| Rapport Threat Intelligence - 17 septembre 2018 |
PRINCIPALES FAILLES ET ATTAQUES
- De récentes attaques ont ciblé le secteur des médias japonais. Menées par le groupe de pirates chinois « Stone Panda », appelé également APT 10, ces attaques utilisaient des emails spécifiquement adaptés aux cibles avec des lignes d’objet associées à des thèmes maritimes, diplomatiques et nord-coréens. Le corps des messages comprenait un mot de passe pour un document « protégé par mot de passe », invitant les victimes à ouvrir le document contenant la porte dérobée « UPPERCUT » du groupe.
- Une nouvelle campagne du groupe OilRig a pris pour cible une entité gouvernementale du Moyen-Orient, dont le nom n’a pas été révélé. La campagne incluait des emails spécifiquement adaptés à la cible, avec un document Microsoft Word en pièce jointe contenant une macro chargée d'installer une nouvelle variante du logiciel malveillant « BONDUPDATER » du groupe.
- Des chercheurs ont conclu que la fuite de données qui a touché British Airways était probablement l'œuvre de « MageCart », le groupe de pirates à l’origine de la fuite qui a touché TicketMaster en début d'année, car elle correspond au mode opératoire du groupe. Des chercheurs ont signalé que les pirates ont détourné un véritable fichier sur le site web de l’entreprise, en y ajoutant du code informatique malveillant chargé d’extraire toutes les données saisies dans le formulaire de paiement et les envoyer à un serveur distant situé en Roumanie.
- Lors d’une autre campagne menée par « MageCart », le groupe a détourné le code informatique distribué aux clients de la société d’analyse web « Feedify », qui déclare servir plus de 4 000 clients. Les pirates ont injecté leur code malveillant dans une bibliothèque diffusée par le script Feedify sur les sites web des clients, compromettant ainsi des centaines de sites de commerce électronique.
- L’aéroport de Bristol a apparemment été frappé par un logiciel rançonneur, causant des problèmes sur les écrans affichant les vols pendant deux jours et obligeant le personnel à recourir à des « processus manuels », à savoir des tableaux blancs et des marqueurs.
- L'application de jeu d’argent EOSBet a été piraté, permettant ainsi aux agresseurs de dérober des jetons d'une valeur de 200 000 dollars. Selon l’entreprise, les pirates ont exploité un bug dans l'un de ses jeux, utilisant un faux hachage pour détourner les fonds transférés par EOSBet.
VULNÉRABILITÉS ET CORRECTIFS
- Des chercheurs ont découvert une vulnérabilité zero-day dans les navigateurs Tor. La faille réside dans le plug-in de navigateur NoScript pré-installé dans Mozilla Firefox intégré au logiciel Tor, qui permet à un site web d'exécuter du code JavaScript malveillant sur les navigateurs des victimes afin d'identifier leur véritable adresse IP.
- Microsoft a publié 17 correctifs critiques dans un lot de 61 nouveaux correctifs, traitant des problèmes dans Microsoft Windows, Edge, Internet Explorer, MS Office, ChakraCore, .NET Framework et autres.
La blade Check Point IPS offre une protection contre ces menaces (Exécution de code à distance dans Microsoft Windows (CVE-2018-8475), élévation de privilèges ALPC dans Microsoft Windows (CVE-2018-8440), corruption mémoire dans le lecteur Adobe Flash (APSB14-26: CVE-2014-8439)).
- Adobe a publié 10 nouveaux correctifs pour Flash Player et ColdFusion, dont six sont considérés comme étant critiques.
- Des chercheurs ont révélé que les navigateurs Safari sont toujours exposés à une vulnérabilité grave qui permettrait à des pirates d'usurper les adresses de sites web. Microsoft a corrigé le problème dans son navigateur Edge qui était également vulnérable.
RAPPORTS ET MENACES
- Des chercheurs de Check Point ont révélé un nouveau logiciel malveillant sous forme de services (MaaS), « Black Rose Lucy », qui cible actuellement les téléphones Android en Russie. Le produit, apparemment développé par une équipe russophone, comprend un tableau de bord de contrôle à distance pour superviser le botnet composé des appareils des victimes et le code malveillant qui collecte les données des victimes. Il peut également installer des logiciels malveillants supplémentaires sur les appareils infectés.
Les clients de Check Point SandBlast Mobile sont protégés contre cette menace.
- Une nouvelle variante du logiciel rançonneur Kraken a été découverte. Cette version se fait passer pour le programme antimalwares légitime SuperAntiSpyware afin d’amener les utilisateurs à l’installer. Les pirates ont eu accès au site web officiel du produit et y ont implanté le logiciel malveillant pour qu’il soit téléchargé.
Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan-Ransom.MSIL.Kraken.A).
- Un nouveau logiciel rançonneur a été découvert. Il se fait passer pour Locky et est programmé en Python, s’appelant à juste titre « Pylocky ». Le logiciel malveillant est diffusé via des emails de spam ciblant les pays européens, principalement la France.
- Des chercheurs ont découvert un moyen pour un pirate de manipuler manuellement le micrologiciel d’un ordinateur portable dérobé afin d’acquérir les clés de chiffrement des disques durs chiffrés et d’autres informations personnelles, qu’on supposait jusqu’à présent ne pas être vulnérables à des attaques par redémarrage. Les chercheurs ont déclaré que tous les ordinateurs portables modernes sont vulnérables à cette méthode d’attaque.
- Des chercheurs ont annoncé la réapparition de logiciels rançonneurs ciblés, par lesquels un pirate infecte une victime déjà compromise, plutôt que de recourir à des campagnes de spam à grande échelle.