Le groupe de ransomware Omega a mis en œuvre une cyber-extorsion en utilisant des comptes d'administrateur faiblement protégés pour acquérir des environnements d'entreprise, augmenter les autorisations de compte et obtenir des données non autorisées à partir de bibliothèques SharePoint. Omega a mené à bien cette attaque sans compromettre un point de terminaison dans l'environnement SharePoint Online. Au lieu de cela, ils ont utilisé un compte d'administrateur faiblement sécurisé pour accéder à l'environnement.
Cette attaque a attiré l'attention des chercheurs parce qu'en général, les organisations se concentrent et investissent pour s'assurer que leurs points finaux sont protégés, mais les cybercriminels peuvent toujours trouver un moyen de contourner cette mesure de sécurité. Les entreprises continuent d'adopter des applications SaaS pour développer leurs opérations, mais ces applications ne sont pas toujours bien sécurisées.
Obsidian a découvert cette faille lorsque Omega a acquis l'un des comptes de service Microsoft Global Administrator qui était largement distribué sur l'internet sans authentification multifactorielle. Les "attaquants" ont utilisé ce compte désormais compromis pour se transformer en utilisateur d'Active Directory. En tant qu'utilisateur, Omega a pu désactiver toutes les restrictions, ce qui leur a permis d'obtenir les autorisations nécessaires pour faire des dégâts considérables. Une fois que l'acteur de la menace a éliminé toutes les limitations, les attaquants ont pu se faire passer pour des administrateurs au niveau mondial, sur SharePoint, sur Exchange, au sein des équipes et en tant que collecteur de sites. Avec l'aide de divers administrateurs, le groupe a eu accès à l'ensemble de l'environnement en ligne et a pu supprimer 200 comptes d'administrateurs, ce qui lui a permis de prendre le contrôle total en quelques heures seulement.
Après avoir obtenu le contrôle total, Omega a envoyé les bibliothèques de données de SharePoint à un hébergeur privé virtuel lié à un hébergeur web en Russie. Pour faciliter ce transfert non autorisé, les auteurs de la menace ont utilisé une application web serveur, "sppull", qui leur permet d'extraire efficacement toutes les données des clients des serveurs SharePoint. Une fois les données transférées avec succès, Omega a utilisé un autre node.js pour notifier publiquement les victimes dans cet environnement et permettre aux médias d'être au courant de la violation.
Les cyberattaques visant les environnements SaaS sont en augmentation. AppOmni a constaté que depuis le 1er mars, il y a eu une augmentation de 300 % des attaques SaaS contre Salesforce et d'autres organisations SaaS. Aujourd'hui plus que jamais, ces organisations doivent être conscientes des mesures de sécurité correctes qu'elles doivent prendre.
(Source : DarkReading)
Un moteur de logiciels malveillants totalement indétectable (FUD) est utilisé depuis septembre 2022 pour éviter la détection des antivirus. L'objectif de ce logiciel malveillant est de propager différentes souches nocives par le biais de divers fichiers batch. Le moteur de logiciels malveillants, BatCloak, a réussi à rester indétecté par toutes les solutions de sécurité (79,6 %) pour 784 fichiers.
Jlaive, un générateur de fichiers batch ordinaire, a la capacité de contourner l'interface d'analyse antimalware (AMSI) et d'encoder la charge utile pour réussir à échapper à la sécurité. Cet outil d'évasion antivirale ayant été rendu public en septembre 2022, un développeur l'a rendu accessible en tant que source ouverte via GitHub et GitLab, malgré les efforts déployés pour le faire disparaître. Au fil du temps, d'autres attaquants l'ont modifié et reproduit dans le langage de programmation Rust. La charge utile finale agit comme un point de départ et comporte trois couches de chargement différentes : un chargeur C#, un chargeur PowerShell et un chargeur batch. Pendant ce temps, la charge utile finale doit être décryptée jusqu'à ce que le logiciel malveillant soit déchargé.
Avec son expansion dans la nature, BatCloak subit plusieurs mises à jour, la plus récente étant ScrubCrypt. Fortinet FortiGuard Labs a découvert un lien entre cet outil et une autre opération menée par le 8220 Gang. Désormais, cet outil open-source a été fermé, ce qui peut aider à gagner des revenus et à le sauvegarder pour s'assurer qu'il ne peut pas être cloné.
(Source : TheHackerNews)
UNC3886, un groupe de cyberespionnage chinois bien connu aux États-Unis et dans la région Asie-Pacifique pour avoir exploité des vulnérabilités de type "zero-day", est responsable de l'exploitation d'une vulnérabilité de type "zero-day" sur VMware ESXi. Ces cyberespions ont exploité et exécuté de nombreuses commandes en utilisant CVE-2023-20867. Cette campagne pourrait nuire aux hôtes VMware ESXi, aux serveurs vCenter et aux machines virtuelles (VM) Windows. Ce groupe a utilisé des bundles d'installation vSphere (VIB) malveillants, que les organisations utilisent pour maintenir leurs systèmes et exécuter des mises à jour. Le déchargement des VIB permet aux attaquants d'exécuter des commandes et de manipuler leurs fichiers. Ils peuvent également inverser les capacités du shell en utilisant les sockets VMCI pour obtenir un mouvement latéral et une persistance. Ils y parviennent en installant deux programmes de porte dérobée, VirtualPita et VirtualGate. Dans les dernières attaques, ils ont collecté les informations d'identification de tous les hôtes ESXi qui se trouvaient sur le serveur vCenter à partir de la base de données vPostgreSQL, et ont modifié et désactivé certaines IP sur le serveur compromis.
Le groupe de cyberespionnage est également responsable de l'exploitation d'une vulnérabilité zero-day, CVE-2023-20867. Cette faille de sécurité logicielle affecte les outils VMware sur ces différentes plateformes : Windows, Linux et PhotonOS (vCenter). Cette vulnérabilité a été corrigée par une nouvelle version, VMware Tool 12.2.5. Les attaquants ont utilisé cette vulnérabilité pour éliminer la vérification et permettre aux attaquants d'effectuer des actions classifiées. La vulnérabilité zero-day a été signalée comme ayant une "faible gravité", car le groupe avait accès au logiciel ESXi.
(Source : SecurityWeek)
Mardi, l'équipe de sécurité de Microsoft a publié un certain nombre de mises à jour logicielles pour corriger plus de 70 vulnérabilités et six cas alarmants qui auraient pu exposer les utilisateurs à des codes malveillants. Ces menaces potentielles affectent le système d'exploitation et les logiciels Windows et n'ont pas été rendues publiques ou exploitées.
Ces bogues ont un score de gravité CVSS de 9,8 sur 10 et sont connus sous les noms de CVE-2023-29363, CVE-2023-32014 et CVE-2023-32015. Les trois vulnérabilités de haute sévérité ont été observées dans Windows Pragmatic General Multicast (PGM) par les administrateurs de réseaux Windows. Ce protocole est conçu pour livrer des paquets à de nombreux membres de divers réseaux. Ils espèrent résoudre ce problème de manière rapide et responsable afin d'éviter toute exploitation.
Un autre code d'exécution nuisible dont les experts veulent que les utilisateurs soient conscients dans Microsoft Exchange Server est le CVE-2023-320-21. Il permet aux acteurs de la menace d'éviter les affaires qui ont été exploitées dans le passé sans créer de compte. Si l'exploitation réussit, un code malveillant peut alors avoir des privilèges sur le système.
L'un des nombreux correctifs apportés ce mois-ci pour résoudre les attaques de logiciels malveillants exploités à partir d'une faille dans le système Chrome, CVE-2023-3079, a été publié le même jour qu'Adobe a annoncé ses correctifs pour les failles qui ont exposé les utilisateurs d'Adobe Commerce à des attaques de codes malveillants également. Adobe a rendu public le fait qu'il existe au moins 12 failles de sécurité. Si l'exploitation réussit, cela pourrait entraîner une exécution de code arbitraire et une lecture du système de fichiers, ainsi qu'un contournement de la sécurité.
(Source : SecurityWeek)
De grandes marques telles que Nike, UGG, The North Face et des centaines d'autres sont confrontées à une escroquerie mondiale par hameçonnage malveillant. Les attaquants se font passer pour ces marques connues afin d'obtenir les informations financières et les données de compte des utilisateurs. Les acteurs de la menace ont réussi à construire des pages convaincantes, fonctionnant correctement, ce qui rend difficile la distinction entre ce site et la page réelle de la marque. Ce phénomène a été détecté pour la première fois en juin 2022 par Bolster AI. Depuis, plus de 3 000 domaines et 6 000 sites web, inactifs ou actifs, ont été découverts. Ces domaines malveillants étaient hébergés par Packet Exchange Limited et Global Colocation Limited, qui ont été identifiés par le numéro de système autonome de l'adresse IP des domaines, AS48950.
La campagne est montée en flèche en janvier et février 2023, produisant 300 sites frauduleux actifs par mois. Ces attaquants sont passés inaperçus en créant des domaines portant le nom de l'entreprise et le lieu où elle est située (ville ou pays) et se terminant par .com, un domaine de premier niveau très courant. Il s'est avéré que ces domaines étaient certifiés par une société de commerce électronique de Singapour et qu'ils avaient entre 3 mois et 2 ans, ce qui a joué un rôle majeur dans ce stratagème.
Plus un domaine existe depuis longtemps, moins il est susceptible d'être signalé comme malveillant par les processus de sécurité imposés. Comme cette campagne a pu passer inaperçue pendant si longtemps, Google Search a classé ces sites frauduleux à un rang supérieur lorsque les utilisateurs recherchent leurs marques de vêtements ou de chaussures préférées. Il s'agit là d'une menace majeure, car les internautes ont tendance à cliquer sur les sites les plus importants que Google considère comme dignes de confiance. Les informations financières et les données de compte que les utilisateurs ont saisies sur les pages de paiement pourraient avoir été conservées et vendues à des pirates. Les chercheurs conseillent aux utilisateurs d'ignorer les publicités promues sur Google et de vérifier les médias sociaux de la marque pour s'assurer qu'ils ont l'URL correcte.
(Source : BleepingComputer : BleepingComputer)
