Archives de catégorie : backdoor

APT, backdoor, cyberattaque

Cyber attaque : campagne de cyber-espionnage du groupe POLONIUM contre des cibles basées en Israël

Des pirates s’intéressant uniquement à des cibles israéliennes, POLONIUM, ont attaqué plus d’une douzaine d’organisations dans différents secteurs, tels que l’ingénierie, les technologies de l’information, le droit ou encore les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM a ciblé plus d’une douzaine d’organisations en Israël depuis au moins septembre 2021, et les actions les plus récentes du groupe ont même été observées en septembre 2022. Les secteurs ciblés par ce groupe comprennent l’ingénierie, les technologies de l’information, le droit, les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM est un groupe de cyber espionnage décrit par Microsoft pour la première fois en juin 2022. Selon Microsoft, le groupe est basé au Liban et coordonne ses activités avec d’autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité.

Selon ESET Research, POLONIUM est un acteur très actif qui dispose d’un vaste arsenal de malwares, et qui les modifie et en développe constamment de nouveaux. L’utilisation de services dans le Cloud tels que Dropbox, Mega et OneDrive pour les communications de commande et de contrôle (C&C) est une caractéristique commune à plusieurs des outils du groupe. Les renseignements et les signalements publics sur POLONIUM sont très rares et limités, probablement parce que les attaques du groupe sont très ciblées et que le vecteur d’infection initial n’est pas connu.

« Les nombreuses versions et modifications que POLONIUM a introduites dans ses outils personnalisés démontrent un effort continu visant le long terme pour espionner les cibles du groupe. ESET en déduit que ce groupe de pirates est intéressé par la collecte de données confidentielles auprès de ses cibles, et ne semble pas s’engager dans des actions de sabotage ou de ransomwares, » explique Matías Porolli, chercheur chez ESET qui a analysé la campagne.

La boîte à outils de POLONIUM se compose de sept portes dérobées personnalisées : CreepyDrive, qui détourne les services de OneDrive et Dropbox dans le Cloud pour les communications de C&C ; CreepySnail, qui exécute les commandes reçues depuis l’infrastructure des attaquants ; DeepCreep et MegaCreep, qui utilisent respectivement les services de stockage de fichiers Dropbox et Mega; et FlipCreep, TechnoCreep et PapaCreep, qui reçoivent des commandes depuis les serveurs des attaquants. Le groupe a également développé plusieurs modules personnalisés pour espionner ses cibles en prenant des captures d’écran, en enregistrant les frappes au clavier, en espionnant via la webcam, en ouvrant des shells inversés, en exfiltrant des fichiers, etc.

« La plupart des modules malveillants du groupe sont concis, avec des fonctionnalités limitées. Dans un cas, les attaquants ont utilisé un module pour effectuer des captures d’écran et dans un autre pour les transmettre au serveur de C&C. Dans le même ordre d’idée, ils aiment diviser le code de leurs portes dérobées, en répartissant la fonctionnalité malveillante dans plusieurs petites DLL. Espérant peut-être que les défenseurs ou les chercheurs n’observeront pas la chaîne d’attaque complète », termine Matias Porolli.

backdoor, Cybersécurité

Piratage de l’administration fédérale de l’aviation US ?

Un pirate informatique propose à la vente une base de données contenant les employés de l’administration fédérale de l’aviation US.

Le pirate est connu de la scène « leak » mondiale. Baptisé PS, ce blacknaute commercialise des dizaines de bases de données toutes aussi étonnantes les unes que les autres. Je n’en ferai pas la liste ici, mais la dernière en date a de quoi attirer l’œil.

Pour 250 euros « somme négociable« , le hacker propose la base de données des employés de l’administration fédérale de l’aviation américaine. « Un accès en direct » souligne-t-il tout en proposant un échantillon.

On y croise les identités, les numéros de téléphone, les adresses électroniques (@faa.gov), les adresses physiques, etc.

Le pirate a diffusé une capture écran, ci-dessous, affichant 79.757 personnes le 13 août 2022.

« L’accès en direct signifie que nous fournissons des informations d’identification à la base de données pour se connecter et vérifier la source et la date des données » explique ce vendeur.

Une seule copie, pour une seule vente.

backdoor, Cybersécurité

Exploits zero day

Des chercheurs ont découvert deux nouveaux exploits zero day utilisés par le vendeur de logiciels espions islandais Candiru pour cibler, entre autres, des journalistes au Liban.

Le premier est un bogue dans WebRTC, qui a été exploité pour attaquer les utilisateurs de Google Chrome dans des attaques très ciblées de type « watering hole », mais qui a également affecté de nombreux autres navigateurs.

Un autre exploit a permis aux attaquants de s’échapper d’une sandbox dans laquelle ils avaient atterri après avoir exploité le premier zero-day. Le deuxième zéro day découvert par Avast a été exploité pour pénétrer dans le noyau de Windows.

Un autre zero-day décrit dans le dernier rapport en date d’AVAST est Follina, un bug d’exécution de code à distance dans Microsoft Office, qui a été largement exploité par des attaquants allant des cybercriminels aux groupes APT liés à la Russie et opérant en Ukraine.

Ce zero-day a également été exploité par Gadolinium/APT40, un groupe APT chinois connu, dans une attaque contre des cibles à Palau.

backdoor, cyberattaque

Des pirates s’infiltrent dans plusieurs stations de radio ukrainiennes

La guerre de l’information n’est pas prête de s’arrêter entre hacktivistes Russes et hacktivistes Ukrainiens. Des pirates diffusent de faux messages via des radios ukrainiennes.

Les assaillants ont répandu la nouvelle indiquant la présence du président Vladimir Zelensky à l’hôpital, en soins intensifs. Plusieurs radios ont diffusé le message quelques minutes. « Le président Zelensky est dans un état très grave et ses fonctions sont exercées par le président de la Verkhovna Rada« .

Il s’est avéré que les « nouvelles » concernant l’état de santé grave de Zelensky étaient fausses. Les stations de radio ont par la suite démenti ces informations, citant des pirates anonymes qui ont piraté les ondes et répandu la désinformation.

En mars 2022, une fausse vidéo du président ukrainien avait été diffusée via une chaîne locale préalablement piratée. La deepfake annonçait la capitulation de l’Ukraine face à la Russie.

backdoor, Cybersécurité

1 011 domaines pirates contre les youtubeurs

Selon Google, les créateurs de chaînes YouTube sont de plus en plus souvent victimes d’attaques de phishing utilisant des logiciels malveillants pour voler des mots de passe et des cookies.

Les logiciels malveillants détectés lors de ces attaques comprennent des souches de masse telles que RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad et Kantal, ainsi que des programmes open-source tels que Sorano et AdamantiumThief.

Ce malware est utilisé pour voler les informations d’identification du navigateur et les cookies, ce qui permet aux attaquants de détourner les sessions d’autorisation des utilisateurs.

Google a identifié au moins 1 011 domaines associés à ces attaques et environ 15 000 comptes de membres créés spécifiquement pour cette campagne.

backdoor, Chiffrement, cyberattaque

Faire face aux attaques de ransomware de type « Living Off the Land »

Les cyberattaques de type « living off the land » (ou LotL) constituent désormais l’une des menaces les plus redoutables pour les entreprises. La récente campagne de ransomware contre Kaseya n’est ainsi que le dernier exemple en date, dans lequel les cybercriminels ont utilisé les ressources technologiques de l’organisation contre elle. Ces types d’attaques procurent en effet aux cybercriminels deux leviers clés : l’accès et le temps.

Si ces attaques LotL ne se concluent pas toujours par un ransomware, les deux vont de plus en plus souvent de pair et sont aussi difficiles à évaluer qu’à prévenir. Une stratégie de protection efficace commence donc par une solide compréhension de ce qui constitue une attaque par ransomware LotL et des dommages qu’elle peut causer.

Dès 2017, les attaques de malwares sans fichier ont commencé à attirer l’attention du grand public après la divulgation de rapports faisant état d’infections de systèmes IT de plusieurs grandes organisations. Or, ces malwares sans fichier ont rendu possibles les attaques LotL. En éliminant la nécessité de stocker la charge utile malveillante dans un fichier, ou de l’installer directement sur une machine, les cybercriminels peuvent alors échapper aux antivirus, et aux autres outils traditionnels de sécurité des terminaux. Ils se déplacent ensuite latéralement dans l’environnement, en escaladant les privilèges et en dévoilant de nouveaux niveaux d’accès, jusqu’à ce qu’ils atteignent le but ultime : les systèmes, les applications et les bases de données contenant des actifs commerciaux essentiels, tels que les données clients, la propriété intellectuelle, les ressources humaines.

Malwares sans fichier

Pour se maintenir dans les systèmes sans être détectés, ces malwares sans fichier se font souvent passer pour un outil de confiance doté de privilèges et d’accès élevés. Cela permet aux attaquants de surveiller l’environnement, de récupérer des identifiants, en prenant tout le temps nécessaire. Il est extrêmement difficile d’identifier, et encore plus d’arrêter, ces attaques, surtout s’il s’agit d’un ransomware sophistiqué qui cible spécifiquement l’organisation. Pour y faire, il n’y a pas d’autre choix que de penser comme des attaquants, tout en gardant à l’esprit qu’une campagne n’est pas nécessairement identique à une autre. Le cheminement des attaques LotL n’est en effet pas linéaire. L’objectif est donc de déchiffrer l’environnement et de développer une approche fondée sur ce qui s’y trouve.

La plupart des attaques LotL suivent ainsi un schéma similaire : usurper des identités pour s’infiltrer dans un réseau d’entreprise, compromettre des systèmes, élever des privilèges et se déplacer latéralement jusqu’à obtenir l’accès aux systèmes sensibles nécessaires à l’exécution de l’attaque ou à la propagation du ransomware. Mais à chaque étape, il existe des possibilités divergentes qui rendent le suivi et l’anticipation de ces attaques très complexes. Les équipes IT doivent donc bénéficier des outils nécessaires pour décomposer les comportements et les indicateurs d’alerte à surveiller, lors des étapes critiques d’une attaque par ransomware LotL, et ce, afin d’accélérer la détection et de réduire l’exposition et les dommages.

Cependant, compte tenu du nombre de techniques éprouvées dont disposent les cybercriminels, il peut se révéler difficile de savoir comment traiter les points de vulnérabilité ou par où commencer. L’élaboration d’une stratégie de protection efficace contre les ransomwares exige des organisations qu’elles étudient les maillons de la chaîne d’attaque qui présentent les niveaux de risque les plus élevés et qu’elles les classent par ordre de priorité. Ainsi, une sécurisation des terminaux à plusieurs niveaux – combinant la défense par le moindre privilège, l’authentification forte des identités, la protection contre le vol d’informations d’identification, le contrôle des applications et le blocage des ransomwares – compliquera considérablement la tâche des hackers qui voudront s’introduire et maintenir leur présence. Car une fois qu’ils ont un pied dans le réseau informatique, il leur est facile de brouiller les pistes et d’intensifier leur action. (Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk)

backdoor, Cybersécurité, Social engineering

CHARMING KITTEN : des pirates venus d’Iran

Alors qu’ils ciblaient en mars dernier les éminents chercheurs en médecine via des campagnes de phishing principalement aux États-Unis et en Israël, l’acteur malveillant TA453, qui serait affilié au gouvernement iranien, également connu sous les noms de CHARMING KITTEN et PHOSPHORUS, est de retour avec une nouvelle campagne de leurres par email.

Baptisée « SpoofedScholars », cette opération représente l’une des campagnes les plus sophistiquées de TA453 selon la société en cybersécurité Proofpoint. Cet acteur malveillant procèderait en usurpant des infrastructures légitimes et reconnues pour atteindre leurs cibles. C’est en initiant des campagnes d’emails malveillants que TA453 a pu obtenir illégalement l’accès à un site Web appartenant à une institution universitaire de renommée mondiale afin de récolter les identifiants des cibles victimes.

SpoofedScholars

Les attaques de TA453 sont toujours plus innovantes et complexes. La finalité de l’opération « SpoofedScholars » ? Dérober des informations qui seront ensuite détenues par l’IRGC (Corps des gardiens de la révolution iranienne). Pour le moment, rien ne prouve la réelle appartenance de ces pirates avec l’IRGC.

C’est après avoir établi une pseudo relation de confiance par le biais de nombreuses conversations, que TA453 a pu infiltrer les systèmes d’information de ses infrastructures cibles comme l’Université de Londres. En effet, TA453 fournissait dans ses échanges par emails, un « lien d’enregistrement » vers un site Web compromis hébergeant une page de collecte d’informations d’identification de la radio SOAS de l’Université de Londres.

Ce site de phishing, aux apparences trompeuses était en réalité configuré pour dérober une variété de données d’identification.

Sur la durée, TA453 a changé de tactique et a décidé de fournir le lien d’enregistrement phishing plus tôt et plus furtivement dans ses interactions avec ses cibles, rendant ainsi la phase de conversation non-nécessaire.

Bien qu’à l’heure actuelle cette campagne ait été démasquée et qu’une partie du groupe de TA453 ne semblent plus être actifs, la société estime avec une grande confiance que TA453 continuera d’usurper les universitaires du monde entier pour soutenir les opérations de collecte de renseignements de TA453 en faveur des intérêts du gouvernement iranien. Les universitaires, les journalistes et le personnel des groupes de réflexion devront redoubler de vigilance et vérifier l’identité des personnes qui souhaiteront échanger avec eux par mail pour des opportunités professionnelles.

Android, backdoor, Cybersécurité

Des Trojans Android volent des logins et mots de passe d’utilisateurs Facebook

Détection de plusieurs applications malveillantes sur Google Play. De fausses applications qui volent des logins et des mots de passe d’utilisateurs de Facebook. Plus de 5,8 millions d’installations.

Un éditeur photo nommé Processing Photo. Il a été propagé par son développeur chikumburahamilton, ce malware a été installé plus de 500 000 fois.

Des applications App Lock Keep du développeur Sheralaw Rence, App Lock Manager éditée par Implummet col et Lockit Master du développeur Enali mchicolo, ces programmes malveillants permettent de configurer une limitation d’accès aux appareils Android et aux logiciels installés sur les appareils. Ces malwares ont été téléchargés au moins 50 000, 10 et 5 000 fois respectivement.

Un utilitaire destiné à optimiser le fonctionnement d’appareils Android – Rubbish Cleaner du développeur SNT.rbcl qui a été téléchargé plus de 100 000 fois.

Des programmes d’astrologie Horoscope Daily du développeur HscopeDaily momo et Horoscope Pi du développeur Talleyr Shauna. La première application a été installée plus de 100 000 fois et la deuxième plus de 1000 fois. Un programme de fitness Inwell Fitness du développeur Reuben Germaine, qui a connu plus de 100 000 installations.

Stealers

Un éditeur d’image PIP photo diffusé par le développeur Lillians. Les différentes versions de ce programme sont détectées comme Android.PWS.Facebook.17 et Android.PWS.Facebook.18. Cette application a été téléchargée plus de 5 millions de fois.
Dès que les experts de Doctor Web ont rapporté le problème à Google Inc., une partie des applications malveillantes ont été retirées mais au moment de la sortie de cette publication, certaines d’entre elles restent encore disponibles en téléchargement.

De plus, l’étude de ces stealers a montré l’existence d’une version antérieure d’un de ces malwares, propagée via Google Play sous couvert de l’éditeur photo EditorPhotoPip. Bien qu’il ait été retiré du catalogue, il restait disponible en téléchargement sur les sites d’agrégateurs d’applications.

Les applications étaient pleinement opérationnelles, ce qui devrait affaiblir la vigilance de leurs victimes potentielles. Pour accéder à toutes leurs fonctions, ainsi que pour prétendument désactiver la publicité, les utilisateurs étaient invités à se connecter à leurs comptes Facebook. Certaines applications contenaient des publicités, ce qui pouvait également affaiblir l’attention des utilisateurs et les pousser à exécuter une action proposée par les pirates. Si l’utilisateur acceptait la proposition et qu’il cliquait sur le bouton, il voyait un formulaire standard de saisie de login et de mot de passe.

Paramètres nécessaires pour voler des noms d’utilisateur et mots de passe

Il faut noter que les champs de saisie sont authentiques. Les Trojans utilisent un mécanisme spécialisé pour tromper leurs victimes. Après avoir reçu les paramètres d’un des serveurs de contrôle, les pirates téléchargent la page légitime de Facebook https://www.facebook.com/login.php dans WebView. Dans cette même WebView, ils téléchargent JavaScript depuis leur serveur qui intercepte les données d’authentification saisies. Ensuite, le JavaScript, en utilisant les méthodes fournies via JavascriptInterface, transmet les logins et les mots de passe volés aux applications, qui à leur tour les envoient au serveur des pirates. Une fois qu’une victime était connectée à son compte, les Trojans volaient également les fichiers cookies de la session d’authentification pour les envoyer aux pirates.

L’analyse de ces programmes malveillants a montré qu’ils ont tous reçu les paramètres nécessaires pour voler des noms d’utilisateur et mots de passe des comptes Facebook. Cependant, les attaquants sont en mesure de changer facilement les paramètres et de donner la commande de télécharger la page d’un service légitime ou d’utiliser un formulaire de saisie contrefait publié sur un site de phishing. Ainsi, les chevaux de Troie peuvent être utilisés pour voler des noms d’utilisateur et mots de passe de n’importe quel service. Le programme malveillant Android.PWS.Facebook.15 qui est une modification antérieure, est identique aux autres, mais il comprend également la sortie des données vers un fichier log dans la langue chinoise, ce qui peut indiquer son origine.

APT, backdoor, Cybersécurité

Tibet, OMS et diplomates dans le viseur du groupe de cybercriminels chinois APT TA413

Initialement connu pour ses campagnes contre la diaspora tibétaine, le groupe APT (Advanced Persistent Threat) associé aux intérêts de l’État Chinois, a montré une évolution de ses priorités ces derniers mois. Leur objectif ? Cibler des entités spécifiques pour des motifs économiques, des États pour des motifs politiques ou des organisations mondiales à but non lucratif. Contrairement à leur intention habituelle de cibler la communauté tibétaine, ces campagnes ont cherché à recueillir des renseignements sur les économies occidentales.

Depuis plusieurs mois déjà, la propagation mondiale du virus COVID-19 a entrainé un changement majeur dans le paysage de la menace. Les cybercriminels en profitent pour utiliser des leurres d’ingénierie sociale sur le thème de la pandémie et des recherches publiques ont révélé que plusieurs groupes APT ont adopté des leurres liés au COVID-19 au cours des derniers mois pour mener des campagnes d’espionnage.

En mars 2020, Proofpoint a observé une campagne de phishing imitant les directives de l’Organisation Mondiale de la Santé (OMS) sur la préparation au COVID-19 pour propager une nouvelle famille de malware surnommée « Sepulcher ». Cette campagne visait principalement des entités diplomatiques et législatives européennes, des organismes à but non lucratif et des organisations mondiales économiques.

Selon les chercheurs, on observe depuis juillet 2020 le retour d’un groupe APT avec des campagnes précédemment attribuées à l’acteur Chinois APT TA413. Une campagne de phishing datant de juillet 2020 ciblant les dissidents tibétains a notamment été identifiée, livrant la même souche de malware Sepulcher. En outre, les comptes de messagerie des opérateurs identifiés dans cette campagne ont été publiquement liés à des campagnes historiquement menées par le groupe Chinois APT TA413 ciblant la communauté tibétaine et diffusant le malware ExileRAT.

En se basant sur l’utilisation d’adresses d’expéditeurs connues du public, associées au ciblage des dissidents tibétains et à la livraison de la charge utile du malware Sepulcher, les chercheurs de Proofpoint ont attribué les deux campagnes à l’acteur APT TA413.

Il est clairement devenu indispensable de s’armer face à ces ennemis numériques. Les logiciels de sécurité, la formation, … ne peuvent être oubliés. Un antivirus pas cher ? L’important est d’en posséder un… à jour ! Qu’il se nomme Eset, Kaspersky, Gdata ou Bitdefender.

backdoor, Cybersécurité

La surveillance numérique par les services de renseignement : les États doivent prendre des mesures pour mieux protéger les individus

Dans une déclaration conjointe publiée ce jour, la Présidente du Comité de la « Convention 108 » du Conseil de l’Europe sur la protection des données, Alessandra Pierucci, et le Commissaire à la protection des données du Conseil de l’Europe, Jean-Philippe Walter, ont appelé les États à renforcer la protection des données à caractère personnel dans le contexte de la surveillance numérique effectuée par les services de renseignement, en adhérant à la convention du Conseil de l’Europe sur la protection des données, la « Convention 108+ », et en promouvant un nouvel instrument juridique international prévoyant des garanties effectives et démocratiques dans ce domaine.

« Les pays doivent s’accorder au niveau international sur la portée autorisée de la surveillance exercée par les services de renseignement, sur les conditions dans lesquelles elle s’exerce et selon quelles garanties, incluant le contrôle effectif et indépendant », ont-ils souligné. L’élaboration d’une nouvelle norme juridique pourrait se fonder sur les nombreux critères déjà développés par les tribunaux, dont la Cour européenne des droits de l’homme et la Cour suprême des États-Unis.

Citant l’arrêt de la Cour européenne de justice du 16 juillet 2020 sur « Schrems II », qui conclut que l’accord sur le « Bouclier de protection des données UE – États-Unis » ne fournit pas un niveau suffisant de protection des données à caractère personnel transférées de l’UE vers les États-Unis, en raison de garanties insuffisantes relatives aux droits de l’homme dans le contexte de l’accès aux données par les programmes de surveillance du gouvernement américain, la déclaration met en lumière que cette décision a des conséquences qui vont au-delà des transferts de données UE – États-Unis et offre l’occasion de renforcer le cadre universel de protection des données.

La déclaration rappelle le rôle que le traité modernisé de protection des données du Conseil de l’Europe, qui n’est pas encore entré en vigueur, pourra jouer en tant qu’accord solide juridiquement contraignant pour la protection de la vie privée et des données à caractère personnel au niveau mondial, notamment en ce qui concerne le flux transfrontière des données à caractère personnel.

Certes, la convention fournit déjà un cadre juridique international important pour la protection des données à caractère personnel, qui porte plus spécifiquement sur la nécessité d’un examen effectif et indépendant et d’une surveillance des restrictions à la protection des données à caractère personnel justifiées par des impératifs de sécurité nationale ou de défense ; toutefois, elle n’aborde pas explicitement et de manière exhaustive certains des défis posés au niveau international par les capacités de la surveillance de masse, ce qui nécessite la rédaction d’une nouvelle norme juridique internationale spécifique.

La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, connue également sous le nom de « Convention 108 », est le seul instrument international juridiquement contraignant dédié à la protection des données et de la vie privée qui soit ouvert à la signature de tous les pays du monde. Adopté en 1981, ce traité a été mis à jour en 2018 par un protocole, pas encore entré en vigueur, qui garantit que ses principes de protection des données sont toujours adaptés aux outils et pratiques actuels et renforce son mécanisme de suivi. À ce jour, 55 pays ont ratifié la « Convention 108 » et de nombreux autres pays du monde s’en sont inspirés comme modèle de leur nouvelle législation relative à la protection des données.