Intégrée à l'API Credential Manager d'Android, cette fonctionnalité vise à réduire les désagréments liés à la saisie des identifiants de connexion lors du remplacement du téléphone. Selon Neelansh Sahai de Google, Restore Credentials permet aux applications de reconnecter automatiquement les utilisateurs à leurs comptes après la restauration des applications et des données. Ce processus s'effectue en arrière-plan grâce à une clé de restauration, un type de clé publique conforme aux normes FIDO2. Lorsqu'un utilisateur se connecte à une application compatible, sa clé de restauration est enregistrée localement et de manière chiffrée. Si l'utilisateur change de téléphone, cette clé est demandée lors de la restauration, permettant une connexion automatique sans ressaisie des identifiants. Google recommande aux développeurs d'effacer la clé de restauration dès que l'utilisateur se déconnecte pour éviter des boucles de reconnexion. Cette initiative fait écho à une fonctionnalité similaire d'Apple sur iOS, et intervient alors que Google prépare la version Android 16 avec des améliorations en matière de sécurité et de confidentialité.
Sources :
La bibliothèque Python PyPI « aiocpa » a été découverte en train d'exfiltrer des clés de chiffrement via le robot Telegram
Les administrateurs du dépôt Python Package Index (PyPI) ont mis en quarantaine le package "aiocpa" après qu'une mise à jour ait introduit un code malveillant destiné à exfiltrer des clés privées via Telegram. Ce package, un client API de paiement Crypto en mode synchrone et asynchrone, a été téléchargé 12 100 fois depuis sa sortie en septembre 2024. La mise en quarantaine empêche toute installation ultérieure et toute modification par ses mainteneurs. Selon Phylum, une entreprise de cybersécurité, l'auteur du package a publié cette mise à jour malveillante tout en maintenant le dépôt GitHub propre pour éviter la détection. Il n'est pas clair si le développeur original est responsable de cette mise à jour ou si ses identifiants ont été compromis. Les premières activités malveillantes ont été détectées dans la version 0.1.13, où un script Python a été modifié pour exécuter un code obfusqué après l'installation. Ce code, fortement compressé, capture et transmet le jeton API du victimisé via un bot Telegram. Cet incident souligne l'importance de vérifier le code source des packages avant de les télécharger, car des attaquants peuvent maintenir des dépôts propres tout en distribuant des packages malveillants.
Sources :
Meta supprime plus de 2 millions de comptes diffusant des escroqueries liées à l'abattage de porcs
Meta a annoncé avoir supprimé plus de 2 millions de comptes liés à des escroqueries, notamment le "pig butchering", depuis le début de l'année. Ces comptes proviennent principalement de pays comme le Myanmar, le Laos, les Émirats Arabes Unis, les Philippines et le Cambodge, où des opérations criminelles forcent des chercheurs d'emploi à devenir des escrocs en ligne. Le "pig butchering" est une escroquerie d'investissement qui repose sur la manipulation à long terme et la tromperie. Meta collabore avec les forces de l'ordre pour partager des informations et perturber ces opérations. Les escroqueries, souvent orchestrées par des gangs d'Asie-Pacifique, ciblent des utilisateurs du monde entier en se faisant passer pour des personnes attrayantes ou des membres d'agences gouvernementales. Les victimes sont entraînées dans des plateformes d'investissement frauduleuses. Meta utilise diverses mesures pour détecter et stopper ces escroqueries, y compris l'application de sa politique contre les organisations dangereuses, l'utilisation de signaux comportementaux pour identifier les comptes suspects, et la collaboration avec d'autres entreprises technologiques. Les utilisateurs sont encouragés à activer l'authentification à deux facteurs et à se méfier des communications non sollicitées.
Sources :
Les entreprises privilégient les profils d’experts pour lutter contre les nouvelles cybermenaces pilotées par l’IA
Une étude récente de Kaspersky met en lumière l'inquiétude croissante des entreprises face à l'utilisation de l'intelligence artificielle (IA) par les cyberattaquants. Selon l'enquête, 89 % des professionnels de la sécurité informatique en France anticipent une augmentation des cyberattaques exploitant l'IA dans les deux prochaines années. Cette situation pousse les entreprises à renforcer leurs stratégies de cybersécurité, en se tournant vers des fournisseurs spécialisés pour obtenir une assistance personnalisée et des formations adaptées. En effet, 90 % des répondants soulignent l'importance de former les employés sur les outils d'IA, tandis que 83 % estiment nécessaire de recourir à une expertise externe. Actuellement, 46 % des entreprises prévoient d'intégrer un soutien externe pour faire face à l'évolution des menaces, et 50 % collaborent déjà avec des experts en cybersécurité. Le Kaspersky AI Technology Research Center joue un rôle clé dans cette dynamique, en développant des solutions de cybersécurité avancées et en abordant les défis spécifiques liés à l'IA. Vladislav Tushkanov, responsable du centre, souligne l'importance d'exploiter les avancées de l'IA pour améliorer les stratégies de protection contre les menaces émergentes.
Sources :
Passer sous le radar – Techniques d’évasion sécuritaire
L'article explore l'évolution des techniques de phishing et d'évasion de malware, soulignant la sophistication croissante des méthodes utilisées par les attaquants pour contourner les mesures de sécurité. Il y a 15 à 20 ans, des sites de phishing simples suffisaient à voler des informations sensibles, comme les détails de carte de crédit. Aujourd'hui, des services sur le dark web proposent des machines virtuelles préconfigurées qui imitent le profil de l'appareil de la victime, offrant ainsi une anonymité accrue. Les attaquants exploitent également des sessions bancaires en direct, utilisant des délais variables pour échapper à la détection des anomalies. Des techniques de manipulation psychologique, comme la création de pages de connexion trompeuses, sont employées pour inciter les utilisateurs à fournir leurs identifiants. L'article met en lumière des tactiques d'obfuscation, telles que l'utilisation de JavaScript encodé en Base64 pour bloquer les interactions clavier, rendant l'analyse du code difficile. Les attaquants utilisent également des applications cloud de confiance pour le contrôle et la commande, tout en contournant les services de détection. Enfin, il est souligné que des solutions de sécurité convergentes sont nécessaires pour une protection efficace contre ces menaces complexes.
Sources :
Les angles morts de la cybersécurité dans les outils IaC et PaC exposent les plateformes cloud à de nouvelles attaques
Des chercheurs en cybersécurité ont révélé deux nouvelles techniques d'attaque ciblant les outils d'infrastructure-as-code (IaC) et de policy-as-code (PaC), tels que Terraform et Open Policy Agent (OPA). Bien que ces langages spécifiques soient conçus pour être plus sécurisés que les langages de programmation classiques, ils ne sont pas infaillibles. L'OPA, moteur de politique open-source, permet aux organisations d'appliquer des politiques dans des environnements cloud. Les attaques exploitent la chaîne d'approvisionnement en accédant à une clé compromise pour insérer une politique Rego malveillante dans un serveur OPA, facilitant ainsi l'exfiltration de données via des fonctions comme "http.send" ou "net.lookupipaddr" par tunneling DNS. Terraform, de son côté, peut être attaqué via la commande "terraform plan" dans des workflows GitHub, permettant à un attaquant d'exécuter des modifications non examinées. Pour atténuer ces risques, il est recommandé d'implémenter un contrôle d'accès granulaire, de surveiller les journaux, de limiter l'accès réseau et de prévenir l'exécution automatique de code non vérifié. Des outils de scan IaC comme Terrascan et Checkov peuvent également aider à identifier les erreurs de configuration avant déploiement.
Sources :
Cybersécurité : la menace des attaques par force brute persiste
Une attaque par force brute est une méthode de cyberattaque où l'attaquant tente d'accéder à un système en testant toutes les combinaisons possibles de mots de passe. Christophe Gaultier, Directeur OpenText Cybersecurity France & Belux, souligne dans son avis l'importance de se protéger contre cette menace croissante, notamment grâce à l'utilisation de GPU qui permettent d'essayer des milliards de combinaisons rapidement. Les attaques peuvent être simples, par dictionnaire ou hybrides, et peuvent avoir des conséquences financières graves, allant du vol direct à des atteintes à la réputation, surtout via le protocole RDP (Remote Desktop Protocol), qui est souvent ciblé en raison de sa large utilisation dans les entreprises. Pour se défendre contre ces attaques, il est crucial d'adopter des politiques de mots de passe robustes, d'utiliser l'authentification multifactorielle et de mettre en œuvre l'authentification au niveau du réseau (NLA). De plus, restreindre l'accès RDP via un VPN peut réduire l'exposition aux cyberattaques. Comprendre les mécanismes des attaques par force brute est essentiel pour renforcer la sécurité des systèmes et protéger les données sensibles.
Sources :
Récapitulatif THN : principales menaces, outils et pratiques en matière de cybersécurité (du 18 au 24 novembre)
Cette semaine, un récapitulatif met en lumière les menaces croissantes dans le domaine de la cybersécurité, notamment l'exploitation de mots de passe faibles et de protocoles de télécommunication par des groupes de hackers, dont Salt Typhoon, lié à la Chine. Ces attaques ciblent principalement des dispositifs IoT vulnérables de divers fournisseurs, déployant le malware Ngioweb via des scripts automatisés. Les travailleurs IT, opérant sous de fausses identités, transfèrent leurs revenus vers la Corée du Nord à travers des services de paiement en ligne et des comptes bancaires chinois. Les attaques reposent sur des dispositifs déjà compromis, où des malwares bancaires capturent les identifiants et les codes d'authentification à deux facteurs. Par ailleurs, plusieurs vulnérabilités critiques ont été identifiées, touchant des produits Apple, Android, et d'autres logiciels. Une faille dans le mécanisme de journalisation de Fortinet permettrait aux attaquants de dissimuler des connexions réussies lors d'attaques par force brute. De plus, des erreurs de configuration dans Microsoft Power Pages exposent des données sensibles d'organisations. Enfin, la ransomware Phobos, bien que moins médiatisé, continue d'affecter de nombreuses victimes en se concentrant sur le volume plutôt que sur des cibles de haut profil.
Sources :
Des chercheurs découvrent un logiciel malveillant utilisant BYOVD pour contourner les protections antivirus
Des chercheurs en cybersécurité ont découvert une nouvelle campagne malveillante utilisant la technique Bring Your Own Vulnerable Driver (BYOVD) pour contourner les protections de sécurité et accéder aux systèmes infectés. Cette attaque repose sur un fichier exécutable (kill-floor.exe) qui déploie un pilote anti-rootkit légitime d'Avast (aswArPot.sys), manipulé pour exécuter des actions malveillantes. Une fois le pilote enregistré comme service, le malware obtient un accès au niveau du noyau, lui permettant de terminer 142 processus, y compris ceux des logiciels de sécurité, afin d'éviter toute alerte. Le pilote Avast, fonctionnant en mode noyau, peut ainsi annuler les processus en contournant les mécanismes de protection des antivirus et des solutions EDR. Bien que le vecteur d'accès initial de l'attaque ne soit pas encore identifié, les attaques BYOVD sont devenues une méthode courante pour déployer des ransomwares, en réutilisant des pilotes signés mais vulnérables. En mai dernier, Elastic Security Labs avait déjà signalé une campagne de malware GHOSTENGINE exploitant le même pilote d'Avast pour désactiver les processus de sécurité. L'ampleur de ces attaques et leurs cibles restent encore floues.
Sources :
Des espions russes ont piraté des accès Wi-Fi à Washington avant l’invasion de l’Ukraine
Les services de renseignement russes ont intensifié leurs opérations à Washington avant l'invasion de l'Ukraine, comme l'indique une enquête de Volexity publiée dans Wired. Cette enquête révèle un piratage sophistiqué attribué au groupe de hackers russes Fancy Bear, lié au GRU. Bien que le nom de la cible n'ait pas été divulgué, il s'agirait d'une entreprise travaillant sur des sujets sensibles liés à l'Ukraine. Les hackers ont utilisé une technique d'« enchaînement d’intrusions », exploitant un ordinateur mal sécurisé pour infiltrer le réseau d'une entreprise voisine. Cette méthode leur a permis de progresser sans laisser de traces évidentes. Les intrusions ont eu lieu avant et pendant l'invasion de l'Ukraine en février 2022, suggérant que l'opération visait à collecter des renseignements pour soutenir les efforts militaires russes. L'enquête a également révélé que les hackers avaient tenté de revenir sur le réseau cible en exploitant d'autres failles, notamment un appareil VPN compromis. Cette évolution des méthodes du GRU montre une adaptation aux nouvelles contraintes de cybersécurité, soulignant le caractère étatique de l'opération.
