| Rapport Threat Intelligence - 10 septembre 2018 |
PRINCIPALES FAILLES ET ATTAQUES
- Des chercheurs de Check Point ont découvert « Domestic Kitten», une campagne de surveillance ciblée en continu menée par des entités du gouvernement iranien. Grâce à l'utilisation d'applications mobiles, la campagne fournit de faux contenus pour inciter les victimes à télécharger des applications, qui contiennent en fait des logiciels espions collectant une grande quantité de détails confidentiels.
Les clients de Check Point SandBlast Mobile sont protégés contre cette menace.
- Des chercheurs ont révélé une nouvelle campagne attribuée au groupe de pirates OilRig lié à l’Iran, visant une entité du gouvernement du Moyen-Orient. La campagne utilise une nouvelle variante du cheval de Troie OopsIE qui implémente de nouvelles fonctionnalités de contournement des protections, grâce notamment à la détection des antivirus et des machines virtuelles.
Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.OilRIG).
- British Airways a été victime d'une importante fuite de données exposant les données personnelles de 380 000 clients. Les données dérobées comprennent les noms et adresses des clients, ainsi que des informations financières et des données de cartes bancaires utilisées pour réserver des vols.
- Schneider Electric, l’entreprise d’énergie et d’automation, a révélé que les clés USB livrées avec les produits « Conext ComBox » et « Conext Battery Monitor » étaient infectées par des logiciels malveillants. Les clés USB ont probablement été exposées à un logiciel malveillant lors de leur fabrication dans les installations d'un fournisseur tiers.
- L'extension chrome MEGA a été piratée et remplacée par une version malveillante dans la boutique en ligne. La version compromise dérobait des identifiants de connexion et des clés de cryptomonnaies. Lors de sa découverte, Google l'a retiré de sa boutique en ligne Chrome.
- Un nouveau groupe de pirates surnommé « PowerPool» a mené une campagne malveillante ciblant plusieurs pays, dont l'Allemagne, le Chili, l'Inde et la Russie. Les logiciels malveillants diffusés lors de l'attaque exploitent une vulnérabilité zero-day révélée en août 2018.
Les blades Check Point SandBlast et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.PowerPool).
VULNÉRABILITÉS ET CORRECTIFS
- Plusieurs vulnérabilités ont été découvertes dans Opsview Monitor, un logiciel de surveillance informatique pour réseaux et applications. Les failles permettraient à un agresseur d’élever ses privilèges et d’exécuter du code à distance.
- Un bug d'élévation de privilèges a été découvert dans les clients VPN populaires « NordVPN » et « ProtonVPN » utilisés pour configurer un tunnel sécurisé. Le bug permettrait à un agresseur de transmettre du code arbitraire au service et de l’exécuter avec les droits système sous Windows.
La blade Check Point IPS offre une protection contre cette menace (Exécution de code à distance Cisco Smart Install).
- Cisco a publié un correctif de sécurité traitant 32 vulnérabilités, dont 3 sont considérées comme étant critiques, notamment la vulnérabilité d'exécution de code à distance dans Apache Struts déjà exploitée par le passé.
La blade Check Point IPS offre une protection contre cette menace (Exécution de code à distance dans Apache Struts, utilisation après libération dans Adobe Acrobat et Reader).
RAPPORTS ET MENACES
- Des chercheurs ont noté l’utilisation du nouveau kit d’exploitation « Fallout » dans une campagne de publicités malveillantes distribuant le logiciel rançonneur GandCrab au Moyen-Orient. Fallout prend une empreinte du profil du navigateur de l'utilisateur et fournit des contenus malveillants lorsque le profil de l'utilisateur correspond à une cible intéressante.
Les blades Check Point SandBlast et IPS offrent une protection contre cette menace (Page d'atterrissage du kit d'exploitation de vulnérabilités Fallout).
- Des chercheurs ont réussi à déchiffrer une clé RSA de 512 bits et ont révélé un nouveau logiciel malveillant exploitant une vulnérabilité zero-day dans Adobe Flash. Surnommé « Chainshot », le logiciel malveillant a été utilisé lors de multiples attaques ciblées pour activer le téléchargement du logiciel malveillant final dans le cadre d’une chaîne malveillante.