Archives de catégorie : backdoor

backdoor, Cybersécurité, VPN

24 vulnérabilités découvertes dans le service VPN de Google

L’entreprise américaine Google a engagé le groupe NCC, basé au Royaume-Uni, pour effectuer un audit de sécurité de son service VPN Google One. 24 failles ont été découvertes.

C’est le temps de la promo, c’est le temps de montrer ses biscottos ! Le VPN de Google One est un service de sécurité et de confidentialité des connexions pour les utilisateurs finaux, mis en œuvre par différents clients pour les systèmes d’exploitation les plus utilisés, qui fournissent à la fois une liaison chiffrée et une dissociation des adresses IP.

Sur la base des résultats de l’audit effectué par la société anglaise NCC Group, à la demande de Google, il a été découvert 24 vulnérabilités dans les applications de bureau et mobiles, les bibliothèques et l’architecture VPN, notamment la conception et l’architecture de sécurité, le code de la bibliothèque VPN, la sécurité des applications Windows, l’application MacOS, l’application Android et l’application iOS.

C’est probablement tout ce qu’il y a à savoir sur la sécurité des produits de Google.

backdoor, Cybersécurité

Un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s’appuyant sur Google Drive

Des chercheurs ont analysé une porte dérobée sophistiquée, jusqu’alors inconnue et utilisée par le groupe de pirates ScarCruft. Baptisée Dolphin la porte dérobée dispose d’un large éventail de fonctionnalités d’espionnage, notamment la surveillance des lecteurs et des appareils portables, l’exfiltration de fichiers de valeur, l’enregistrement des frappes de clavier, les captures d’écran et le vol d’identifiants dans les navigateurs. Ses fonctions sont réservées à des cibles sélectionnées sur lesquelles la porte dérobée est déployée, après une compromission initiale à l’aide de malwares moins avancés. Dolphin détourne des services de stockage dans le Cloud, spécifiquement Google Drive, pour les communications de commande et de contrôle.

ScarCruft, également connu sous le nom d’APT37 ou Reaper, est un groupe d’espionnage qui opère depuis au moins 2012. Il se concentre principalement sur la Corée du Sud, mais d’autres pays asiatiques ont également été visés. ScarCruft semble s’intéresser principalement aux organisations gouvernementales et militaires, ainsi qu’aux entreprises de différents secteurs liés aux intérêts de la Corée du Nord.

« Après avoir été déployé sur des cibles sélectionnées, le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive. La possibilité de modifier les paramètres des comptes Google et Gmail des victimes afin de réduire leur sécurité, vraisemblablement pour maintenir l’accès au comptes Gmail pour les auteurs de la menace, est une fonctionnalité inhabituelle présente dans les versions antérieures de la porte dérobée, » explique Filip Jurčacko, le chercheur chez ESET qui a analysé la porte dérobée Dolphin.

En 2021, ScarCruft a mené une attaque de type « watering-hole » contre un journal en ligne sud-coréen consacré à la Corée du Nord. L’attaque se composait de plusieurs éléments, dont l’exploitation d’une vulnérabilité Internet Explorer et un shellcode menant à une porte dérobée appelée BLUELIGHT.

Dans les études précédentes, la porte dérobée BLUELIGHT était décrite comme l’objectif final. Cependant, lors de l’analyse approfondie de l’attaque, une seconde porte dérobée plus sophistiquée déployée sur des victimes sélectionnées via cette première porte dérobée. « Nous avons nommé celle-ci Dolphin, d’après un chemin PDB trouvé dans l’exécutable » continue M. Jurčacko.

Depuis la découverte initiale de Dolphin en avril 2021, les chercheurs ont observé de multiples versions de cette porte dérobée, comprenant des améliorations et des techniques pour échapper à sa détection.

Tandis que la porte dérobée BLUELIGHT effectue une reconnaissance de base et une évaluation de la machine compromise après infection, Dolphin est plus sophistiquée et se déploie manuellement uniquement sur des cibles sélectionnées. Les deux portes dérobées sont capables d’exfiltrer des fichiers à partir d’un chemin spécifié dans une commande, mais Dolphin parcourt également activement les lecteurs et exfiltre automatiquement les fichiers ayant des extensions intéressantes.

La porte dérobée collecte des informations de base sur la machine ciblée, notamment la version du système d’exploitation, la version du malware, la liste des produits de sécurité installés, le nom de l’utilisateur et le nom de l’ordinateur. Par défaut, Dolphin parcourt tous les lecteurs fixes (disques durs) et non fixes (USB), crée des listes de dossiers, et exfiltre les fichiers selon leur extension. Dolphin recherche également les appareils portables, tels que les smartphones, via l’API Windows Portable Device. La porte dérobée vole les identifiants dans les navigateurs. Elle est également capable d’enregistrer les frappes et de faire des captures d’écran. Enfin, elle place ces données dans des archives ZIP chiffrées avant de les téléverser sur Google Drive.

backdoor, Cybersécurité

Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022

Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l’année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d’accéder aux infrastructures informatiques des entreprises.

Des experts ont constaté une augmentation des attaques utilisant les processus de Microsoft SQL Server, un système de gestion de bases de données utilisé dans le monde entier, aussi bien par des multinationales que par des PME. En septembre 2022, le nombre de serveurs SQL touchés s’élevait à plus de 3 000 unités, soit une croissance de 56 % par rapport à la même période l’année précédente.

Le nombre d’attaques suivant ce procédé a progressivement augmenté au cours de l’année dernière, et a dépassé la barre des 3000 attaques tous les mois depuis avril 2022, à l’exception d’une légère baisse enregistrée en juillet et août.

« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une importance suffisante à la protection contre les menaces qui peuvent cibler ce logiciel. Les attaques utilisant des jobs SQL Server malveillants ne sont pas une nouveauté, mais elles sont toujours utilisées par les cybercriminels pour accéder à l’infrastructure d’une entreprise« , indique Kaspersky.

Dans le nouveau rapport consacré aux incidents Managed Detection and Response les plus intéressants, les chercheurs décrivent une attaque employant des jobs Microsoft SQL Server, une séquence de commandes exécutées par l’agent du serveur.

Les pirates ont tenté de modifier la configuration du serveur afin d’accéder au shell pour exécuter un malware via PowerShell. Le serveur SQL corrompu tente d’exécuter des scripts PowerShell malveillants, générant une connexion à des adresses IP externes. Ce script PowerShell exécute le malware déguisé en fichier .png à partir de cette adresse IP externe en utilisant l’attribut « MsiMake », très similaire au fonctionnement du malware PurpleFox.

backdoor, Cybersécurité

Des pirates se font passer pour la chambre des Notaires de Paris

Une campagne d’hameçonnage conduite par le groupe cybercriminel Emotet a exploité l’image de la chambre des Notaires de Paris.

Pour cette campagne d’attaques, le groupe s’est fait passer pour la Chambre des Notaires de Paris et a incité le destinataire de l’email à télécharger un document en pièce jointe. Un grand classique ! La pièce jointe ayant pour but final de permettre l’infiltration de l’ordinateur de la cible.

D’après les chercheurs de Proofpoint ce type de courriers piégés Emotet ont ciblé de nombreux pays, dont les Etats Unis, le Royaume Uni, le Japon, l’Allemagne, l’Italie, la France, le Mexique et le Brésil.

Le groupe Emotet (ou TA542), pourtant démantelé par la police en janvier 2021, a refait surface en novembre 2022. Après une pause, le groupe a testé de nouvelles techniques et procédures pour piéger leurs victimes. Il s’est récemment tristement illustré en volant les informations des cartes de crédit sur Google Chrome, via des campagnes de spam qui incitent les utilisateurs à cliquer sur des fichiers ou des liens infectés.

Emotet sert aussi à des campagnes d’infiltrations qui auront pour missions des demandes de rançons aprés l’exfiltrations de données sensibles. Des affiliés du groupe LockBit 3.0 auraient exploité, dernièrement, cet outil pirate pour lancer des ransomwares.

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.

APT, backdoor, Cybersécurité

SandStrike cible les utilisateurs d’Android avec une application VPN piégée

Au cours du troisième trimestre 2022, des chercheurs ont fait la découverte d’une campagne d’espionnage sur Android jusqu’alors inconnue, baptisée SandStrike. Cette dernière cible une minorité religieuse persanophone, les Baháʼí, en distribuant une application VPN qui contient un logiciel espion très sophistiqué.

Pour inciter leurs victimes potentielles à télécharger les extensions dissimulant les logiciels espions, les acteurs de la menace ont créé des comptes Facebook et Instagram comptabilisant plus de 1000 abonnés, et ont conçu des infographies attrayantes sur le thème de cette religion, constituant ainsi un piège efficace pour ses adeptes. De plus, la plupart de ces profils malveillants contiennent un lien vers un canal Telegram également créé par les cyberpirates.

Sur ce canal, l’acteur à l’origine de SandStrike a distribué une application VPN en apparence inoffensive permettant d’accéder à des sites interdits dans certaines régions comme, par exemple, des ressources relatives à la religion. Pour rendre cette application pleinement fonctionnelle, les criminels ont mis en place leur propre infrastructure VPN.

Mais contrairement aux apparences, le VPN contient un logiciel espion actif, avec des fonctionnalités permettant aux agents malveillants de collecter et de voler des données sensibles: le spyware leur permet de traquer l’activité en ligne des personnes ciblées, de consulter leurs historiques d’appels et leurs listes de contact.

Tout au long du troisième trimestre de 2022, les acteurs APT ont continuellement modifié leurs tactiques, affiné leurs outils et développé de nouvelles techniques. Les découvertes les plus significatives sont les suivantes :

  • Une nouvelle plateforme de logiciels malveillants sophistiqués ciblant les entreprises de télécommunication, les fournisseurs d’accès à Internet et les universités.

En collaboration avec SentinelOne, les chercheurs de Kaspersky ont analysé une plateforme de logiciels malveillants sophistiqués jusqu’alors inconnue, baptisée Metatron.

Metatron cible principalement les entreprises de télécommunications, les fournisseurs de services Internet et les universités des pays d’Afrique et du Moyen-Orient. Metatron est conçue pour contourner les solutions de sécurité natives tout en déployant des plateformes de logiciels malveillants directement dans la mémoire des appareils infectés.

  • La mise à niveau d’outils avancés et sophistiqués

Les experts ont repéré Lazarus utiliser le cluster DeathNote pour faire de nouvelles victimes en Corée du Sud. L’acteur a probablement utilisé une compromission web stratégique, employant une chaîne d’infection similaire à celle que les chercheurs de Kaspersky avaient précédemment signalée, compromettant un dispositif de sécurité des terminaux. Autre élément, les chercheurs de Kaspersky ont observé que le malware et les schémas d’infection ont également été mis à jour. L’acteur a utilisé un logiciel malveillant qui n’avait jamais été observé auparavant, avec une fonctionnalité minimale pour exécuter les commandes du serveur C2. Grâce à l’implémentation de cette porte dérobée, l’opérateur a pu se cacher dans l’environnement numérique de la victime pendant un mois et recueillir des informations sur le système.

  • Le cyber-espionnage reste la finalité principale des campagnes APT

Au troisième trimestre 2022, les chercheurs de Kaspersky ont détecté de nombreuses campagnes APT, prenant essentiellement pour cible les institutions gouvernementales. Les récentes investigations montrent que cette année, à partir de février, HotCousin a tenté de compromettre des ministères des affaires étrangères en Europe, en Asie, en Afrique et en Amérique du Sud.

APT, backdoor, cyberattaque

Cyber attaque : campagne de cyber-espionnage du groupe POLONIUM contre des cibles basées en Israël

Des pirates s’intéressant uniquement à des cibles israéliennes, POLONIUM, ont attaqué plus d’une douzaine d’organisations dans différents secteurs, tels que l’ingénierie, les technologies de l’information, le droit ou encore les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM a ciblé plus d’une douzaine d’organisations en Israël depuis au moins septembre 2021, et les actions les plus récentes du groupe ont même été observées en septembre 2022. Les secteurs ciblés par ce groupe comprennent l’ingénierie, les technologies de l’information, le droit, les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM est un groupe de cyber espionnage décrit par Microsoft pour la première fois en juin 2022. Selon Microsoft, le groupe est basé au Liban et coordonne ses activités avec d’autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité.

Selon ESET Research, POLONIUM est un acteur très actif qui dispose d’un vaste arsenal de malwares, et qui les modifie et en développe constamment de nouveaux. L’utilisation de services dans le Cloud tels que Dropbox, Mega et OneDrive pour les communications de commande et de contrôle (C&C) est une caractéristique commune à plusieurs des outils du groupe. Les renseignements et les signalements publics sur POLONIUM sont très rares et limités, probablement parce que les attaques du groupe sont très ciblées et que le vecteur d’infection initial n’est pas connu.

« Les nombreuses versions et modifications que POLONIUM a introduites dans ses outils personnalisés démontrent un effort continu visant le long terme pour espionner les cibles du groupe. ESET en déduit que ce groupe de pirates est intéressé par la collecte de données confidentielles auprès de ses cibles, et ne semble pas s’engager dans des actions de sabotage ou de ransomwares, » explique Matías Porolli, chercheur chez ESET qui a analysé la campagne.

La boîte à outils de POLONIUM se compose de sept portes dérobées personnalisées : CreepyDrive, qui détourne les services de OneDrive et Dropbox dans le Cloud pour les communications de C&C ; CreepySnail, qui exécute les commandes reçues depuis l’infrastructure des attaquants ; DeepCreep et MegaCreep, qui utilisent respectivement les services de stockage de fichiers Dropbox et Mega; et FlipCreep, TechnoCreep et PapaCreep, qui reçoivent des commandes depuis les serveurs des attaquants. Le groupe a également développé plusieurs modules personnalisés pour espionner ses cibles en prenant des captures d’écran, en enregistrant les frappes au clavier, en espionnant via la webcam, en ouvrant des shells inversés, en exfiltrant des fichiers, etc.

« La plupart des modules malveillants du groupe sont concis, avec des fonctionnalités limitées. Dans un cas, les attaquants ont utilisé un module pour effectuer des captures d’écran et dans un autre pour les transmettre au serveur de C&C. Dans le même ordre d’idée, ils aiment diviser le code de leurs portes dérobées, en répartissant la fonctionnalité malveillante dans plusieurs petites DLL. Espérant peut-être que les défenseurs ou les chercheurs n’observeront pas la chaîne d’attaque complète », termine Matias Porolli.

backdoor, Cybersécurité

Piratage de l’administration fédérale de l’aviation US ?

Un pirate informatique propose à la vente une base de données contenant les employés de l’administration fédérale de l’aviation US.

Le pirate est connu de la scène « leak » mondiale. Baptisé PS, ce blacknaute commercialise des dizaines de bases de données toutes aussi étonnantes les unes que les autres. Je n’en ferai pas la liste ici, mais la dernière en date a de quoi attirer l’œil.

Pour 250 euros « somme négociable« , le hacker propose la base de données des employés de l’administration fédérale de l’aviation américaine. « Un accès en direct » souligne-t-il tout en proposant un échantillon.

On y croise les identités, les numéros de téléphone, les adresses électroniques (@faa.gov), les adresses physiques, etc.

Le pirate a diffusé une capture écran, ci-dessous, affichant 79.757 personnes le 13 août 2022.

« L’accès en direct signifie que nous fournissons des informations d’identification à la base de données pour se connecter et vérifier la source et la date des données » explique ce vendeur.

Une seule copie, pour une seule vente.

backdoor, Cybersécurité

Exploits zero day

Des chercheurs ont découvert deux nouveaux exploits zero day utilisés par le vendeur de logiciels espions islandais Candiru pour cibler, entre autres, des journalistes au Liban.

Le premier est un bogue dans WebRTC, qui a été exploité pour attaquer les utilisateurs de Google Chrome dans des attaques très ciblées de type « watering hole », mais qui a également affecté de nombreux autres navigateurs.

Un autre exploit a permis aux attaquants de s’échapper d’une sandbox dans laquelle ils avaient atterri après avoir exploité le premier zero-day. Le deuxième zéro day découvert par Avast a été exploité pour pénétrer dans le noyau de Windows.

Un autre zero-day décrit dans le dernier rapport en date d’AVAST est Follina, un bug d’exécution de code à distance dans Microsoft Office, qui a été largement exploité par des attaquants allant des cybercriminels aux groupes APT liés à la Russie et opérant en Ukraine.

Ce zero-day a également été exploité par Gadolinium/APT40, un groupe APT chinois connu, dans une attaque contre des cibles à Palau.

backdoor, cyberattaque

Des pirates s’infiltrent dans plusieurs stations de radio ukrainiennes

La guerre de l’information n’est pas prête de s’arrêter entre hacktivistes Russes et hacktivistes Ukrainiens. Des pirates diffusent de faux messages via des radios ukrainiennes.

Les assaillants ont répandu la nouvelle indiquant la présence du président Vladimir Zelensky à l’hôpital, en soins intensifs. Plusieurs radios ont diffusé le message quelques minutes. « Le président Zelensky est dans un état très grave et ses fonctions sont exercées par le président de la Verkhovna Rada« .

Il s’est avéré que les « nouvelles » concernant l’état de santé grave de Zelensky étaient fausses. Les stations de radio ont par la suite démenti ces informations, citant des pirates anonymes qui ont piraté les ondes et répandu la désinformation.

En mars 2022, une fausse vidéo du président ukrainien avait été diffusée via une chaîne locale préalablement piratée. La deepfake annonçait la capitulation de l’Ukraine face à la Russie.