RAPPORT THREAT INTELLIGENCE - 30 Juillet 2018

Philippe_RONDEL — Wed, 01 Aug 2018 21:04:01 GMT

PRINCIPALES FAILLES ET ATTAQUES

Cosco, une compagnie de transport maritime appartenant à l'État chinois, a été frappé par une attaque de logiciel rançonneur. L'attaque a paralysé de nombreux réseaux de l'entreprise à travers les Amériques, conduisant l'entreprise à interrompre les connexions réseau avec d'autres régions.
OilRig, un groupe d'espionnage opérant au Moyen-Orient, a mené une campagne ciblée contre un prestataire de services technologiques et une entité gouvernementale dans un pays du Moyen-Orient, à l'aide de la porte de service Quadagent. L'attaque provient d'une entité gouvernementale du même pays, qui a probablement été compromise par le groupe à cette fin.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre toutes les variantes connues de cette menace (Oilrig, Trojan.Win32.Oilrig, Operator.Oilrig).

Plusieurs entités gouvernementales locales et nationales des États-Unis ont reçu des courriers individuels, avec des CD contenant des logiciels malveillants. Les CD étaient inclus dans des enveloppes postées en chinois, et comprenaient des fichiers Word en mandarin avec des scripts Visual Basic malveillants.
LifeLock, une société américaine de protection contre le vol d'identité, a récemment corrigé un bug qui permettait à des pirates d'indexer les adresses email associées à des millions de comptes utilisateurs via un navigateur web. Le bug permettrait également aux pirates de mener des opérations sur mesure ciblant les clients de LifeLock.
Blue Springs Family Care, un prestataire de soins de santé dans l’état du Missouri aux États-Unis, a été victime d'une attaque de logiciel rançonneur. Quelques 45 000 dossiers de patients, comprenant des détails les identifiant personnellement, des diagnostics médicaux et des codes d'incapacité, pourraient avoir été compromis.

Plusieurs fausses applications bancaires collectant des données de paiement par carte et des informations bancaires, ont été découvertes dans la boutique d’applications Google Play Store. Ces applications ciblent les clients de trois banques indiennes et proposent d'augmenter les plafonds des cartes bancaires. Les identifiants dérobés sont ensuite divulgués en ligne.

Les clients de Check Point SandBlast Mobile sont protégés contre cette menace.

VULNÉRABILITÉS ET CORRECTIFS

Intel a publié des correctifs adressant trois vulnérabilités dans sa technologie Smart Sound, toutes classées comme étant importantes. Elles permettraient à un agresseur d'exécuter du code arbitraire sur des processeurs Intel Core et des PC équipés des processeurs Atom. Smart Sound est un processeur conçu pour gérer des interactions audio, vidéo et vocales telles que les commandes vocales et l'audio haute fidélité.
Une vingtaine de failles ont été découvertes dans le contrôleur SmartThings Hub de Samsung, un dispositif utilisé pour gérer différents appareils numériques personnels. Les failles permettraient à des agresseurs de prendre le contrôle des appareils, de reconfigurer les systèmes d’alarme, surveiller les caméras et effectuer différentes actions.
Des chercheurs ont découvert une vulnérabilité dans certaines implémentations Bluetooth, qui ont un impact sur sa fonctionnalité Secure Simple Pairing. La faille, référencée CVE-2018-5383, permettrait à un pirate d'intercepter ou d'influencer les données envoyées entre deux dispositifs vulnérables. Des mises à jour logicielles devraient être publiées dans les semaines à venir.

RAPPORTS ET MENACES

Une analyse du logiciel malveillant Micropsie, qui était utilisé lors une campagne menée contre des cibles palestiniennes et récemment signalé par les chercheurs de Check Point, présente des fonctions de surveillance avancée du logiciel malveillant, qui incluent l'enregistrement du microphone et le vol de documents à partir d’appareils USB connectés.

Les blades Check Point SandBlast et Anti-Bot offrent une protection contre cette menace (Micropsia, Big Bang).

Des chercheurs de Check Point ont examiné des réincarnations du téléchargeur de logiciels malveillants Emotet et leurs fonctions. Emotet était initialement un cheval de Troie bancaire unique, qui a évolué pour devenir un diffuseur de logiciels malveillants tiers sophistiqués, comprenant une variété de modules et de techniques d'évasion.

Les blades Check Point SandBlast et Anti-Bot offrent une protection contre cette menace (Emotet).

Un nouveau type de kit de téléchargement par navigation a été découvert, diffusant un logiciel malveillant personnalisé qui télécharge le botnet d’extraction de cryptomonnaie Hidden Bee sur les machines infectées. Le kit utilise des publicités malveillantes sur des sites pour adultes afin de rediriger ses victimes vers la page d'accueil du kit d'exploitation de vulnérabilités. Il cible principalement des utilisateurs en Asie.

La blade Check Point IPS offre une protection contre cette menace (Utilisation après libération dans Adobe Flash Player (APSB18-03: CVE-2018-4878), exécution de code à distance dans le moteur Microsoft Windows VBScript (CVE-2018-8174), Hidden_Bee, Trojan.Win32.Hidden_Bee).

Des chercheurs ont révélé un nouveau logiciel malveillant nommé Calisto, qui cible les utilisateurs de Mac OS et qui a réussi à échapper à toute détection depuis son apparition en 2016. Le logiciel malveillant est déguisé en version à jour du logiciel de sécurité Intego pour Mac, et pourrait être lié à la famille de logiciels malveillants Proton.

La blade Check Point Anti-Virus offre une protection contre cette menace (Trojan.MacOX.Calisto).

topic RAPPORT THREAT INTELLIGENCE - 30 Juillet 2018 in Français

RAPPORT THREAT INTELLIGENCE - 30 Juillet 2018