Le groupe chinois de phishing "PostalFurious" a été découvert en avril 2023 par Group-IB, une organisation de renseignement sur les menaces basée à Singapour, après avoir détecté une tactique de smishing que PostalFurious utilisait pour reproduire des sociétés postales et des opérateurs de péage dans toute la zone Asie-Pacifique (APAC).
Le gang des hameçonneurs a récemment étendu ses opérations au Moyen-Orient, en particulier aux Émirats arabes unis (EAU), dans le but d'obtenir des données personnelles et financières des résidents de cette région. Ces cybercriminels envoient actuellement des messages de phishing et de smishing demandant aux destinataires de payer pour des services en utilisant une URL qui dissimule le domaine frauduleux et les redirige vers une fausse page de paiement où ils saisissent leur nom complet, leur adresse personnelle et leurs informations financières. On ne sait pas exactement qui ils essaient de cibler, mais ils commencent à se faire passer pour des entités gouvernementales telles que les opérateurs postaux. Afin d'échapper à la détection et à l'accès non autorisé, les gangs d'hameçonnage emploient des stratégies d'accès très efficaces. Cependant, le Group-IB a découvert le lien soigneusement dissimulé entre la campagne de l'APAC et celle des Émirats arabes unis, ces deux pays ayant la même infrastructure et la même activité de codage.
(Source : InfoSecurity)
Enzo Biochem, entreprise spécialisée dans les sciences de la vie et les diagnostics moléculaires, fournit aux patients des services de recherche clinique et fabrique des produits tels que des tests ADN. Le 6 avril 2023, l'entreprise a identifié pour la première fois une attaque par ransomware qui s'était introduite dans son système externe, mais elle ne savait pas exactement quelles informations avaient été violées. Une semaine plus tard, elle a découvert que le piratage avait touché des noms de clients et des informations sur les tests, et a ensuite rendu les dernières nouvelles publiques.
Enzo Biochem a officialisé la violation la semaine dernière, le 30 mai, en déposant des documents auprès de la Security and Exchange Commission (SEC). Cela a permis d'informer 2,47 millions de personnes à travers les États-Unis que cette cyberattaque avait exposé leurs informations de santé protégées (PHI) et leurs informations personnelles identifiables (PII), comme les numéros de sécurité sociale.
Dans cet article, Roy Akerman, PDG de Rezonate, explique à quel point il est courant pour les pirates d'exploiter les informations confidentielles et les renseignements personnels pour les utiliser dans d'autres attaques ou pour les vendre sur le Dark Web. Les cyber-professionnels sont toujours en train d'examiner la cause sous-jacente de cette attaque de ransomware et de développer une stratégie de récupération rapide.
(Source : DarkReading)
À partir de 2018, les hauts fonctionnaires de l'administration Biden ont constaté que la Corée du Nord avait intensifié ses cyberattaques parallèlement à son projet nucléaire et de missiles. Le cyber-vol, notamment les vols de crypto-monnaies et autres attaques, représente environ la moitié des revenus du pays et finance une grande partie de l'infrastructure de Pyongyang, la capitale de la Corée du Nord. Environ 10 000 acteurs de la menace compétents travaillent pour Kim Jung-un, qui dispose d'incitations financières pour poursuivre leurs cyberattaques réussies.
Cette opération nord-coréenne n'est pas nouvelle, mais elle devient une menace plus importante à mesure que le temps passe et que de nouvelles techniques apparaissent ; en 2019, l'Organisation des Nations unies (ONU) a estimé que le pays avait amassé plus de 2 milliards de dollars grâce à des années d'attaques de banques et de crypto-monnaies. En outre, la Corée du Nord a été blâmée pour les hold-up les plus dommageables en crypto-monnaie. L'année dernière, la Corée du Nord a volé 620 millions de dollars au Ronin Network de Sky Mavis, et en 2020, elle a saisi 281 millions de dollars au KuCoin. Depuis que la Corée du Nord a mis en place ce système, elle n'a cessé de le modifier et de le rendre plus sophistiqué afin de maintenir ce financement. Les États-Unis collaborent actuellement avec leurs partenaires sud-coréens et d'autres alliés pour sensibiliser le public à ce phénomène qui s'est produit et se produit encore.
(Source : InfoSecurity)
Lace Tempest, un pirate informatique spécialisé dans les ransomwares, a exploité une faille dans les téléchargements du programme MOVEit Transfer. Les autorités chargées de la cybersécurité et de la sécurité des infrastructures ont mis en garde les médias contre l'utilisation de la vulnérabilité SQL zero-day, CVE-2023-34362, car les pirates pourraient autoriser un accès leur permettant de voler des données et d'usurper l'identité de n'importe qui dans la base de données. Les cybercriminels étaient au courant de la vulnérabilité du logiciel de transfert avant qu'il ne soit détaché et qu'il puisse être corrigé, ce qui a permis à d'autres attaquants non autorisés d'avoir plus d'opportunités.
Bleeping Computer a rapporté près de 2 500 cas où le transfert MOVEit a été exposé publiquement en mai dernier. L'attaque était plus opportuniste que dirigée contre un utilisateur spécifique, car les informations étaient très demandées.
L'un des systèmes infectés, "human2.aspx" dans le dossier "wwwroot", n'a pas été découvert pendant un temps considérable parce que le titre ressemblait à un fichier réel dans leur interface.
Une entreprise du Massachusetts a contribué aux efforts de remédiation en fournissant des correctifs pour les versions exposées suivantes : 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) et 2023.0.1 (15.0.1).
Les administrateurs doivent être attentifs aux fichiers "human2.aspx" dans le dossier "wwwroot" du programme MOVEit, faire évaluer tous les fichiers journaux pendant une période significative et analyser les données provenant d'adresses IP et de sources non identifiées afin de détecter l'exploitation de la menace. Il est fortement conseillé aux utilisateurs d'utiliser le correctif pour résoudre ce problème et réduire le risque. En outre, les organisations devraient désactiver toutes les connexions HTTP et HTTPS si elles ne sont pas en mesure d'appliquer le correctif.
Une fois la solution mise en œuvre, les équipes de sécurité doivent procéder à des tests pour vérifier que rien n'a été compromis. Si c'est le cas, elles doivent réinitialiser les informations du compte qui a été exposé. En outre, tout fichier intitulé "human2.aspx" ou tout autre fichier alarmant doit être analysé de près et éventuellement supprimé.
(Source : TechRepublic)
Alors que les nouvelles technologies de l'IA continuent d'évoluer et que leur adoption par le public augmente, les cybercriminels y voient une opportunité d'attaquer les utilisateurs et d'obtenir des informations. ChatGPT a été une ressource très populaire depuis son lancement en novembre dernier, tirant parti du traitement du langage naturel et de la technologie de l'IA pour aider les gens à accéder à l'information et à accroître l'efficacité dans les affaires.
Les cybercriminels y ont vu une nouvelle plateforme pour mener diverses cyberattaques, ce qui représente désormais un risque important pour la sécurité de la chaîne d'approvisionnement en logiciels. Les acteurs de la menace ont utilisé les "hallucinations de paquets d'IA" par l'intermédiaire de ChatGPT pour diffuser des paquets de codes malveillants et des chevaux de Troie dans l'espoir de se faufiler dans les applications et les référentiels de code.
Une hallucination de l'IA est une réponse crédible du robot d'IA qui n'est pas exacte. Cela se produit parce que les plateformes d'IA générative comme ChatGBT forment leurs réponses à partir des informations disponibles sur l'internet, ce qui peut conduire les utilisateurs à adopter des informations inexactes. Dans ce cas, des acteurs malveillants peuvent s'introduire sur une plateforme telle que ChatGBT pour recommander des paquets malveillants et/ou non publiés. Lorsque les utilisateurs posent une question similaire, le robot génère le paquet malveillant sans le savoir, ce qui pose un problème car les utilisateurs font confiance au chatbot. Le développeur dispose alors d'une bibliothèque malveillante qui peut être utilisée sur différentes applications.
Parmi les pratiques courantes permettant aux développeurs de repérer les bibliothèques mal codées, citons la justification de la bibliothèque qu'ils viennent de télécharger, le respect du bon protocole et la tentative d'identification d'un cheval de Troie hautement qualifié dans la bibliothèque téléchargée. Pour ce faire, il est possible de vérifier la date de création du paquet, le nombre de téléchargements et de commentaires, ainsi que l'existence de notes jointes au paquet.
(Source : DarkReading)
