Veille cyber du 13/06/2024
Découvrez comment YouTube teste des publicités serveur indétectables, la nouvelle attaque « Sleepy Pickle » sur l'IA, et la campagne d'espionnage mobile d'Arid Viper avec AridSpy. Restez informé sur les dernières menaces en ligne !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
YouTube teste une injection de publicités côté serveur plus difficile à bloquer dans les vidéos
YouTube teste une injection de publicités côté serveur plus difficile à bloquer dans les vidéos. Cette méthode intégrerait les annonces directement dans le flux vidéo avant sa diffusion, rendant les bloqueurs de publicités moins efficaces. SponsorBlock, une extension tierce, indique que cette technique compromet son fonctionnement, mais des solutions sont en cours de développement. Pour contrer cette évolution, des ajustements sont envisagés, tels que l'analyse des métadonnées pour détecter la durée des publicités. Cependant, ces mesures pourraient devenir insoutenables à grande échelle. Les utilisateurs expriment des inquiétudes quant à l'impact sur leur expérience, certains se tournant vers des sites de piratage pour éviter les publicités. Des discussions sur l'utilisation de l'IA pour améliorer les bloqueurs de publicités émergent, soulignant les enjeux financiers en jeu. YouTube n'a pas encore commenté ses projets d'injection côté serveur.
Sources :
La nouvelle technique d'attaque « Sleepy Pickle » cible les modèles d'apprentissage automatique
Une nouvelle technique d'exploitation des modèles d'apprentissage automatique, appelée Sleepy Pickle, a été découverte, mettant en lumière les risques de sécurité liés au format Pickle. Cette attaque cible directement les modèles d'apprentissage automatique en insérant des charges utiles dans les fichiers Pickle, ce qui peut altérer le comportement des modèles ou manipuler les données traitées. Sleepy Pickle peut être utilisé pour générer des résultats nuisibles, voler des données utilisateur et diffuser des informations trompeuses. Cette technique permet aux attaquants de maintenir un accès furtif aux systèmes d'apprentissage automatique, contournant ainsi la détection. Il est recommandé de charger les modèles uniquement à partir de sources de confiance et de prendre des mesures de sécurité telles que les commits signés pour se protéger contre de telles attaques.
Sources :
Arid Viper lance une campagne d'espionnage mobile avec le logiciel malveillant AridSpy
L'acteur de menace connu sous le nom d'Arid Viper a été attribué à une campagne d'espionnage mobile qui utilise des applications Android piégées pour distribuer une souche de logiciel espion appelée AridSpy. Les activités ont débuté en 2022 et ont ciblé principalement des utilisateurs en Palestine et en Égypte. Arid Viper, également appelé APT-C-23, a une longue histoire d'utilisation de logiciels malveillants mobiles depuis 2017, visant notamment le personnel militaire au Moyen-Orient, les journalistes et les dissidents. ESET a découvert qu'AridSpy peut télécharger des charges utiles supplémentaires depuis un serveur de commande et de contrôle. Le malware peut prendre des photos avec la caméra frontale du téléphone et les envoyer au serveur d'exfiltration.
Sources :
Pourquoi la sécurité SaaS est-elle soudainement à la mode : la course à la défense et à la conformité
Les récentes cyberattaques dans la chaîne d'approvisionnement incitent le secteur financier à renforcer les exigences de conformité en matière de cybersécurité, avec d'autres industries devant suivre. De nombreuses entreprises ne disposent toujours pas de méthodes efficaces pour gérer les tâches de sécurité et de conformité SaaS sensibles au temps. Les outils actuels offrent des mises à niveau progressives pour aider les professionnels de la sécurité à respecter leur budget ou niveau de maturité. Les nouvelles réglementations exigeront une gestion robuste du cycle de vie des risques SaaS tiers, débutant par la découverte des services SaaS et la gestion des risques tiers (TPRM) et se terminant par l'obligation pour les CISO de signaler les incidents dans leur chaîne d'approvisionnement dans les 72 heures. Les réglementations cybernétiques financières comme NY-DFS et DORA reposent sur des principes similaires de réduction des risques malgré l'utilisation de terminologies différentes. Les services doivent être évalués pour leur importance opérationnelle et leur impact sur les informations non publiques (NPI), et comparés à un score de réputation du fournisseur (une évaluation des risques de l'extérieur vers l'intérieur). Une politique de sécurité complète devrait également couvrir les "applications fantômes" adoptées par les employés individuels, ainsi que les essais gratuits utilisés par différentes équipes. De nombreuses entreprises se fient encore à des examens périodiques et à des processus manuels qui peuvent négliger l'application de l'IT fantôme et les applications ajoutées même quelques minutes après un audit SaaS. Les solutions de gestion de la posture de sécurité SaaS sont puissantes pour cette étape complexe mais critique. Wing Security propose un outil d'entrée gratuit pour découvrir et évaluer les risques des applications SaaS les plus utilisées par une organisation. Ils ont récemment mis à jour leur niveau de base pour automatiser les tâches intensives en main-d'œuvre critiques pour les équipes de sécurité. Ce nouveau niveau comprend une découverte approfondie de l'IT fantôme, le paramétrage et l'application des politiques, ainsi qu'une éducation transparente de la main-d'œuvre sur les fournisseurs SaaS. À partir de 3 500 $ par an pour les petites organisations, le niveau de base offre un point d'entrée rentable dans la sécurité SaaS, avec des mises à niveau disponibles pour renforcer davantage les cas d'utilisation de protection et réduire les coûts des tâches réglementaires. Les modèles de tarification évolutive offrent un moyen facile de découvrir les risques et de montrer rapidement le retour sur investissement. Les organisations plus avancées voudront des niveaux Pro ou Entreprise complets pour aborder et gérer efficacement les quatre étapes de conformité typiques mentionnées ci-dessus.
Sources :
La campagne contre les logiciels malveillants liée au Pakistan évolue pour cibler Windows, Android et macOS
Des acteurs de la menace liés au Pakistan sont associés à une campagne de logiciels malveillants nommée Opération Celestial Force depuis au moins 2018. L'activité utilise le malware Android GravityRAT et un chargeur de malware Windows nommé HeavyLift, administrés via un outil autonome appelé GravityAdmin. L'intrusion est attribuée à un adversaire nommé Cosmic Leopard, avec des similitudes tactiques avec Transparent Tribe. L'opération cible principalement des entités indiennes, avec GravityRAT évoluant pour fonctionner sur Android et macOS. Des découvertes récentes ont révélé l'utilisation continue de GravityRAT pour cibler le personnel militaire en Inde et au sein de la Force aérienne pakistanaise. Cosmic Leopard utilise le spear-phishing et l'ingénierie sociale pour déployer GravityRAT et HeavyLift. GravityAdmin est utilisé pour commander les systèmes infectés depuis août 2021. HeavyLift est un chargeur de malware basé sur Electron ciblant Windows, similaire aux versions Electron de GravityRAT. Ce malware peut collecter des métadonnées système et exécuter de nouveaux payloads. L'opération vise des entités indiennes liées à la défense et au gouvernement.
Sources :
Les cybercriminels utilisent PhantomLoader pour distribuer le malware SSLoad
Le malware émergent SSLoad est distribué via un chargeur inconnu nommé PhantomLoader, selon les conclusions de la société de cybersécurité Intezer. Ce chargeur est ajouté à une DLL légitime, généralement des produits EDR ou AV, en patchant le fichier binaire et en utilisant des techniques d'auto-modification pour éviter la détection. SSLoad, probablement proposé à d'autres acteurs de menace sous un modèle Malware-as-a-Service en raison de ses différentes méthodes de distribution, s'infiltre dans les systèmes via des e-mails de phishing, effectue une reconnaissance et déploie d'autres types de logiciels malveillants sur les victimes. L'utilisation de SSLoad pour déployer Cobalt Strike a été révélée précédemment. Le malware a été détecté depuis avril 2024. Les chaînes d'attaque impliquent généralement l'utilisation d'un installateur MSI qui, une fois lancé, initie la séquence d'infection. Le premier malware de stade est conçu pour extraire et exécuter la charge utile, un DLL de téléchargement basé sur Rust qui récupère à son tour la charge utile principale de SSLoad à partir d'un serveur distant. Le payload final envoie les informations au serveur de commande et de contrôle (C2) sous forme de chaîne JSON, puis le serveur répond avec une commande pour télécharger plus de logiciels malveillants. SSLoad démontre sa capacité à rassembler des informations, à tenter d'éviter la détection et à déployer d'autres charges utiles à travers diverses méthodes de distribution et techniques.
Sources :
La police ukrainienne arrête un suspect lié aux groupes LockBit et Conti Ransomware
La police cybernétique de l'Ukraine a arrêté un homme local soupçonné d'avoir offert ses services aux groupes de ransomwares LockBit et Conti. L'individu de 28 ans, originaire de la région de Kharkiv, aurait développé des crypteurs pour crypter et obfusquer des charges malveillantes afin d'éviter la détection par les programmes de sécurité. Ces crypteurs auraient été utilisés par les syndicats de ransomwares Conti et LockBit pour lancer des attaques réussies. Des perquisitions ont été menées à Kyiv et Kharkiv, et du matériel informatique a été saisi. Le suspect risque jusqu'à 15 ans de prison s'il est reconnu coupable. Par ailleurs, le département de la Justice américain a annoncé l'arrestation d'un ressortissant taïwanais en lien avec un marché noir de stupéfiants sur le dark web. Les marchés noirs et les boutiques frauduleuses ont reçu 1,7 milliard de dollars en 2023, marquant une reprise depuis la fermeture de Hydra en 2022.
Sources :
Google met en garde contre une faille de sécurité du micrologiciel Pixel exploitée comme Zero-Day
Google a averti qu'une faille de sécurité affectant le Firmware Pixel a été exploitée dans la nature en tant que zero-day. La vulnérabilité de gravité élevée, identifiée sous le nom CVE-2024-32896, a été décrite comme un problème d'élévation de privilèges dans le Firmware Pixel. La mise à jour de sécurité de juin 2024 corrige un total de 50 vulnérabilités, dont cinq concernent divers composants des chipsets Qualcomm. Certains problèmes notables corrigés incluent un problème de déni de service affectant le Modem, ainsi que de nombreuses failles de divulgation d'informations touchant GsmSs, ACPM et Trusty. Les mises à jour sont disponibles pour les appareils Pixel pris en charge, tels que le Pixel 5a avec 5G, Pixel 6a, Pixel 6, Pixel 6 Pro, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel 8, Pixel 8 Pro, Pixel 8a et Pixel Fold. Plus tôt en avril, Google a résolu deux failles de sécurité dans le chargeur d'amorçage et les composants du firmware (CVE-2024-29745 et CVE-2024-29748) qui étaient utilisées par des entreprises de criminalistique pour voler des données sensibles. Puis la semaine dernière, Arm a informé les utilisateurs d'une vulnérabilité liée à la mémoire (CVE-2024-4610) dans les pilotes de noyau GPU Bifrost et Valhall qui fait l'objet d'une exploitation active.
Sources :
Le nouveau logiciel malveillant multiplateforme « Noodle RAT » cible les systèmes Windows et Linux
Un malware transversal inconnu nommé Noodle RAT, utilisé par des acteurs menaçants de langue chinoise pour l'espionnage ou la cybercriminalité depuis au moins juillet 2016, est distinct de Gh0st RAT et Rekoobe. Il existe en versions Windows et Linux, avec des fonctionnalités de téléchargement/upload de fichiers, exécution de malwares, proxy TCP, et suppression automatique. Des groupes de piratage comme Iron Tiger et Calypso ont utilisé la version Windows, tandis que des clusters liés à la Chine ont employé la version Linux pour des attaques ciblées en exploitant des failles de sécurité connues. Bien que les commandes diffèrent, les deux versions partagent un code de communication C2 identique. Des fuites récentes ont révélé un vaste écosystème de piratage chinois, suggérant que Noodle RAT est probablement vendu à des clients intéressés. Ce développement survient alors que le groupe Mustang Panda lié à la Chine mène une campagne de phishing ciblant des entités vietnamiennes.
Sources :
Les e-mails de phishing abusent du protocole de recherche Windows pour diffuser des scripts malveillants
Une nouvelle campagne de phishing exploite des courriels avec des pièces jointes HTML abusant du protocole de recherche Windows pour propager des fichiers batch malveillants hébergés sur des serveurs distants, diffusant ainsi des logiciels malveillants. Les attaquants utilisent le protocole de recherche Windows pour partager des fichiers malveillants sur des serveurs distants, en utilisant des pièces jointes HTML pour lancer des recherches Windows sur les serveurs des attaquants. Les attaques récentes commencent par un courriel malveillant avec une pièce jointe HTML déguisée en document de facture placé dans une petite archive ZIP pour éviter la détection des scanners de sécurité. Les chercheurs de Trustwave recommandent de supprimer les entrées de registre associées au protocole search-ms/search URI pour se protéger contre cette menace, mais cela peut affecter le fonctionnement des applications légitimes utilisant ce protocole.
