Veille cyber du 28/06/2024
Découvrez comment les géants Agropur et Ticketmaster font face à des violations de données massives, tandis que le groupe Kimsuky exploite une extension Chrome pour dérober des informations sensibles. Informez-vous sur ces menaces de cybersécurité et protégez vos données.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le géant laitier Agropur affirme qu'une violation de données a exposé des informations sur ses clients
Agropur, l'une des plus grandes coopératives laitières en Amérique du Nord, a révélé une violation de données affectant certains répertoires en ligne partagés. L'entreprise affirme que cette faille n'a pas touché ses systèmes transactionnels ni perturbé ses activités principales, mais a lancé une enquête pour évaluer l'ampleur de l'incident. Agropur collabore avec des experts en cybersécurité et les autorités pour gérer la situation. Bien que les détails sur les données exposées et le nombre de personnes impactées ne soient pas encore connus, l'entreprise a informé ses clients par mesure de précaution. Les clients sont invités à rester vigilants contre les tentatives de phishing.
Sources :
Ticketmaster envoie des notifications concernant une récente violation massive de données
Ticketmaster a commencé à informer les clients touchés par une violation de données après le vol de la base de données Snowflake de l'entreprise par des pirates informatiques. Les données compromises incluent les noms, les informations de contact de base et des informations supplémentaires variables. Ticketmaster recommande aux clients de rester vigilants contre le vol d'identité et a offert un an de surveillance d'identité gratuite. La violation a en réalité touché des millions de clients dans le monde et exposé des informations sensibles. Un acteur de menace connu sous le nom de ShinyHunters a vendu des données volées de Live Nation/Ticketmaster, affirmant qu'elles contenaient des informations personnelles et de carte de crédit de 560 millions d'utilisateurs. L'attaque a été liée à d'autres attaques de vol de données récentes liées à la plateforme de base de données Snowflake.
Sources :
Kimsuky utilise l'extension Chrome TRANSLATEXT pour voler des données sensibles
Le groupe de menace lié à la Corée du Nord connu sous le nom de Kimsuky a été associé à l'utilisation d'une nouvelle extension malveillante pour Google Chrome, nommée TRANSLATEXT, visant à voler des informations sensibles dans le cadre d'un effort de collecte de renseignements en cours. Cette campagne ciblée a été dirigée contre des institutions académiques sud-coréennes axées sur les affaires politiques nord-coréennes. Kimsuky, un groupe de piratage notoire de Corée du Nord actif depuis au moins 2012, a récemment exploité une faille de sécurité connue dans Microsoft Office pour distribuer un enregistreur de frappe. L'attaque commence par un fichier ZIP prétendant traiter de l'histoire militaire coréenne, contenant un document Hangul et un exécutable. L'exécution de l'exécutable permet le téléchargement d'un script PowerShell depuis un serveur contrôlé par l'attaquant, exportant des informations sur la victime compromise vers un dépôt GitHub. TRANSLATEXT, se faisant passer pour Google Translate, vise à contourner les mesures de sécurité pour voler des données sensibles.
Sources :
Attention danger : des pirates se font passer pour les plus beaux zoos d’Europe
Des pirates se font passer pour des zoos renommés en Europe pour collecter des données personnelles et escroquer les gens avec de fausses billetteries. Les victimes sont dirigées vers de faux sites proposant des prix attractifs ou des concours pour des zoos tels que Beauval, La Flèche, Pairi Daiza, etc. Les pirates collectent des informations sensibles comme l'identité, les coordonnées bancaires, etc. Les abonnements frauduleux peuvent coûter jusqu'à 40€ par semaine. L'attaque a débuté en janvier 2024 et est liée à un casino à Chypre. Les faux sites et abonnements malveillants sont également basés à Chypre. Il est crucial de partager l'information pour éviter d'être victime de cette arnaque et de protéger ses données personnelles.
Sources :
TeamViewer relie la cyberattaque d'une entreprise aux pirates informatiques de l'État russe
L'entreprise de développement de logiciels RMM TeamViewer affirme qu'un groupe de piratage parrainé par l'État russe, connu sous le nom de Midnight Blizzard, serait derrière une violation de leur réseau d'entreprise cette semaine. TeamViewer a partagé une déclaration mise à jour attribuant l'attaque à Midnight Blizzard (APT29, Nobelium, Cozy Bear), indiquant que leur réseau d'entreprise interne a été compromis le mercredi 26 juin à l'aide des identifiants d'un employé. Les experts recommandent de surveiller les connexions suspectes pour détecter toute tentative d'accès à d'autres réseaux. Midnight Blizzard est lié à des attaques de cyberespionnage, notamment l'attaque de la chaîne d'approvisionnement SolarWinds en 2020 et des cyberattaques réussies contre Microsoft en 2023 et 2024. Microsoft a partagé des conseils pour répondre aux attaques de Midnight Blizzard.
Sources :
GitLab publie un correctif pour une vulnérabilité critique du pipeline CI/CD et 13 autres
GitLab a publié des mises à jour de sécurité pour corriger 14 failles, dont une critique permettant d'exécuter des pipelines CI/CD en tant qu'utilisateur. Les versions 17.1.1, 17.0.3 et 16.11.5 ont corrigé ces vulnérabilités touchant GitLab CE et EE. La plus grave, CVE-2024-5655 (score CVSS : 9.6), pouvait déclencher un pipeline en tant qu'autre utilisateur. D'autres failles importantes ont été corrigées, telles que des vulnérabilités XSS, CSRF et d'autorisation. Les correctifs introduisent des changements impactant l'authentification GraphQL et l'exécution automatique des pipelines. Bien qu'aucune exploitation active n'ait été constatée, les utilisateurs sont invités à appliquer les correctifs pour se prémunir contre d'éventuelles menaces.
Sources :
Attaque Polyfill.io, BootCDN, Bootcss, Staticfile attribuée à 1 opérateur
Une attaque à grande échelle via plusieurs CDN, dont Polyfill.io, BootCDN, Bootcss et Staticfile, touchant potentiellement des dizaines de millions de sites web, a été attribuée à un seul opérateur. Des chercheurs ont découvert des clés secrètes Cloudflare exposées accidentellement dans un dépôt GitHub lié à Polyfill.io, permettant de relier les quatre domaines attaqués à une même entité. L'attaque, potentiellement en cours depuis juin 2023, a été signalée par MalwareHunterTeam et a été étendue à d'autres services tels que Bootcss, BootCDN et Staticfile. Cloudflare a confirmé que des millions de sites utilisaient Polyfill.io. Des références à du code malveillant injecté ont été trouvées sur des forums chinois dès juin 2023. Les analystes mettent en garde contre la possibilité que les opérateurs de Polyfill.io aient enregistré plusieurs domaines à l'avance, pouvant compliquer la réponse à l'attaque. Il est recommandé de remplacer l'utilisation de ces services par des alternatives sûres proposées par Cloudflare et Fastly.
Sources :
8220 Gang exploite les failles du serveur Oracle WebLogic pour l'extraction de crypto-monnaie
Des chercheurs en sécurité ont mis en lumière l'opération de minage de cryptomonnaie menée par le groupe 8220 en exploitant des failles de sécurité connues dans le serveur Oracle WebLogic. Le groupe, également connu sous le nom de Water Sigbin, utilise des techniques d'exécution sans fichier pour éviter la détection par les mécanismes basés sur le disque. Ils exploitent des vulnérabilités telles que CVE-2017-3506, CVE-2017-10271 et CVE-2023-21839 pour accéder initialement au système et déployer le chargeur de minage via une technique de chargement multi-étapes. Le malware déploie un script PowerShell pour lancer un chargeur de première étape qui imite l'application VPN légitime WireGuard, mais qui en réalité lance un autre binaire en mémoire. Le chargeur exécute ensuite le mineur à partir d'un domaine contrôlé par l'attaquant en le masquant en tant que binaire Microsoft légitime. Le groupe 8220 utilise un outil d'installation appelé k4spreader pour diffuser des botnets DDoS et des programmes de minage. Ce malware, actuellement en développement, exploite des failles de sécurité telles que Apache Hadoop YARN, JBoss et Oracle WebLogic Server pour infiltrer des cibles vulnérables.
Sources :
Combattre l'évolution de la chaîne de destruction SaaS : comment garder une longueur d'avance sur les acteurs de la menace
Le SaaS domine toujours l'adoption de logiciels et représente la plus grande part des dépenses de cloud public. Les pare-feu protègent désormais un petit périmètre, avec une visibilité limitée. Les équipes de sécurité ont besoin de middleware personnalisé pour digérer les journaux des fournisseurs SaaS et les intégrer dans leur SIEM. En moyenne, une instance de SaaS a 256 connexions SaaS-SaaS, dont beaucoup sont inutilisées mais ont encore des autorisations excessives dans des applications métier essentielles comme Salesforce, Okta et GitHub. Les chaînes d'attaques SaaS réussies impliquent généralement quatre étapes principales : accès initial, reconnaissance, mouvement latéral et persistance, exécution de ransomware et évitement de la sécurité. Les attaquants exploitent les mêmes tactiques pour accéder de manière non autorisée aux locataires SaaS, y compris Salesforce et M365. La fuite de données via le partage de permissions reste une préoccupation majeure en matière de sécurité SaaS. La mise en place d'un programme de sécurité SaaS permet de détecter les comportements suspects et d'alerter en conséquence.
Sources :
Un ancien employé informatique a accédé aux données de plus d'un million de patients américains
Un ancien employé en informatique a accédé aux données de plus d'1 million de patients américains de Geisinger, un important système de santé en Pennsylvanie. L'incident a été détecté en novembre 2023, et l'employé a été arrêté et inculpé. Les informations compromises incluent le nom complet, le numéro de téléphone, la date de naissance, l'adresse, le numéro de dossier médical, la race et le genre, entre autres. Aucune information financière n'a été affectée. Les personnes concernées sont invitées à rester vigilantes, et une enquête juridique est en cours pour déterminer les suites de l'incident.
Sources :
La nouvelle attaque SnailLoad exploite la latence du réseau pour espionner les activités Web des utilisateurs
Des chercheurs en sécurité de l'Université de Technologie de Graz ont présenté une nouvelle attaque de canal auxiliaire appelée SnailLoad, permettant d'inférer à distance l'activité web d'un utilisateur en exploitant un goulot d'étranglement présent sur toutes les connexions Internet. Cette attaque ne nécessite pas d'être en proximité physique du réseau Wi-Fi de la victime. En incitant la cible à charger un élément inoffensif depuis un serveur contrôlé par un attaquant, celui-ci peut exploiter la latence du réseau de la victime pour déterminer ses activités en ligne. En utilisant un réseau neuronal convolutif, l'attaquant peut inférer avec précision jusqu'à 98% des vidéos visionnées et 63% des sites visités. Cette attaque nommée SnailLoad exploite un problème de qualité de service appelé bufferbloat. Par ailleurs, des chercheurs ont révélé une faille de sécurité dans le firmware des routeurs liée à la manipulation des connexions TCP, permettant à un attaquant connecté au même réseau Wi-Fi que la victime de contourner la randomisation intégrée dans le protocole TCP pour mener des attaques de détournement de connexion TCP.
Sources :
Des chercheurs mettent en garde contre les failles des équipements d’analyse de gaz industriels largement utilisés
Plusieurs failles de sécurité ont été révélées dans les chromatographes de gaz Emerson Rosemount, impactant les modèles GC370XA, GC700XA et GC1500XA, ainsi que les versions antérieures à la 4.1.5. Ces vulnérabilités comprennent des failles d'injection de commandes et d'authentification, permettant à des attaquants malveillants d'obtenir des informations sensibles, de provoquer un déni de service et d'exécuter des commandes arbitraires. L'agence américaine de cybersécurité (CISA) a averti que l'exploitation réussie de ces failles pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires, d'accéder à des informations sensibles, de provoquer un déni de service et de contourner l'authentification pour acquérir des privilèges administratifs. Emerson a publié une mise à jour du firmware pour corriger ces failles et recommande aux utilisateurs de suivre les meilleures pratiques de cybersécurité. D'autres vulnérabilités ont été identifiées dans d'autres dispositifs médicaux, mettant en danger la sécurité des systèmes critiques et la disponibilité des médicaments et vaccins sensibles à la température.
Sources :
TeamViewer détecte une faille de sécurité dans l'environnement informatique de l'entreprise
TeamViewer a révélé jeudi avoir détecté une "irrégularité" dans son environnement informatique interne le 26 juin 2024. L'entreprise a activé son équipe de réponse et a lancé des investigations avec des experts en cybersécurité. Aucune preuve n'indique que des données clients ont été impactées. Une enquête est en cours pour déterminer les responsables de l'intrusion. L'APT29 est lié à l'attaque, ciblant les identifiants d'un compte employé. NCC Group recommande de supprimer TeamViewer en attendant plus de détails sur la compromission.
Sources :
Nul en informatique ? Ce pirate a trouvé la solution (violente) pour pirater quand même ses victimes
La justice américaine a inculpé Remy St-Felix pour avoir utilisé la violence pour contraindre des personnes à envoyer des crypto-monnaies à un complice. Avec un autre criminel, il se faisait passer pour un ouvrier pour attaquer des investisseurs âgés intéressés par les crypto-monnaies. Ils les séquestraient, les forçaient à installer un logiciel de contrôle à distance, puis vidaient leurs comptes. L'affaire a permis de découvrir que le complice distant était un hacker capable de pirater les victimes. La bande a agi dans plusieurs États américains. Remy risque une peine de prison allant de sept ans à la réclusion à perpétuité. Son complice reste inconnu.
Sources :
Le gang de ransomware BlackSuit revendique une attaque contre la société KADOKAWA
Le groupe de ransomware BlackSuit revendique une attaque contre la société KADOKAWA, menaçant de publier des données volées si une rançon n'est pas payée. KADOKAWA, un conglomérat médiatique japonais, a subi une cyberattaque le 8 juin, affectant ses opérations, y compris la plateforme vidéo Niconico. Les opérations de KADOKAWA restent impactées, avec les services de Niconico toujours suspendus. Le groupe travaille à restaurer ses fonctions comptables et à normaliser ses activités de publication. BlackSuit, opération de ransomware lancée en mai 2023, menace de publier les données volées le 1er juillet si la rançon n'est pas payée. L'opération est liée à des attaques sur plus de 350 organisations dans le monde, avec plus de 275 millions de dollars de demandes de rançon.
Sources :
Le nouvel acteur malveillant Unfurling Hemlock inonde les systèmes de logiciels malveillants
Le groupe de menace Unfurling Hemlock inonde les systèmes de logiciels malveillants, distribuant jusqu'à dix pièces de logiciels malveillants à la fois. Les attaques commencent par l'exécution d'un fichier nommé 'WEXTRACT.EXE', délivré via des e-mails malveillants ou des chargeurs de logiciels malveillants. Les chercheurs ont identifié plusieurs types de logiciels malveillants, dont des voleurs d'informations, des botnets et des portes dérobées. Les attaques ciblent principalement les États-Unis, l'Allemagne, la Russie, la Turquie, l'Inde et le Canada. Les analystes de KrakenLabs ont observé des logiciels malveillants tels que Redline, RisePro, Mystic Stealer, Amadey, et d'autres, utilisés pour voler des informations sensibles et exécuter des logiciels supplémentaires. Il est recommandé aux utilisateurs de scanner les fichiers téléchargés avec des outils antivirus à jour avant de les exécuter.
