Les serveurs web fonctionnant sous Windows Internet Information Service (IIS) font l'objet d'attaques et sont exploités pour diffuser des logiciels malveillants. Lazarus est un groupe de menaces persistantes avancées (APT) dirigé par le gouvernement nord-coréen. L'objectif initial de ce gang de cybercriminels était d'obtenir l'accès aux réseaux d'entreprise ; cependant, le groupe se concentre désormais sur les serveurs IIS faiblement protégés et vulnérables, qu'il détourne pour ensuite distribuer des logiciels malveillants. La principale motivation pour pénétrer les serveurs IIS est la facilité avec laquelle les attaquants peuvent infecter les utilisateurs dont les services sont hébergés sur ces serveurs compromis d'organisations dignes de confiance. Récemment, Lazarus a infiltré un logiciel de sécurité financière sud-coréen avec une version compromise d'INISAFE CrossWeb EX V6. Ensuite, pour obtenir un accès plus large au système, Lazarus a utilisé un chargeur de logiciels malveillants privilégié connu sous le nom de JuicyPotato. Cet outil permet aux attaquants de décoder les fichiers de données installés et de les traiter dans la mémoire tout en évitant les scanners antivirus.
(Source : BleepingComputer)
Cinq vulnérabilités de type "jour zéro" (appelées TETRA:BURST) ont été récemment découvertes dans le service de stockage de voix et de données des radios d'urgence, la Terrestrial Trunked Radio (TETRO). TETRO est utilisé par les forces de l'ordre, les pompiers et l'armée dans le monde entier. Les canaux du système permettent une gestion distincte des clés, un cryptage de la voix et des données. L'algorithme de chiffrement TETRA (TEA1) prend les algorithmes chiffrés et les transmet à travers le réseau TETRO. Midnight Blue Labs a découvert ces cinq vulnérabilités, dont deux sont critiques.
Les deux vulnérabilités critiques permettent aux attaquants de suivre les forces de l'ordre, d'écouter des discussions sans déclencher de signaux d'alarme et de modifier les communications d'infrastructures critiques. La vulnérabilité CVE-2022-24401 permet aux attaquants de recevoir tous les messages cryptés envoyés à une radio en ciblant ce canal. CVE-2022-24402 affecte l'algorithme TEA1, qui utilise une clé de 80 bits. Si un attaquant effectue une attaque par force brute sur cette clé de 80 bits, il peut obtenir toutes les conversations sans être détecté.
(Source : DarkReading)
Un nouveau robot d'IA appelé FraudGPT a été lié au même attaquant qui a développé WormGPT au début du mois. FraudGPT, comme WormGPT, peut être acheté sur le dark web pour des emails de spear phishing, des outils de cracking et de carding. Cependant, FraudGPT est conçu pour des attaques à court terme et à grande échelle telles que le phishing, tandis que WordGPT est utilisé pour des attaques à long terme impliquant des logiciels malveillants et des ransomwares. D'autres acteurs de la menace peuvent bénéficier d'un abonnement à l'outil. S'ils l'achètent, ils apprendront à présenter un courriel d'apparence extrêmement crédible contenant des liens malveillants.
(Source : SCMagazine)
Une faille majeure dans le système d'exploitation Mikrotik RouterOS, identifiée pour la première fois en juin 2022, continue d'affecter les appareils. La vulnérabilité grave CVE-2023-30799 de Mikrotik permet à des attaquants distants de faire évoluer discrètement leurs comptes d'administrateur vers des comptes de super-administrateur. Les attaquants peuvent prendre le contrôle total du système d'exploitation RouteOS et modifier le chemin du code sans aucune suspension. Cette faille, qui a déjà été détectée sur 926 000 appareils, est considérée comme plus attrayante pour les pirates qui cherchent à pirater un réseau et à modifier le système d'exploitation. Les pirates ont besoin d'un accès administrateur pour entrer, mais le système est préprogrammé pour avoir un accès administrateur. Mikrotik conseille aux utilisateurs de mettre à jour la version la plus récente de RouterOS, car elle ne pense pas que l'attaque soit terminée.
(Source : TheHackerNews)
Le groupe de pirates informatiques Lazarus, qui a déjà fait l'objet d'un rapport sur ce blog pour avoir pénétré les serveurs web de Microsoft, vient de mener une nouvelle campagne réussie. Le groupe nord-coréen a dérobé 60 millions de dollars au fournisseur de crypto-monnaies Alphapo. Le groupe a d'abord obtenu 23 millions de dollars du fournisseur de paiement, puis 37 millions de dollars en TRON et BTC. Lazarus incite les employés des entreprises de crypto-monnaies à ouvrir des fichiers malveillants, à infecter leurs systèmes et à leur faire perdre leurs identifiants de compte. Au cours des deux dernières années, Lazarus a réussi à dérober 617 millions de dollars lors du vol d'Axie Infinity, 35 millions de dollars lors du vol d'Atomic Wallet et 100 millions de dollars lors de l'attaque d'Harmony Horizon.
(Source : BleepingComputer)