Blandine Delaporte

Rapport Threat Intelligence - 24 septembre 2018

Blog Post created by Blandine Delaporte Employee on Sep 27, 2018

Rapport Threat Intelligence - 24 septembre 2018

 

PRINCIPALES FAILLES ET ATTAQUES

  • Le Département d'État des États-Unis a été victime d'une fuite de données. La fuite était limitée à un système de messagerie électronique non classifié et a exposé les données personnelles des employés.
  • Un groupe de pirates inconnu à ce jour a compromis Click2Gov, une solution web payante développée par Superion, lors d’une campagne de collecte de données de paiement qui aurait débuté en octobre 2017. La manière dont les pirates ont compromis le serveur Click2Gov reste inconnue, mais les chercheurs estiment qu'une exploitation de vulnérabilité Oracle Web Logic pourrait avoir été utilisée.
  • Des chercheurs ont révélé que l’accès à environ 3 000 sites web piratés a été mis en vente sur un marché russophone du dark web.
  • Le groupe de pirates « Magecart » a compromis les services de sueno.co[.]uk, un détaillant en ligne basé au Royaume-Uni d’appareils électroménagers et de literie de luxe. Lors d’une autre attaque récente, le même groupe a compromis Newegg, un détaillant d'électronique grand public. Le groupe a créé un faux site web Newegg et a redirigé le processus de paiement du site d'origine vers son faux site en y injectant du code malveillant.
  • Le port de Barcelone a subi une cyberattaque qui a affecté certains de ses serveurs et systèmes, obligeant l’entreprise à lancer le plan d’urgence conçu spécifiquement pour ce type d’incident. L'incident n'a pas semblé affecter les activités du port en ce qui concerne le trafic maritime.
  • Des chercheurs ont averti que le logiciel espion Pegasus, qui infecte les appareils mobiles Android et iPhone, est actuellement utilisé par 36 opérateurs pour mener des campagnes de surveillance dans 45 pays. Le logiciel espion, créé et vendu par la société israélienne NSO Group, a été utilisé de par le passé par des gouvernements et des forces de police. Il ciblés également des organismes de défense des droits de l’homme.
  • La place de change de cryptomonnaie japonaise Zaif a annoncé avoir perdu 60 millions de dollars de fonds d’entreprises et d’utilisateurs lors d’un incident de sécurité survenu le 14 septembre.

 

VULNÉRABILITÉS ET CORRECTIFS

  • Adobe a publié des correctifs pour les versions Windows et macOS d'Acrobat et de Reader, dont l'une corrige une faille critique pouvant permettre l'exécution de code arbitraire.
  • Des chercheurs ont exposé une vulnérabilité critique dans les logiciels de NUUO, un fournisseur mondial d'équipements de vidéosurveillance, qui met en péril la sécurité des flux vidéo de plus de 100 marques de caméras et plus de 2 500 modèles de caméras.
  • Cisco a corrigé une vulnérabilité dans son logiciel de vidéosurveillance qui permettrait à un agresseur distant non authentifié d'exécuter des commandes arbitraires sur des systèmes ciblés.
  • Des chercheurs ont divulgué une vulnérabilité zero-day affectant toutes les versions de Windows, Microsoft n’ayant pas été en mesure de la corriger au bout d’un délai de 120 jours. La vulnérabilité se trouve dans le moteur de base de données Microsoft JET et permettrait à un agresseur d'exécuter du code sur les systèmes vulnérables, mais elle oblige la victime à ouvrir un fichier spécialement conçu ou consulter une page web illicite.

La blade Check Point IPS offre une protection contre cette menace (Exécution de code à distance dans le moteur de base de données Microsoft Jet).

  • Des chercheurs ont découvert une vulnérabilité critique d'escalade de privilèges dans certains ordinateurs de poche Android d’Honeywell, qui pourrait être exploitée par un agresseur pour obtenir des privilèges élevés. Les modèles concernés sont CT60, CN80, CT40, CK75, CN75, CT50, D75e, CN51 et EDA.

 

RAPPORTS ET MENACES

  • Une nouvelle forme de logiciel malveillant surnommé « Xbash » détecte s'il a infecté un serveur Linux ou Windows, et se comporte différemment sur chacun. Sur un serveur Linux, il chiffre les fichiers via une attaque de logiciel rançonneur, sans fournir de moyen de les déchiffrer même si la rançon est payée. Sous Windows, il exécute du code d’extraction de crypto-monnaie. Le logiciel malveillant se comporte également comme un ver. Il tente de se déplacer latéralement dans un réseau en recherchant les ports vulnérables et en menant une attaque de brute force pour découvrir des mots de passe vulnérables.
  • Europol a publié son rapport « Évaluation de la criminalité organisée sur Internet en 2018 », dans lequel il est indiqué que le nombre d’attaques de cryptojacking est en hausse, que les logiciels rançonneurs conservent la primauté, et « qu’en plus des attaques de criminels motivés par le gain », le nombre de cyberattaques « commanditées par des États » pourrait augmenter. Le rapport ajoute qu'il est devenu « de plus en plus difficile » de déterminer si une attaque provient d’un groupe « sophistiqué » de cybercriminalité organisée, d’un pirate sponsorisé par un État, ou d’un cybercriminel amateur.
  • Des chercheurs ont averti que les cybercriminels automatisent désormais le processus d'attaque par « credential stuffing » (utilisation de listes de noms d'utilisateurs et de mots de passe compilées à partir de fuites de données), à l’aide de botnets pour tenter de se connecter à plusieurs services en ligne. L'augmentation du nombre de ces attaques, en particulier contre le secteur financier, pourrait avoir un effet similaire à celui d'une attaque DDoS.

Outcomes