Blandine Delaporte

Rapport Threat Intelligence - 1er octobre 2018

Blog Post created by Blandine Delaporte Employee on Oct 3, 2018

Rapport Threat Intelligence - 1er octobre 2018

 

PRINCIPALES FAILLES ET ATTAQUES

  • Le détaillant de mode SHEIN a été victime d’une fuite de données majeure touchant environ 6,5 millions d'utilisateurs. Les pirates ont réussi à accéder aux informations personnelles de ses clients, notamment les adresses électroniques et les mots de passe chiffrés des clients ayant consulté la boutique en ligne.
  • Des chercheurs ont découvert une campagne d’extraction de cryptomonnaie monero exploitant les modules complémentaires de Kodi Media Player. Les logiciels malveillants diffusés en plusieurs étapes dans le cadre de cette campagne peuvent compromettre les plates-formes Windows et Linux, possèdent des fonctionnalités de contournement des protections, et ont déjà ciblé plus de 5 000 victimes.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.KodiMIner; Trojan.Linux.KodiMiner).

  • Facebook a été piraté et les données de 50 millions d'utilisateurs ont été exposées. Les pirates ont exploité une vulnérabilité zero-day dans la fonctionnalité « Afficher en tant que » pour dérober les jetons d'accès des utilisateurs et prendre le contrôle de leurs comptes.
  • Le Port de San Diego a subi une attaque de logiciel rançonneur, quelques jours après que le Port de Barcelone ait également été frappé par une cyberattaque. L'attaque a affecté le traitement des permis de stationnement et des demandes de consultation des dossiers, ainsi que d'autres opérations.
  • Des chercheurs ont identifié un nouveau logiciel malveillant sophistiqué appelé « LoJax », utilisé dans le cadre du premier rootkit UEFI (interface micrologicielle extensible unifiée). Le rootkit UEFI LoJax est utilisé par le tristement célèbre groupe de pirates russes Fancy Bear mêlé aux attaques ciblées contre des gouvernements des Balkans et d'Europe centrale et orientale. Il permet aux pirates de subsister sur les appareils ciblés et survit à une réinitialisation complète du disque dur.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.LoJax).

 

 VULNÉRABILITÉS ET CORRECTIFS

  • L’équipe Bitcoin Core a publié un correctif de sécurité adressant une vulnérabilité critique aux attaques DDoS dans le logiciel du portefeuille Bitcoin Core. Cette vulnérabilité permettrait à des pirates d’entraîner le plantage de nœuds Bitcoin Core et, dans le pire des cas, de stopper totalement le fonctionnement du système de blockchain en coordonnant une attaque via des extracteurs de bitcoin.
  • Une nouvelle vulnérabilité de débordement d'entier appelée « Mutagen Astronomy » a été découverte dans le noyau Linux, affectant les distributions Red Hat, CentOS et Debian. Cette vulnérabilité permettrait à un pirate non autorisé d’obtenir un accès superutilisateur sur le système ciblé.
  • Cisco a publié un correctif de sécurité adressant 25 vulnérabilités, dont 14 sont considérées comme étant critiques. La plupart sont des vulnérabilités à des dénis de service affectant les composants de ses produits IOS et IOS XE.

 

RAPPORTS ET MENACES

  • Des chercheurs de Check Point ont identifié un nouveau générateur en ligne surnommé « Gazorp», conçu pour générer des binaires de l’outil de vol de données Azorult , qui collecte des mots de passe, des informations de carte bancaire, des données liées aux cryptomonnaies, etc. Gazorp est hébergé sur le Dark Web et est proposé gratuitement. Il permet à quiconque de créer de nouveaux échantillons d’Azorult.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.Azorult).

  • Des chercheurs ont découvert que la nouvelle version du botnet « Hide N Sick» (HNS) vise des appareils Android. Le botnet HNS exploite la fonctionnalité Android Debug Bridge, permettant aux pirates d'exécuter à distance n'importe quelle commande avec des privilèges administrateur.
  • Des chercheurs ont découvert un botnet très sophistiqué pour objets connectés surnommé « Torii », ciblant un large éventail d'architectures, notamment ARM, MIPS, x86, x64, PowerPC et SuperH. Torii infecte les appareils dont la fonctionnalité Telnet est exposée en raison de mots de passe peu robustes, et dérobe les données des appareils compromis.
  • De nouvelles fonctionnalités dangereuses ont été découvertes dans VPNFilter, un botnet pour objets connectés très sophistiqué à plusieurs étapes, attribué au groupe russe Fancy Bear. Ces nouvelles fonctionnalités incluent la cartographie des réseaux, l’infection d’autres postes connectés aux appareils infectés, l'le masquage et le chiffrement du trafic malveillant, la création d'un réseau de proxies pouvant servir à masquer la source du trafic malveillant, etc.

Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre cette menace (IOT.Linux.VPNFilter, contournement de l'authentification sur routeur Netgear WNDR4700 (CVE 2013 3071), certificat malveillant auto-signé sur le client VPNFilter, exécution de commande non authentifiée sur Netgear DGN, exécution de code à distance sur NETGEAR DGN2200 (CVE-2017-5521), Trojan.UNIX.VPNFilter.*).

Les blades Check Point SandBlast, Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan-Ransom.Win32.GandCrab).

Outcomes