Copy
01 août 2017

Threat Landscape - by Intrinsec


La newsletter hebdomadaire Threat Landscape d'Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d'information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.


Au programme cette semaine :
  • Campagne de spam HawkEye, les identifiants de connexion des utilisateurs en danger
  • Détection d'attaques par force brute sur des comptes Office 365 soigneusement ciblés
  • Trickbot et Nukebot, deux malwares à l'assaut de la finance
  • 400 000 données de comptes clients du groupe bancaire UniCredit exposées
  • Retour sur la plus importante fuite de données qu'a connu la Suède
  • Un store d'applications alternatif entièrement infecté
  • Wikileaks : les divulgations sur les activités présumées de la CIA se poursuivent
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises
  • Focus sur le groupe "Spring Dragon" et "Copy Kittens" 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d'activité spécifique : 
Threat Intelligencecontactez-nous !

 
Si vous ne l'êtes pas encore, abonnez-vous à notre newsletter
Menaces Sectorielles
 
Multisectorielle

Campagne de spam : le malware Hawkeye distribué pour collecter des identifiants de connexion
FireEye a détecté ce mois de juin 2017 une campagne de spam distribuant le malware HawkEye via des emails de phishing. L'email contient une pièce jointe au format "docx" dont l’intitulé fait référence à une transaction ou une facture. Si la pièce jointe est ouverte, le malware s’exécute sur la machine de la victime et collecte les mots de passe entrés dans le navigateur ou utilisés pour accéder à sa boîte email.
En savoir plus

Des tentatives d’accès en force brute à des comptes Office 365
Skyhigh Networks annonce avoir observé plus de 100 000 tentatives d’accès en force brute à des comptes Office 365 de dirigeants ou de responsables de haut niveau. Les attaquants disposaient déjà des identifiants de connexion de leurs cibles sur d’autres sites Web, et en s’appuyant sur ceux-ci, ils ont cherché à accéder à des comptes du service de Microsoft, en multipliant les tentatives de combinaisons autour des identifiants. Sur un cas précis, Skyhigh aurait observé 17 tentatives avec 17 permutations en 4 secondes, à partir de 14 adresses IP différentes, ce qui évite d’être repéré aussi vite que lorsque les tentatives proviennent de la même adresse. Les attaquants misent aussi sur la réutilisation des mots de passe et l’absence de recours à l’authentification par facteurs multiples. Skyhigh Networks indique ne pas avoir connaissance de tentatives réussies sur ses clients.
En savoir plus
 
Finance

Les clients de banque américains visés par le malware Trickbot
Flashpoint a identifié une campagne de spam délivrant le malware bancaire Trickbot à destination de clients de banque américains depuis le 17 juillet 2017. Le botnet Necurs aurait été utilisé pour distribuer le malware à travers des pièces jointes contenant une archive zip avec un fichier Windows Script File (WSF) malveillant. Trickbot piège la victime en redirigeant vers des sites Web malveillants les victimes qui voudraient visiter les sites Web d’institutions financières Des indicateurs de compromission ont été publiés.
En savoir plus

Les banques françaises et américaines, cibles du malware Nukebot
En mars dernier le code source du malware Nukebot avait été mis en ligne publiquement sur un forum malveillant. Kaspersky a depuis observé que plusieurs pirates ont effectué des modifications dans le code source du malware. Celui-ci est notamment capable d’effectuer des transactions bancaires illégitimes via des injections de code dans le navigateur de la victime. D’après les dernières implémentations observées dans le code source par Kaspersky, Nukebot ciblerait des banques américaines et françaises.
En savoir plus

Piratage du groupe bancaire italien UniCredit : 400 000 comptes client exposés
Le 26 juillet dernier, la banque italienne Unicredit a annoncé via un communiqué qu'un de ses partenaires commerciaux externes gérant les données de prêts aux particuliers, a été victime d'un accès non autorisé. Le vol de données aurait eu lieu entre septembre et octobre 2016 et à nouveau entre juin et juillet 2017. Les données de près de 400 000 clients italiens auraient été compromises (numéro IBAN et d'autres données personnelles non précisées par la banque). UniCredit a affirmé qu'aucun mot de passe n'aurait été compromis. 
En savoir plus
 
Transports

L’agence publique des transports suédoise à l’origine d’une fuite de données confidentielles sans précédent
L’information a fait les titres cette semaine mais l’affaire remonte à 2015 : en avril de cette année-là, l’agence suédoise des transports a signé un contrat d’externalisation de ses données avec IBM. Ces données externalisées contiendraient les registres des permis de conduire et véhicules de milliers de suédois, ainsi que des données beaucoup plus sensibles (détails sur des véhicules militaires, des pilotes de chasse, des membres de groupe d'élites, des personnes placées sous le régime de la protection des témoins etc). Or, pour effectuer ce travail, IBM a fait appel à plusieurs sous-traitants localisés en Europe de l’Est et non habilités à traiter ces données. Informés, les services de renseignement suédois ont recommandé l'arrêt immédiat du contrat d'externalisation. En dépit de cette recommandation, un accord aurait été donné par la directrice générale de l’agence pour accélérer la mise en place de l'externalisation des données. Depuis, le scandale éclate en Suède : plusieurs intermédiaires auraient ainsi eu accès à des données personnelles et confidentielles du gouvernement.
En savoir plus
 
Numérique

Un store d'applications alternatif entièrement infecté par des malwares
La société ESET a détecté qu'un store d'applications turc, "ceptkutusu.com" diffusait des malwares depuis toutes les applications proposées sur la plateforme. D'après ESET, toutes les applications infectées délivraient un malware bancaire non cité capable d'intercepter et d'envoyer des SMS ainsi que d'installer d'autres applications. Pour l'instant, plusieurs hypothèses ont été émises pour expliquer une telle infection : le store aurait été conçu à cette fin, le store aurait été initialement légitime mais un employé mal intentionné l'aurait modifié, ou le store aurait été victime d'un attaquant à distance qui aurait pris son contrôle. 
En savoir plus
 
Wikileaks : les divulgations sur les activités présumées de la CIA se poursuivent
Dans le cadre de la campagne Vault 7 initiée par Wikileaks, trois nouveaux documents relatifs à un projet baptisé "Imperial" ont été publiés le 27 juillet dernier. Le premier document intitulé "Achilles" serait un trojan conçu pour cibler les appareils Mac sur la version OS X 10.6. Le deuxième document "Aeris" ferait référence à un outil développé pour s'attaquer aux systèmes Posix et dont l'objectif serait d'exfiltrer des données. Enfin, le dernier document, "SeaPea", serait un outil qui aurait été utilisé par la CIA pour viser des machines Mac sur les versions 10.6 et 10.7 afin de s'installer de manière persistante sur les machines infectées. 
En savoir plus
 
Ecosystème Régional


Ecosystème moyen-oriental


Le site Web d’un parti israélien piraté
Un groupe de pirates pro-palestiniens connu sous le nom de "Cyber-armé d’Alquds" a piraté dimanche 23 juillet plusieurs sites Web israéliens dont le site du parti israélien Meretz, et a publié le message "Alquds (Jérusalem) est à nous. Ce ne sera jamais le vôtre", et une image du Mont du Temple. Ce piratage survient après les récentes tensions de Jérusalem concernant le Mont du Temple. Le groupe a signalé qu'il continuera de pirater des sites Web israéliens afin d'envoyer des messages "Au nom de la Palestine et de tous les arabes".
Source
 

Ecosystème chinois


Un nouveau Bootkit passant par des gestionnaires de téléchargement et logiciels de rootage
La société de sécurité Tencent Guanjia a annoncé avoir identifié et remédié à un Bootkit qui s’installe via plusieurs gestionnaires de téléchargement populaires en Chine. Elle l’a baptisé "Yingui II" (terme chinois qui fait référence à une créature comme un "autre", un "zombie", etc). Celui-ci se propage ensuite au niveau du secteur de démarrage permettant de lancer le système d’exploitation de l’ordinateur (Volume Boot Record), à partir de logiciels de rootage d'Android chinois tels que One Key, 7to (Weird Rabbit), Ludou Shuaji (Ishuaji), puis il prend le contrôle du système. Le fait qu’il se propage avant le démarrage de Windows le rend difficile à détecter.
Source

L’anti anti-virus Dosoft
Les sociétés chinoises CM Security et AVL Security ont détecté un virus nommé Dosoft, capable de modifier le code de l’antivirus d’un téléphone mobile pour empêcher sa propre destruction, puis d’acquérir les privilèges root pour effectuer plusieurs injections dans la configuration du système, et ainsi rendre difficile sa suppression. Dosoft télécharge ensuite des applications malveillantes sur le système.
Source
Individus & Groupes

"Spring Dragon"
Kaspersky a publié cette semaine une analyse détaillant les tactiques, techniques et procédures du groupe Spring Dragon. Spring Dragon est un acteur de type APT (Advanced Persistent Threat) actif depuis au moins 2012 et à l’origine de plusieurs attaques à l’encontre de membres haut placés appartenant à des organisations gouvernementales, des partis politiques, des universités, des grandes écoles ainsi qu’à des membres d’entreprise de télécommunications localisés dans les pays bordant la mer de Chine méridionale (Taïwan, Vietnam, Malaisie, Indonésie, Philippines, Thaïlande). Le groupe mènerait principalement des campagnes de cyberespionnage et utiliserait pour ce faire des backdoors afin de voler des données sur la machine de la victime et exécuter des malwares additionnels. Kaspersky aurait collecté près de 600 échantillons de malwares associés au groupe.
En savoir plus

"CopyKittens"
La société israélienne ClearSky et Trend Micro ont publié une analyse sur le groupe CopyKittens. Actif depuis 2013, le groupe, soupçonné d’avoir des liens avec l’Iran, a ciblé des institutions gouvernementales, des sociétés de cybersécurité, des universités et des employés de l’ONU en Allemagne, en Turquie, en Arabie saoudite, en Israël et en Jordanie. Le groupe cible ses victimes en utilisant des techniques relativement simples, comme la création de fausses pages Web (Facebook, Twitter, Youtube, Microsoft, BBC...etc), la corruption de sites Web ou des pièces jointes Word avec un code malveillant. Afin d'infecter ses cibles, CopyKittens utilise ses propres outils de logiciels malveillants personnalisés en combinaison avec des outils commerciaux existants, notamment des outils de tests de pénétration.
En savoir plus 
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d'alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.
Cliquez ici pour en savoir plus
Pensez à autoriser notre contact dans votre filtrage anti-spam.
Copyright 2017 Intrinsec Sécurité - Toute reproduction interdite sans autorisation explicite






This email was sent to <<Email>>
why did I get this?    unsubscribe from this list    update subscription preferences
Intrinsec · Tour CBX, 1 Passerelle des Reflets · Courbevoie 92400 · France

Email Marketing Powered by Mailchimp