Informons-nous sur ce qui s'est passé cette semaine dans le domaine de la cybersécurité ! Avec l'expansion de la présence en ligne des organisations, les acteurs de la menace ont eu plus d'occasions de capitaliser et de créer des brèches. Cette semaine, nous avons constaté que de plus en plus d'entreprises ont identifié des vulnérabilités récentes et des violations de la part d'attaquants. Le blog Censys se penchera sur la question et donnera à son public une mise à jour sur ce qui a fait surface cette semaine.
Lisez la suite ci-dessous pour vous tenir au courant de l'actualité de cette semaine.
Une nouvelle campagne de publicité malveillante menée par le groupe de ransomware BlackCat utilise les annonces de recherche de Google et de Bing. BlackCat utilise des publicités intrigantes pour attirer les utilisateurs vers une application de transfert de fichiers contenant des charges utiles malveillantes et des logiciels malveillants. Grâce à WinSCP, un programme de copie de fichiers sous Windows, les utilisateurs sont redirigés vers une page de téléchargement de fichiers ISO, et le logiciel malveillant est donc complet. À l'aide de commandes autorisées, les attaquants sont en mesure d'obtenir des contrôles administratifs de haut niveau et de mettre en place des portes dérobées dans le système avant de restreindre l'accès de l'utilisateur d'origine. Une fois dans le système et en mesure d'accéder aux informations, les acteurs de la menace peuvent entrer et sortir en utilisant la porte dérobée pour obtenir les mots de passe et les serveurs de sauvegarde. Cobalt strike, AdFind, AccessChk64 et findstr sont quatre des outils utilisés pour mener à bien cette attaque. Ces outils ont permis de lancer l'attaque, de contourner les mesures de sécurité, d'obtenir des informations et de trouver des fichiers XML sur le système. Une fois ce processus terminé, des outils de ligne de commande ont été mis en œuvre pour aider les autres outils de la plateforme. Pour libérer les données des clients, le gang a utilisé le client PuTTY Secure Copy, qui a permis d'identifier l'attaque du fichier MOVEit Transfer compromis. Les attaquants ont trouvé des failles dans de nombreuses organisations, et les vulnérabilités trouvées par ces acteurs de la menace ont conduit à la destruction de nombreuses organisations.
(Source : SCMedia)
Fortinet a publié une mise à jour le mois dernier pour résoudre le problème de sécurité qui a affecté plus de 300 000 de ses utilisateurs. Le 11 juin, Fortinet a rendu cette vulnérabilité publique et a exécuté différentes versions de la mise à jour. Pourtant, le correctif n'était pas suffisant et la vulnérabilité pour l'exécution de code à distance, CVE-2023-27997, affecte toujours des milliers de personnes. Le problème de sécurité a été classé à 9,8/10 sur l'échelle de gravité. CVE-2023-27997 provient d'un problème dans le système d'exploitation de Fortinet qui héberge tous les différents composants de FortiOS. Les chercheurs ont utilisé un moteur de recherche pour connaître le nombre d'appareils vulnérables au code, et près de la moitié d'entre eux avaient déjà été mis à jour avec la dernière version que Fortinet a déclaré être une solution à l'attaque en cours. Les chercheurs ont également découvert que l'application n'avait pas effectué de mise à jour du système depuis huit ans, laissant les pare-feux des utilisateurs exposés via le web.
(Source : BleepingComputer)
Meduza Stealer est un logiciel malveillant récemment découvert sur le Dark Web qui utilise des compétences avancées en matière de vol de données pour cibler les utilisateurs de Windows. L'objectif principal de cet acteur inconnu est de voler les données du navigateur. L'historique de navigation, les identifiants de compte, les gestionnaires de mots de passe, l'authentification à deux facteurs, etc. sont autant d'informations qui peuvent être obtenues à partir des données du navigateur. De plus, si l'appareil est déjà infecté, Meduza Stealer peut obtenir encore plus d'informations confidentielles, telles que la localisation géographique, les captures d'écran et l'adresse IP. Ce logiciel malveillant peut contourner les outils de détection et communique avec d'autres acteurs de la menace via le Dark Web pour s'engager dans cette campagne. C'est pourquoi les chercheurs craignent que ce nouveau logiciel malveillant ne cause de graves dommages aux organisations victimes de violations de données.
(Source : InfoSecurityMagazine)
Des attaquants chinois sont responsables d'une campagne en cours depuis décembre, appelée SmugX. SmugX est une campagne de contrebande HTML. Ce groupe d'attaquants cible le gouvernement européen en plaçant des charges utiles malveillantes dans des documents HTML. Le groupe a été responsable de campagnes dans le passé, telles que les campagnes chinoises APT RedDelta et APT Mustang Panda.
Cette campagne nouvellement identifiée indique un changement dans les techniques des acteurs chinois de la menace. Auparavant, ces attaquants ciblaient des pays tels que la Russie, l'Asie et les États-Unis, mais aujourd'hui, cette attaque vise également les pays européens. Dans cette campagne mondiale, les attaquants utilisent des clés USB pour diffuser des logiciels malveillants et attirer des victimes vulnérables. Dans l'attaque la plus récente, SmugX a utilisé des documents HTML contenant des logiciels malveillants sur des sujets politiques. L'un des documents utilisés dans le cadre de la campagne était une lettre de l'ambassade serbe de Budapest. Lorsqu'un utilisateur ouvre le document contaminé, il libère JavaScript, qui contient la charge utile. PlugX est un RAT utilisé par des acteurs de la menace depuis 2008. Le processus systématique permet aux attaquants d'obtenir une série d'activités au sein du programme légitime. Les attaquants peuvent créer un dossier caché dans l'application et disposer d'une clé de registre Run.
(Source : DarkReading)
C10p, un groupe russe de ransomware, a exposé les données de transfert de fichiers de MOVEit au début du mois de juin et, à la fin du mois, avait exposé les données de plus de 160 victimes. C10p a méthodiquement coordonné cette campagne au cours des deux dernières années. Le groupe a examiné et analysé la vulnérabilité zero-day et a attendu l'occasion parfaite pour frapper et exploiter les données acquises. Le groupe s'est probablement procuré la vulnérabilité zero-day auprès d'un tiers et a mené de nombreuses recherches pour acquérir des informations et mener cette campagne très élaborée. Grâce à cette campagne réussie, la stratégie du groupe influence les techniques d'autres attaquants. John Hammond, chercheur en menaces de sécurité chez Dark Reading, a déclaré que C10p a défini un modèle commercial pour les attaques par ransomware. D'autres gangs pourraient donc utiliser ces informations et s'inspirer de cette campagne d'extorsion réussie.
Les entreprises peuvent réduire le nombre d'attaques de type "zero-day" dans la chaîne d'approvisionnement en étant proactives et en mettant en place des programmes de récompenses pour les bogues. En outre, les réponses frénétiques à la violation de MOVEit ont créé davantage de chaos. Omkhar Arasaratnam, directeur de l'Open Security Foundation, compare cette situation à l'arrivée d'un secouriste sur les lieux. Si l'équipe médicale arrive paniquée, cela ne résoudra pas le problème. C'est pourquoi les professionnels de la sécurité doivent adopter une approche calme et essayer de gérer la situation avec calme et sang-froid.
(Source : DarkReading)
