Archives de catégorie : backdoor

Android, backdoor, Cybersécurité, Mise à jour

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.

backdoor, Cybersécurité

Piratage : emplois via LinkedIn, attention danger !

Des hackers nord-coréens visent des spécialistes de la cybersécurité en leur proposant des emplois via LinkedIn.

Des experts ont remarqué que les pirates nord-coréens ont concentré leur attention sur les spécialistes de la sécurité de l’information. Les attaquants tentent d’infecter les chercheurs avec des logiciels malveillants dans l’espoir d’infiltrer les réseaux des entreprises pour lesquelles les cibles travaillent.

La première campagne date de juin 2022. Elle ciblait une entreprise technologique américaine. Ensuite, les pirates ont tenté d’infecter la cible avec trois nouvelles familles de logiciels malveillants (Touchmove, Sideshow et Touchshift).

Peu de temps après, il y a eu une série d’attaques contre les médias américains et européens par le groupe UNC2970. Une cyber attaque reliée par la société Mandiant à la Corée du Nord. Pour ces attaques, l’UNC2970 a utilisé des courriers électronique d’hameçonnage déguisés en offres d’emploi dans le but de contraindre leurs cibles à installer le logiciel malveillant.

Changement de tactique

Les chercheurs affirment que l’UNC2970 a récemment changé de tactique et est désormais passé de l’utilisation de phishing à l’utilisation de faux comptes LinkedIn prétendument détenus par les Ressources Humaines (RH). De tels récits imitent soigneusement l’identité de personnes réelles afin de tromper les victimes et d’augmenter les chances de succès de l’attaque.

Après avoir contacté la victime et lui avoir fait une « offre d’emploi intéressante », les attaquants tentent de transférer la conversation sur WhatsApp, puis utilisent soit le messager lui-même, soit un courriel pour livrer le logiciel piégé. Mandiant a appelée l’outil malveillant Plankwalk.

Plankwalk et d’autres logiciels malveillants du groupe utilisent principalement des macros dans Microsoft Word. Lorsque le document est ouvert et que les macros sont activées, la machine cible télécharge et exécute la charge utile malveillante à partir des serveurs des pirates (principalement des sites WordPress piratés).

En conséquence, une archive ZIP est livrée à la machine cible, qui contient, entre autres, une version malveillante de l’application de bureau à distance TightVNC (LIDSHIFT). L’un des documents utilisés usurpe l’identité du journal New York Times.

Etonnante méthode, donc, de penser que des spécialistes de la cybersécurité vont cliquer sur des fichiers inconnus ! (Mendiant)

backdoor, Cybersécurité

La Bulgarie, le pays le plus e.secure ?

Une étude de l’Union Européenne indique que 22% des entreprises de plus de 10 employés ont connu des incidents de cyber sécurité.

En 2021, dans l’Union Européenne, 22,2% des entreprises (comptant au moins 10 salariés et indépendants) de l’économie marchande ont connu des incidents de cyber sécurité des TIC entraînant différents types de conséquences, telles que l’indisponibilité des services Technologies de l’Information et de la Communication (TIC), destruction, modification de données ou divulgation d’informations confidentielles.

La conséquence la plus fréquemment signalée était l’indisponibilité des services TIC en raison de pannes matérielles ou logicielles (18,7%). L’indisponibilité des services TIC en raison d’attaques provenant de l’extérieur (par exemple, les attaques de rançongiciels, les attaques par déni de service) était beaucoup moins fréquente (3,5%).

Les entreprises de l’UE ont également signalé la destruction ou la corruption de données, causées par deux types d’incidents : en raison de pannes matérielles ou logicielles (3,9%) ou en raison d’une infection par un logiciel malveillant, ou d’une intrusion non autorisée (2,1%).

La conséquence la moins fréquente des incidents de sécurité des TIC était la divulgation de données confidentielles, liée à deux raisons différentes : intrusion, pharming, attaque de type hameçonnage, actions intentionnelles d’employés malveillants (1,1%) et actions non intentionnelles (erreurs d’employés – 1,0 %).

Les entreprises finlandaises enregistrent la plus forte incidence de problèmes de sécurité des TIC

Parmi les pays de l’UE, les pourcentages les plus élevés d’entreprises ayant enregistré des incidents de sécurité TIC entraînant l’indisponibilité des services TIC, la destruction ou la corruption de données ou la divulgation de données confidentielles se trouvaient en Finlande, avec plus des deux cinquièmes (43,8 %), suivie par la Pays-Bas et Pologne (30,1 % et 29,7 %), Tchéquie (29,3 %) et Danemark (26,4 %).

À l’autre extrémité de l’échelle, les parts les plus faibles se trouvaient en Bulgarie (11,0%), au Portugal (11,5%), en Slovaquie (12,3%), en Hongrie (13,4%) et à Chypre (14,3%).

Les TIC, ou Technologies de l’Information et de la Communication, sont des outils et des techniques utilisés pour collecter, traiter, stocker et transmettre des informations. Les TIC englobent un large éventail de technologies, notamment les ordinateurs, les réseaux de communication, les logiciels, Internet, les smartphones, les réseaux sociaux, les applications mobiles, les services en ligne, les médias sociaux, les jeux vidéo, la télévision interactive et la réalité virtuelle. Les TIC ont un impact majeur sur la vie professionnelle et personnelle des individus, ainsi que sur les organisations et la société dans son ensemble.

backdoor, Cybersécurité

Des logiciels malveillants PlugX chinois cachés dans vos périphériques USB ?

C’est à l’occasion d’une intervention pour répondre à un incident lié à Black Basta que des experts ont découvert des outils et échantillons de logiciels malveillants sur les machines de la victime, y compris le logiciel malveillant GootLoader, l’outil des red teams Brute Ratel C4 et un ancien échantillon de logiciel malveillant PlugX. Le logiciel malveillant PlugX s’est démarqué car cette variante infecte tous les périphériques multimédias USB amovibles connectés tels que les lecteurs de disquettes, les clés USB ou les lecteurs flash et tous les systèmes supplémentaires auxquels l’USB est ensuite branché.

Ce logiciel malveillant PlugX masque également les fichiers dans un périphérique USB à l’aide d’une technique nouvelle qui fonctionne même sur les systèmes d’exploitation Windows (SE) les plus récents. Cela signifie que les fichiers malveillants ne peuvent être consultés que sur un système d’exploitation (*nix) de type Unix ou en montant le périphérique USB dans un outil d’analyse forensique.

L’Unit 42 a également découvert une variante similaire de PlugX dans VirusTotal qui infecte les périphériques USB et copie tous les fichiers Adobe PDF et Microsoft Word de l’hôte. Il place ces copies dans un dossier caché sur le périphérique USB créé par le logiciel malveillant. Il n’est pas rare que plusieurs échantillons de logiciels malveillants soient découverts au cours d’une enquête, comme cela s’est produit dans ce cas précis avec GootLoader, Brute Ratel C4 et PlugX. De nombreux acteurs de la menace compromettent les cibles et peuvent coexister simultanément sur la machine affectée.

PlugX

Parce que l’Unit 42 ne peut pas dire de manière concluante si ces échantillons de logiciels malveillants ont été laissés par un groupe ou plusieurs, nous ne pouvons pas attribuer ces outils au groupe de rançongiciels Black Basta. Cependant, la version de Brute Ratel C4 utilisée dans ce cas est la même que celle rapportée par Trend Micro, qui impliquait également le groupe de rançongiciels Black Basta.

PlugX est utilisé par plusieurs groupes de cybercriminels, notamment certains en lien avec la Chine. Il existe depuis plus d’une décennie et a été observé dans certaines cyberattaques très médiatisées, y compris aux Etats-Unis lors de la cyberattaque contre l’Office Gouvernementale de la gestion du personnel en 2015 (OPM/Wired).

Historiquement, une infection PlugX commence par détourner une application logicielle connue et fiable, signée numériquement pour charger une charge utile cryptée créée par l’acteur. Cette technique est utilisée depuis 2010 et est répertoriée dans les techniques MITRE ATT&CK en tant que Hijack execution flow DLL-Side loading ID : T1574.002 Sub-technique T1574.

Dans ce cas, les acteurs de la menace ont décidé de détourner un outil de débogage open source populaire et gratuit pour Windows appelé x64dbg, qui est utilisé par la communauté d’analyse des logiciels malveillants.

La technique utilisée par le logiciel malveillant PlugX pour masquer des fichiers dans un périphérique USB consiste à utiliser un certain caractère Unicode. Cela empêche l’Explorateur Windows et le shell de commande (cmd.exe) d’afficher la structure de répertoire USB et tous les fichiers, les cachant à la victime.

backdoor, Cybersécurité, VPN

24 vulnérabilités découvertes dans le service VPN de Google

L’entreprise américaine Google a engagé le groupe NCC, basé au Royaume-Uni, pour effectuer un audit de sécurité de son service VPN Google One. 24 failles ont été découvertes.

C’est le temps de la promo, c’est le temps de montrer ses biscottos ! Le VPN de Google One est un service de sécurité et de confidentialité des connexions pour les utilisateurs finaux, mis en œuvre par différents clients pour les systèmes d’exploitation les plus utilisés, qui fournissent à la fois une liaison chiffrée et une dissociation des adresses IP.

Sur la base des résultats de l’audit effectué par la société anglaise NCC Group, à la demande de Google, il a été découvert 24 vulnérabilités dans les applications de bureau et mobiles, les bibliothèques et l’architecture VPN, notamment la conception et l’architecture de sécurité, le code de la bibliothèque VPN, la sécurité des applications Windows, l’application MacOS, l’application Android et l’application iOS.

C’est probablement tout ce qu’il y a à savoir sur la sécurité des produits de Google.

backdoor, Cybersécurité

Un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s’appuyant sur Google Drive

Des chercheurs ont analysé une porte dérobée sophistiquée, jusqu’alors inconnue et utilisée par le groupe de pirates ScarCruft. Baptisée Dolphin la porte dérobée dispose d’un large éventail de fonctionnalités d’espionnage, notamment la surveillance des lecteurs et des appareils portables, l’exfiltration de fichiers de valeur, l’enregistrement des frappes de clavier, les captures d’écran et le vol d’identifiants dans les navigateurs. Ses fonctions sont réservées à des cibles sélectionnées sur lesquelles la porte dérobée est déployée, après une compromission initiale à l’aide de malwares moins avancés. Dolphin détourne des services de stockage dans le Cloud, spécifiquement Google Drive, pour les communications de commande et de contrôle.

ScarCruft, également connu sous le nom d’APT37 ou Reaper, est un groupe d’espionnage qui opère depuis au moins 2012. Il se concentre principalement sur la Corée du Sud, mais d’autres pays asiatiques ont également été visés. ScarCruft semble s’intéresser principalement aux organisations gouvernementales et militaires, ainsi qu’aux entreprises de différents secteurs liés aux intérêts de la Corée du Nord.

« Après avoir été déployé sur des cibles sélectionnées, le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive. La possibilité de modifier les paramètres des comptes Google et Gmail des victimes afin de réduire leur sécurité, vraisemblablement pour maintenir l’accès au comptes Gmail pour les auteurs de la menace, est une fonctionnalité inhabituelle présente dans les versions antérieures de la porte dérobée, » explique Filip Jurčacko, le chercheur chez ESET qui a analysé la porte dérobée Dolphin.

En 2021, ScarCruft a mené une attaque de type « watering-hole » contre un journal en ligne sud-coréen consacré à la Corée du Nord. L’attaque se composait de plusieurs éléments, dont l’exploitation d’une vulnérabilité Internet Explorer et un shellcode menant à une porte dérobée appelée BLUELIGHT.

Dans les études précédentes, la porte dérobée BLUELIGHT était décrite comme l’objectif final. Cependant, lors de l’analyse approfondie de l’attaque, une seconde porte dérobée plus sophistiquée déployée sur des victimes sélectionnées via cette première porte dérobée. « Nous avons nommé celle-ci Dolphin, d’après un chemin PDB trouvé dans l’exécutable » continue M. Jurčacko.

Depuis la découverte initiale de Dolphin en avril 2021, les chercheurs ont observé de multiples versions de cette porte dérobée, comprenant des améliorations et des techniques pour échapper à sa détection.

Tandis que la porte dérobée BLUELIGHT effectue une reconnaissance de base et une évaluation de la machine compromise après infection, Dolphin est plus sophistiquée et se déploie manuellement uniquement sur des cibles sélectionnées. Les deux portes dérobées sont capables d’exfiltrer des fichiers à partir d’un chemin spécifié dans une commande, mais Dolphin parcourt également activement les lecteurs et exfiltre automatiquement les fichiers ayant des extensions intéressantes.

La porte dérobée collecte des informations de base sur la machine ciblée, notamment la version du système d’exploitation, la version du malware, la liste des produits de sécurité installés, le nom de l’utilisateur et le nom de l’ordinateur. Par défaut, Dolphin parcourt tous les lecteurs fixes (disques durs) et non fixes (USB), crée des listes de dossiers, et exfiltre les fichiers selon leur extension. Dolphin recherche également les appareils portables, tels que les smartphones, via l’API Windows Portable Device. La porte dérobée vole les identifiants dans les navigateurs. Elle est également capable d’enregistrer les frappes et de faire des captures d’écran. Enfin, elle place ces données dans des archives ZIP chiffrées avant de les téléverser sur Google Drive.

backdoor, Cybersécurité

Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022

Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l’année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d’accéder aux infrastructures informatiques des entreprises.

Des experts ont constaté une augmentation des attaques utilisant les processus de Microsoft SQL Server, un système de gestion de bases de données utilisé dans le monde entier, aussi bien par des multinationales que par des PME. En septembre 2022, le nombre de serveurs SQL touchés s’élevait à plus de 3 000 unités, soit une croissance de 56 % par rapport à la même période l’année précédente.

Le nombre d’attaques suivant ce procédé a progressivement augmenté au cours de l’année dernière, et a dépassé la barre des 3000 attaques tous les mois depuis avril 2022, à l’exception d’une légère baisse enregistrée en juillet et août.

« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une importance suffisante à la protection contre les menaces qui peuvent cibler ce logiciel. Les attaques utilisant des jobs SQL Server malveillants ne sont pas une nouveauté, mais elles sont toujours utilisées par les cybercriminels pour accéder à l’infrastructure d’une entreprise« , indique Kaspersky.

Dans le nouveau rapport consacré aux incidents Managed Detection and Response les plus intéressants, les chercheurs décrivent une attaque employant des jobs Microsoft SQL Server, une séquence de commandes exécutées par l’agent du serveur.

Les pirates ont tenté de modifier la configuration du serveur afin d’accéder au shell pour exécuter un malware via PowerShell. Le serveur SQL corrompu tente d’exécuter des scripts PowerShell malveillants, générant une connexion à des adresses IP externes. Ce script PowerShell exécute le malware déguisé en fichier .png à partir de cette adresse IP externe en utilisant l’attribut « MsiMake », très similaire au fonctionnement du malware PurpleFox.

backdoor, Cybersécurité

Des pirates se font passer pour la chambre des Notaires de Paris

Une campagne d’hameçonnage conduite par le groupe cybercriminel Emotet a exploité l’image de la chambre des Notaires de Paris.

Pour cette campagne d’attaques, le groupe s’est fait passer pour la Chambre des Notaires de Paris et a incité le destinataire de l’email à télécharger un document en pièce jointe. Un grand classique ! La pièce jointe ayant pour but final de permettre l’infiltration de l’ordinateur de la cible.

D’après les chercheurs de Proofpoint ce type de courriers piégés Emotet ont ciblé de nombreux pays, dont les Etats Unis, le Royaume Uni, le Japon, l’Allemagne, l’Italie, la France, le Mexique et le Brésil.

Le groupe Emotet (ou TA542), pourtant démantelé par la police en janvier 2021, a refait surface en novembre 2022. Après une pause, le groupe a testé de nouvelles techniques et procédures pour piéger leurs victimes. Il s’est récemment tristement illustré en volant les informations des cartes de crédit sur Google Chrome, via des campagnes de spam qui incitent les utilisateurs à cliquer sur des fichiers ou des liens infectés.

Emotet sert aussi à des campagnes d’infiltrations qui auront pour missions des demandes de rançons aprés l’exfiltrations de données sensibles. Des affiliés du groupe LockBit 3.0 auraient exploité, dernièrement, cet outil pirate pour lancer des ransomwares.

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.

APT, backdoor, Cybersécurité

SandStrike cible les utilisateurs d’Android avec une application VPN piégée

Au cours du troisième trimestre 2022, des chercheurs ont fait la découverte d’une campagne d’espionnage sur Android jusqu’alors inconnue, baptisée SandStrike. Cette dernière cible une minorité religieuse persanophone, les Baháʼí, en distribuant une application VPN qui contient un logiciel espion très sophistiqué.

Pour inciter leurs victimes potentielles à télécharger les extensions dissimulant les logiciels espions, les acteurs de la menace ont créé des comptes Facebook et Instagram comptabilisant plus de 1000 abonnés, et ont conçu des infographies attrayantes sur le thème de cette religion, constituant ainsi un piège efficace pour ses adeptes. De plus, la plupart de ces profils malveillants contiennent un lien vers un canal Telegram également créé par les cyberpirates.

Sur ce canal, l’acteur à l’origine de SandStrike a distribué une application VPN en apparence inoffensive permettant d’accéder à des sites interdits dans certaines régions comme, par exemple, des ressources relatives à la religion. Pour rendre cette application pleinement fonctionnelle, les criminels ont mis en place leur propre infrastructure VPN.

Mais contrairement aux apparences, le VPN contient un logiciel espion actif, avec des fonctionnalités permettant aux agents malveillants de collecter et de voler des données sensibles: le spyware leur permet de traquer l’activité en ligne des personnes ciblées, de consulter leurs historiques d’appels et leurs listes de contact.

Tout au long du troisième trimestre de 2022, les acteurs APT ont continuellement modifié leurs tactiques, affiné leurs outils et développé de nouvelles techniques. Les découvertes les plus significatives sont les suivantes :

  • Une nouvelle plateforme de logiciels malveillants sophistiqués ciblant les entreprises de télécommunication, les fournisseurs d’accès à Internet et les universités.

En collaboration avec SentinelOne, les chercheurs de Kaspersky ont analysé une plateforme de logiciels malveillants sophistiqués jusqu’alors inconnue, baptisée Metatron.

Metatron cible principalement les entreprises de télécommunications, les fournisseurs de services Internet et les universités des pays d’Afrique et du Moyen-Orient. Metatron est conçue pour contourner les solutions de sécurité natives tout en déployant des plateformes de logiciels malveillants directement dans la mémoire des appareils infectés.

  • La mise à niveau d’outils avancés et sophistiqués

Les experts ont repéré Lazarus utiliser le cluster DeathNote pour faire de nouvelles victimes en Corée du Sud. L’acteur a probablement utilisé une compromission web stratégique, employant une chaîne d’infection similaire à celle que les chercheurs de Kaspersky avaient précédemment signalée, compromettant un dispositif de sécurité des terminaux. Autre élément, les chercheurs de Kaspersky ont observé que le malware et les schémas d’infection ont également été mis à jour. L’acteur a utilisé un logiciel malveillant qui n’avait jamais été observé auparavant, avec une fonctionnalité minimale pour exécuter les commandes du serveur C2. Grâce à l’implémentation de cette porte dérobée, l’opérateur a pu se cacher dans l’environnement numérique de la victime pendant un mois et recueillir des informations sur le système.

  • Le cyber-espionnage reste la finalité principale des campagnes APT

Au troisième trimestre 2022, les chercheurs de Kaspersky ont détecté de nombreuses campagnes APT, prenant essentiellement pour cible les institutions gouvernementales. Les récentes investigations montrent que cette année, à partir de février, HotCousin a tenté de compromettre des ministères des affaires étrangères en Europe, en Asie, en Afrique et en Amérique du Sud.