Veille cyber du 20/06/2024
Découvrez comment les pirates de l'UNC3886 utilisent des rootkits Linux pour infiltrer VMware ESXi, les capacités du Flipper Zero pour pirater les réseaux Wi-Fi, et l'exploitation active de la faille de traversée du chemin SolarWinds Serv-U. Ne manquez pas notre analyse complète!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les pirates informatiques de l'UNC3886 utilisent des rootkits Linux pour se cacher sur les machines virtuelles VMware ESXi
Le groupe de hackers UNC3886 utilise des rootkits Linux pour se cacher sur des machines virtuelles VMware ESXi, leur permettant de mener des activités malveillantes telles que le vol d'identifiants, l'exécution de commandes et le déplacement latéral. Mandiant a identifié l'utilisation des rootkits 'Reptile' et 'Medusa' ainsi que des outils malveillants personnalisés tels que 'Mopsled' et 'Riflespine' par UNC3886, ciblant divers secteurs industriels. Les rootkits permettent aux hackers de rester invisibles et d'effectuer des actions malveillantes sans être détectés. Mandiant prévoit de publier plus de détails techniques sur ces backdoors VMCI dans un prochain article.
Sources :
Flipper Zero : « Pouvez-vous vraiment pirater les réseaux Wi-Fi ? » et d'autres questions répondues
ZDNET recommande le Flipper Zero, un outil polyvalent pour les pentesters et les passionnés de technologie. Il permet d'explorer les protocoles RFID et radio, ainsi que de déboguer le matériel à l'aide des broches GPIO. Malgré son prix de 169 $, il peut être difficile à trouver à un prix raisonnable en raison de la forte demande. Cependant, pour ceux qui s'y intéressent vraiment, le Flipper Zero peut être un excellent outil d'apprentissage et de découverte technologique. Son utilisation nécessite une certaine expertise technique, mais peut offrir des possibilités intéressantes pour les passionnés de technologie.
Sources :
Faille de traversée du chemin SolarWinds Serv-U activement exploitée dans les attaques
Des acteurs de menace exploitent activement une vulnérabilité de traversée de répertoire dans SolarWinds Serv-U, utilisant des exploits de preuve de concept disponibles publiquement. La faille CVE-2024-28995 permet aux attaquants non authentifiés de lire des fichiers arbitraires du système de fichiers. SolarWinds a publié un correctif pour cette vulnérabilité. Des analystes ont publié des détails sur l'exploitation de la vulnérabilité, avertissant de l'ampleur des instances potentiellement vulnérables. Les attaquants ciblent des fichiers sensibles pour escalader leurs privilèges ou explorer d'autres opportunités dans le réseau compromis. Les administrateurs système doivent appliquer les correctifs disponibles rapidement pour se protéger contre ces attaques.
Sources :
CDK Global a de nouveau été piraté alors qu'il se remettait de sa première cyberattaque
Le fournisseur de logiciels CDK Global, spécialisé dans les concessions automobiles, a subi une deuxième violation de données alors qu'il tentait de restaurer ses systèmes après une cyberattaque précédente. Cette attaque a entraîné une panne massive affectant les opérations normales des concessions automobiles. Malgré les efforts de restauration, CDK a dû à nouveau fermer ses systèmes après une nouvelle violation. Les plus grands concessionnaires automobiles du monde, comme Penske Automotive Group, sont touchés. CDK prévoit de rétablir ses services le 21 juin, mais des professionnels de la cybersécurité s'inquiètent de la rapidité de cette réintégration, craignant un risque accru pour les clients. Les clients ont rencontré des difficultés pour acheter des voitures en raison de l'indisponibilité des systèmes. CDK travaille avec des experts tiers pour rétablir les services et assure une communication régulière avec les clients pour minimiser les impacts.
Sources :
Des chercheurs découvrent une vulnérabilité UEFI affectant plusieurs processeurs Intel
Des chercheurs en cybersécurité ont révélé une faille de sécurité corrigée dans le firmware Phoenix SecureCore UEFI affectant plusieurs familles de processeurs Intel Core. La vulnérabilité CVE-2024-0762 a été qualifiée de dépassement de tampon dans la configuration du module de plateforme sécurisée (TPM), permettant l'exécution de code malveillant. Cette faille a été corrigée en avril 2024 par Phoenix Technologies et Lenovo a également publié des mises à jour. Les attaques au niveau du firmware UEFI sont de plus en plus observées, offrant aux attaquants une persistance sur les appareils. Les vulnérabilités dans le firmware UEFI représentent un risque majeur pour la chaîne d'approvisionnement, touchant de nombreux produits et fournisseurs simultanément. La découverte de cette faille intervient après la divulgation d'une autre vulnérabilité dans l'implémentation UEFI de HP et d'une attaque logicielle nommée TPM GPIO Reset.
Sources :
Les acteurs de la menace se concentrent sur l’utilisation des applications cloud dans le secteur des télécommunications
La hausse de l'adoption des applications cloud dans le secteur des télécommunications entraîne une exposition accrue aux malwares, avec une marge de 7 % par rapport aux autres secteurs. Les utilisateurs privilégient les produits Microsoft, notamment OneDrive, Teams et Outlook. Les téléchargements de malwares ont chuté en 2023 avant de remonter en 2024, avec Microsoft OneDrive et GitHub en tête. Les principales familles de malwares ciblant ce secteur incluent Remcos, GuLoader et AgentTesla. Les menaces exploitent les services cloud légitimes comme Microsoft OneDrive pour dissimuler leurs activités. Cette tendance souligne la nécessité pour les professionnels des télécoms de renforcer leur sécurité face aux cybermenaces.
Sources :
Des entités diplomatiques françaises ciblées dans des cyberattaques liées à la Russie
Des acteurs soutenus par l'État russe ont mené des cyberattaques ciblées contre des entités diplomatiques françaises, selon l'ANSSI. Les attaques sont attribuées à un groupe suivi par Microsoft sous le nom de Midnight Blizzard (anciennement Nobelium), lié à APT29, BlueBravo, Cloaked Ursa, Cozy Bear et The Dukes. L'ANSSI préfère traiter ces groupes comme distincts, incluant un troisième nommé Dark Halo. Les attaques impliquent l'envoi d'e-mails de phishing à des organisations publiques françaises depuis des institutions étrangères compromises. Les opérations de Nobelium ont également ciblé des ambassades européennes à Kyiv et l'ambassade de France en Roumanie. L'acteur a exploité des failles de sécurité dans les serveurs JetBrains TeamCity et a été lié à des violations de Microsoft et Hewlett Packard Enterprise. L'ANSSI souligne que ces attaques renforcent les capacités offensives de Nobelium et le danger qu'il représente. La Pologne a également signalé que des hackers russes pourraient être derrière une attaque DDoS contre Telewizja Polska.
Sources :
Surcharge d'outils : pourquoi les MSP sont toujours noyés sous d'innombrables outils de cybersécurité en 2024
Les MSP font face à une multitude d'outils de cybersécurité, entraînant des défis d'intégration, de visibilité limitée et de coûts élevés. Pour surmonter ces obstacles, la consolidation des outils en plateformes unifiées est recommandée pour améliorer l'efficacité et réduire les coûts. Les MSP doivent gérer un grand nombre d'alertes et de données, ce qui peut entraîner une fatigue d'alerte. La plateforme de cybersécurité unifiée Guardz offre une solution en fournissant une vue centralisée des risques critiques, priorisant les menaces et assurant une application uniforme des politiques de sécurité. Guardz aide à protéger les entreprises des cyberattaques et à garantir la sécurité des actifs numériques.
Sources :
Le cyberespionnage chinois cible les opérateurs de télécommunications en Asie depuis 2021
Des groupes de cyberespionnage associés à la Chine ont été liés à une campagne de longue durée infiltrant plusieurs opérateurs de télécommunications d'un pays asiatique depuis au moins 2021. Symantec a identifié des backdoors et tentatives de vol de données. Les outils utilisés sont similaires à ceux de groupes chinois comme Mustang Panda, RedFoxtrot et Naikon. L'objectif et les motivations de ces attaques restent flous, mais les acteurs chinois ont déjà ciblé le secteur des télécoms. En novembre 2023, Kaspersky a révélé une campagne de malware ShadowPad visant une entreprise de télécommunications pakistanaise. Les attaquants pourraient chercher à collecter des renseignements, espionner ou perturber les infrastructures critiques.
Sources :
Un nouveau malware Fickle basé sur Rust utilise PowerShell pour contourner l'UAC et exfiltrer les données
Un nouveau malware voleur d'informations basé sur Rust, nommé Fickle Stealer, est distribué via plusieurs chaînes d'attaques pour collecter des données sensibles. Il utilise différents méthodes de distribution telles que des scripts PowerShell pour contourner le Contrôle de compte d'utilisateur (UAC) et envoie des informations sur la victime à un bot Telegram. Le payload du malware exfiltre les données vers un serveur distant sous forme de chaînes JSON après avoir effectué des vérifications anti-analyse. Fickle Stealer cible les portefeuilles de cryptomonnaie, les navigateurs web basés sur Chromium et le moteur de navigateur Gecko, ainsi que diverses applications. Il recherche également des fichiers sensibles et reçoit une liste de cibles du serveur pour une collecte de données plus flexible. En parallèle, Symantec a révélé un voleur Python open-source appelé AZStealer, capable de voler diverses informations et de les exfiltrer via Discord.
Sources :
Des experts découvrent un nouveau logiciel malveillant évasif SquidLoader ciblant les organisations chinoises
Des chercheurs en cybersécurité ont découvert un nouveau chargeur de logiciels malveillants nommé SquidLoader qui se propage via des campagnes de phishing ciblant des organisations chinoises. Le malware intègre des fonctionnalités conçues pour contrecarrer l'analyse statique et dynamique afin d'éviter la détection. Les attaques exploitent des e-mails de phishing avec des pièces jointes se faisant passer pour des documents Microsoft Word, mais qui sont en réalité des binaires permettant l'exécution du malware. Ce dernier est utilisé pour récupérer des charges utiles de shellcode de deuxième étape à partir d'un serveur distant, y compris Cobalt Strike. SquidLoader utilise des mécanismes d'évasion et de leurre pour rester indétectable et entraver l'analyse. Il emploie des techniques d'évasion défensives telles que des segments de code chiffrés, du code inutile, de l'obfuscation de graphes de flux de contrôle, la détection de débogueurs, et des appels système directs. Les chargeurs de logiciels malveillants sont devenus populaires dans le milieu criminel pour les acteurs de la menace cherchant à délivrer des charges utiles supplémentaires tout en contournant les défenses antivirus et autres mesures de sécurité.
Sources :
T-Mobile nie avoir été piraté et associe les données divulguées à une violation du fournisseur
T-Mobile nie avoir été piraté et lie les données divulguées à une violation chez un fournisseur. Un acteur de menace prétend avoir volé des données de l'entreprise de télécommunications, mais T-Mobile affirme que ses systèmes n'ont pas été compromis et enquête sur un problème chez un fournisseur tiers. Les captures d'écran publiées par l'acteur de menace sont en réalité des anciennes images de l'infrastructure de T-Mobile sur les serveurs d'un fournisseur tiers, d'où elles ont été volées. IntelBroker prétend avoir accès à des données sensibles de T-Mobile, mais leur authenticité est remise en question. T-Mobile a été confronté à plusieurs incidents de cybersécurité récemment, avec celui-ci étant le troisième impactant l'entreprise en moins de deux ans.
Sources :
Crown Equipment confirme qu'une cyberattaque a perturbé la fabrication
Le fabricant de chariots élévateurs Crown Equipment a confirmé avoir été victime d'une cyberattaque qui a perturbé sa production dans plusieurs usines à l'échelle mondiale. L'attaque, attribuée à une organisation de cybercriminels internationale, a entraîné l'arrêt des systèmes informatiques de l'entreprise depuis le 8 juin. Les employés ont été avertis de ne pas accepter les demandes d'authentification à deux facteurs et de se méfier des e-mails de phishing. Crown a déclaré travailler avec des experts en cybersécurité et le FBI pour résoudre la situation. Bien que la nature exacte de l'attaque ne soit pas divulguée, il est probable qu'il s'agisse d'une attaque de ransomware. La société a commencé à rétablir progressivement ses systèmes, mais la production reste perturbée. Les employés ont exprimé leur frustration quant au manque de transparence de l'entreprise et ont été informés qu'ils recevraient leur salaire régulier malgré les jours de travail perdus.
Sources :
7 choses sympas et utiles que je fais avec mon Flipper Zero (et vous pouvez aussi)
L'article présente une approche rigoureuse pour collecter des données provenant de diverses sources afin de fournir des évaluations précises de produits et services technologiques. L'accent est mis sur l'analyse des avis des clients pour aider les consommateurs à prendre des décisions d'achat éclairées. L'auteur explore les fonctionnalités du Flipper Zero, mettant en avant ses capacités étendues grâce à un firmware personnalisé. Le dispositif peut capturer et transmettre des codes infrarouges pour contrôler des appareils tels que des téléviseurs, et se connecter à d'autres gadgets via des connecteurs GPIO. Cependant, il souligne que des vidéos trompeuses sur les réseaux sociaux peuvent induire en erreur les acheteurs sur les capacités réelles du produit. L'article aborde également l'utilisation de logiciels tiers pour accéder à des fonctionnalités supplémentaires, ainsi que les risques associés aux dispositifs BadUSB. Enfin, il mentionne l'utilisation de ces outils pour des tests techniques, tels que la simulation de modules de véhicules ou la transmission de vidéos sur des écrans plus grands.
