La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • Une vulnérabilité d’Internet Explorer récemment corrigée, exploitée par le malware SLUB Backdoor
    • Un malware nommé EvilGnome cible les utilisateurs Linux
    • Une agence chinoise de marketing mobile expose les données personnelles et bancaires de plusieurs millions d’utilisateurs chinois
    • Le fournisseur de service cloud Insynq victime d’une attaque par ransomware
    • Des comptes utilisateurs appartenant aux clients de l’opérateur de télécommunication Sprint accessibles depuis le site Web de Samsung
    • La liste des victimes d’attaques par ransomware s’allonge aux Etats-Unis : cette fois-ci des écoles de l’Etat de New York ont été compromises
    • Une faille XSS découverte dans une Tesla 3 
    • Notre analyste russophone s’intéresse au malware CloudMid suspecté d’espionner des organisations de santé publique russe
    • Retour sur une opération d’espionnage lancée par le groupe Ke3chang contre des diplomates du monde entier ; sur le groupe SWEED potentiel auteur d’une campagne d’attaques malveillantes ; et sur StrongPity à l’origine d’une campagne de diffusion de logiciels malveillants

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez Intrinsec ! Si vous ne l’êtes pas encore, abonnez-vous à leur newsletter

Menaces Sectorielles

Multisectorielle 

SLUB Backdoor infecte les utilisateurs via une vulnérabilité récemment corrigée

Des chercheurs de Trend Micro ont révélé que le groupe de pirates responsable de la backdoor SLUB aurait exploité une vulnérabilité d’Internet Explorer, pourtant récemment corrigée. Les pirates auraient exploité cette vulnérabilité pour interagir avec les serveurs de commande et contrôle (C&C), via Slack, un système de messagerie collaborative qui permet aux utilisateurs de créer des canaux, similaires au système IRC (Internet Relay Chat).  Afin de distribuer le malware, les pirates auraient utilisé un site Web pour cibler la vulnérabilité CVE-2018-8174, une vulnérabilité du moteur VBScript. Les attaquants auraient également exploité la vulnérabilité CVE-2019-0752, une vulnérabilité d’Internet Explorer corrigée en avril 2019. Selon Trend Micro, Slack aurait été informé de l’utilisation abusive d’espaces de travail par les pirates et aurait déjà pris des mesures pour les fermer. Les chercheurs ont précisé que le malware n’aurait pas été largement diffusé. En savoir plus

Un nouveau malware qui espionne les utilisateurs de PC Linux

Des chercheurs d’Intezer Labs auraient découvert, au début du mois de juillet, un nouveau malware Linux se faisant passer pour une extension du shell Gnome et conçu pour espionner les utilisateurs Linux. La backdoor, baptisée EvilGnome, serait conçue pour prendre des captures d’écran de bureau, voler des fichiers, capturer des enregistrements audio depuis le microphone, télécharger et exécuter d’autres modules malveillants, à l’insu de l’utilisateur. EvilGnome, se faisant passer pour une extension Gnome légitime, serait livrée à l’aide d’archives auto-extractibles créées à l’aide du script shell, avec toutes les métadonnées générées lors de la création de l’archive de charge utile malveillante et persisterait sur le système cible à l’aide de Crontab, un outil de planificateur de tâches Windows, et enverrait les données utilisateur volées à un serveur distant contrôlé par un attaquant. EvilGnome intègrerait cinq modules malveillants appelés “Shooters”. Ces différents modules procéderaient au chiffrement des données qu’ils envoient et au déchiffrement des commandes reçues du serveur C&C, en utilisant une version modifiée d’une bibliothèque russe open source. Les chercheurs ont également détecté des liens entre EvilGnome et Gamaredon, un groupe présumé russe qui serait actif depuis au moins 2013 et qui ciblerait des individus travaillant avec le gouvernement ukrainien. En savoir plus

Numérique

Les données personnelles et bancaires de plusieurs millions d’utilisateurs chinois compromises

Des chercheurs appartenant à l’entreprise israélienne Safety Detective ont récemment découvert une fuite de données en provenance d’un serveur ElasticSearch basé en Chine et hébergé par Alibaba Cloud, une filiale du groupe Alibaba. Selon Anurag Sen, l’un des chercheurs de Safety Detective, cette base contiendrait 899 Go de données personnelles et appartiendrait probablement à une agence chinoise de marketing mobile. Parmi les informations exposées, seraient notamment compromis les noms, les adresses les numéros de téléphones, les informations bancaires ainsi que les données de géolocalisations des utilisateurs. De plus, certains des enregistrements contiendraient également les hashs de mots de passe d’utilisateurs. Bien que la base de données ne soit désormais plus accessible, les données compromises pourraient être facilement vendues sur le Dark Web. En savoir plus

La société Insynq, fournisseur de services Cloud, victime d’une attaque par ransomware

Une nouvelle attaque par ransomware aurait touché le 16 juillet 2019, l’entreprise Insynq, prestataire majeur d’entreprises d’infogérance et de cabinets comptables. En effet, plusieurs applications de comptabilités et de bureaux virtuels appartenant à la société auraient subi une interruption de service. Cependant, Insynq n’aurait pas précisé quelles applications ou quels clients auraient été touchés par cette attaque. Les détails du montant demandé n’ont pas été dévoilés mais l’entreprise a affirmé ne pas vouloir céder à la demande des attaquants. La situation n’est pas nouvelle puisque de nombreux services d’infogérances et d’expertise comptable auraient subi des attaques par ransomware similaires au cours des derniers mois. En savoir plus

Télécommunications

L’opérateur mobile américain Sprint a révélé que des pirates auraient accédé à des comptes appartenant à des clients via le site Web de Samsung

Le 22 juin 2019, l’opérateur américain de réseau mobile Sprint aurait détecté des accès non autorisés aux comptes de ses clients depuis le site Web Samsung.com. Les pirates auraient utilisé une vulnérabilité détectée sur le site de Samsung qui aurait permis aux abonnés Sprint d’ “ajouter une ligne” dans leurs profils. Les informations personnelles auxquelles les pirates auraient eu accès incluraient les noms et prénoms des abonnés Sprint, leur numéro de compte et leur date de création, leur identifiant d’abonné, leur numéro de téléphone, le modèle de leur smartphone et l’identifiant de leur appareil, leur adresse de facturation, leur éligibilité de mise à niveau et le prix de leur abonnement mensuel. Le 25 juin 2019, Sprint a déclaré avoir reconfiguré les comptes des clients concernés en réinitialisant leur code PIN afin de renforcer leur sécurisation. Toutefois, la communication réalisée par l’opérateur mobile, dans une lettre aux clients concernés, demeure peu détaillée. Le nombre exact de comptes touchés et la date à laquelle les pirates auraient commencé à accéder aux informations via le site Samsung.com restent inconnus. De plus, Sprint ne serait pas en mesure d’affirmer si les données clients auraient été modifiées ou réutilisées par les pirates. C’est la seconde fois cette année que l’opérateur américain fait face à une telle crise. Plus tôt en 2019, Sprint avait subi une fuite de données clients appartenant à sa filiale Boost Mobile, réseau de téléphonie mobile virtuelle. Les informations collectées par les pirates depuis ce réseau aurait pu servir à accéder aux comptes des utilisateurs Sprint. En savoir plus ici et

Service public

Des écoles américaines de l’Etat de New York auraient été victimes de deux ransomwares

Dans la continuité de la longue liste des organisations et des villes américaines victimes de ransomwares, le secteur scolaire de Syracuse, la bibliothèque publique du comté d’Onondaga, et le Monroe College, dans l’Etat de New York, auraient également été ciblés par deux ransomwares. Les attaquants auraient infecté le réseau du secteur scolaire de Syracuse, empêchant ainsi les écoles d’accéder à leurs systèmes. Le système en ligne de la bibliothèque du comté aurait également été touché par l’attaque, ce qui aurait empêché tout accès au catalogue en ligne, aux comptes en ligne mais également aux services téléphoniques de la bibliothèque centrale et de ses annexes. Les responsables ont affirmé qu’aucune donnée personnelle n’aurait été exposée au cours de l’attaque. Le ransomware ayant ciblé le Monroe College aurait entraîné la fermeture des systèmes informatiques de ses campus situés à Manhattan, à New Rochelle et à Sainte-Lucie et aurait également détruit le site Web du collège. D’après les informations disponibles, il pourrait s’agir des ransomwares Ryuk, IEncrypt ou Sodinokibi, plus connus pour cibler les réseaux d’entreprise. Dans le cas de ces deux ransomwares, le montant de la rançon s’élèverait à plusieurs millions de dollars. A l’heure actuelle, aucune des deux écoles n’auraient payé la rançon. En savoir plus ici et

Automobile

Découverte d’une vulnérabilité XSS dans une Tesla 3 suite à une fissure sur le pare-brise

Sam Curry, un pirate informatique et chercheur en sécurité, spécialisé dans les applications Web, aurait découvert une vulnérabilité de type XSS au sein de l’application qui permet de collecter des statistiques vitales sur les modèles de véhicules Tesla 3. Dans un premier temps, Sam Curry aurait essayé de déterminer si le véhicule présentait des failles de type de Format String, c’est-à-dire des failles dans le code source de l’application. Sans succès, il aurait remarqué que ce modèle de voiture supportait une longue chaîne de caractères et aurait décidé de lui donner le nom d’une payload qu’il avait configurée via le service en ligne de détection de faille XSS, XSS Hunter. A la suite d’un incident sur son véhicule, Sam Curry aurait contacté Tesla pour obtenir le remplacement d’une pièce. Après avoir reçu une confirmation de prise en charge de sa demande, Sam Curry aurait alors vérifié XSS Hunter et aurait découvert que l’agent de Tesla avait tiré la payload de Blind-XSS qu’il avait configuré. Parmi les informations récupérées figureraient la vitesse, la température, la version du firmware, la pression des pneus, le fuseau horaire local et l’état de verrouillage du véhicule. Tesla aurait déployé un correctif en moins d’une demi-journée pour corriger ce bug. En savoir plus

Écosystème russophone

CloudMid espionnerait les organisations de santé publique russes

Les experts de Kaspersky Lab auraient identifié une série d’attaques ciblées visant les entités du secteur de la santé publique en Russie. Les attaques qui auraient débuté au printemps 2019, auraient été menées par des pirates russophones localisés en dehors de la Russie. Leur objectif majeur serait la collecte d’informations de nature financière (contrats, factures de santé etc.). Les pirates auraient fait parvenir des emails afin d’infecter de nombreux postes de travail par le biais d’un nouveau logiciel espion nommé CloudMid. Ce dernier aurait été masqué en client VPN d’une société anonyme russe. Après l’installation, le logiciel aurait été en mesure de prendre plusieurs captures d’écran par minute. Les experts précisent que ces attaques seraient particulièrement ciblées, car seules certaines entités de différentes régions auraient été visées. En savoir plus

SWEED

D’après l’entreprise de cybersécurité Cisco Talos, une importante campagne malveillante aurait été mise en place par le groupe SWEED depuis 2017. Ce groupe ciblerait ses victimes principalement via l’implantation d’un cheval de Troie d’accès à distance, diffusé par emails associés à une pièce jointe dotée d’une charge malveillante. Le but du groupe serait d’infecter des appareils avec l’agent Tesla, un malware voleur d’informations sur le marché depuis 2014. Ils cibleraient des entreprises de petite et moyenne taille, via des vulnérabilités connues (emails de phishing, exploitation de la CVE-2017-11882 ou de macros Office cachées), ce qui pourrait démontrer que ce groupe reste relativement amateur. De plus, d’après les investigations de Cisco Talos, ce groupe disposerait de comptes sur les différents forums et marchés noirs liés au piratage, qui dévoileraient une grande partie de leurs opérations et leurs associés. Dans l’article d’investigation de Cisco Talos, une liste des IoC (indicateurs de compromission) et des domaines de messagerie utilisés par SWEED sont disponibles. En savoir plus

StrongPity

Une nouvelle campagne diffusant des logiciels malveillants aurait été découverte par les chercheurs d’Alien Labs. Cette dernière aurait débuté au second semestre de l’année 2018 et serait actuellement toujours en cours. En s’appuyant sur des échantillons datant des années 2016, 2017 et 2018, les équipes d’Alien Lab ont pu déterminer que les nouveaux logiciels diffusés lors de cette campagne appartiendraient au groupe APT StrongPity. La technique serait également similaire aux campagnes précédentes du groupe APT puisque ce dernier diffuserait des versions malveillantes de logiciels légitimes afin de duper ses victimes. Un des exemples identifiés par Alien Labs se manifesterait par la diffusion d’une version malveillante du logiciel WinBox. Aucun élément ne permettrait à la victime de détecter la version malveillante d’autant plus que le logiciel fonctionnerait comme s’il s’agissait d’une version standard. Le logiciel malveillant communiquerait ensuite avec un serveur de commande et contrôle (C&C) via SSL et serait conçu pour localiser tous les documents sensibles et ainsi les collecter. En savoir plus

Ke3chang

Le groupe de pirates Ke3chang aurait lancé une opération de piratage ciblant des diplomates du monde entier. Ke3chang, aussi appelé APT15 est connu depuis 2010 pour mener des opérations d’espionnage au moyen de chevaux de Troie et autres logiciels malveillants tels que Ketrican et Okrum. C’est avec l’aide de ce dernier, que les pirates auraient pu accéder aux données de différents diplomates du monde, en particulier en Europe et en Amérique du sud. En effet, ce logiciel serait suffisamment complet pour offrir aux attaquants des droits d’administrateur, mais aussi pour réaliser différentes commandes telles que le téléchargement de fichiers. Les chercheurs d’ESET, qui ont analysé les attaques du groupe Ke3chang depuis 2015, sont parvenus à identifier le fonctionnement d’Okrum. Toutefois l’équipe n’explique pas encore comment le logiciel se serait implanté au sein des machines infectées. Au total, le groupe aurait déployé trois logiciels similaires, Ketrican, Okrum et RoyalIDNS qui auraient toujours ciblé le même type d’organisations situées dans les mêmes zones géographiques. D’après les chercheurs, le groupe serait pour l’heure, encore actif. En savoir plus

Cette newsletter est émise par la cellule de Threat Intelligence : le service fournit à ses clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark web).Pour plus d’information, contactez-les ! Les analystes & veilleurs, capables de travailler en français, anglais, espagnol, arabe, russe, turc & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Copyright 2019 Intrinsec Sécurité – Toute reproduction interdite