learn.hack.repeat

Mois : novembre 2022

De fausses versions de KeePass et SolarWinds distribuant le RAT RomCom ont été détectées

de

On 04/11/2022

dans Malware, Sécurité

Les développeurs du RAT RomCom mènent une nouvelle campagne d’attaque en se faisant passer pour les marques SolarWinds, KeePass et PDF Technologies.

Source: https://digitalartcollector.com/neon3000/

Les cibles de l’opération sont des victimes en Ukraine et dans certains pays anglophones, comme le Royaume-Uni.

« Compte tenu de la géographie des cibles et de la situation géopolitique actuelle, il est peu probable que les développeurs du RomCom RAT soient motivés par la cybercriminalité », indique l’équipe de renseignement sur les menaces de BlackBerry dans une nouvelle analyse.

Ces dernières découvertes interviennent une semaine après la découverte d’une campagne de spear-phishing. Cela visait des entités ukrainiennes dans le but de déployer un RAT.

L’attaquant a également été observé en train d’utiliser des variantes trojanisées de « Advanced IP Scanner » et « pdfFiller » comme droppers pour distribuer le malware.

Les derniers développements de la campagne ont impliqué la création de pages de phishing avec un nom de domaine similaire, suivie du téléchargement d’un paquet d’installation de logiciels malveillants. Enfin, des e-mails de phishing sont envoyés à la victime.

Une fois que le keepass trojanisé est téléchargé, les fichiers suivants sont trouvés.

Source: Virustotal
  • Setup.exe: Le fichier qui lance le dropper RomCom RAT : PDB C:\Usersersource123.pdb
  • hlpr.dat: Il s’agit d’un dropper RAT de RomCom.

Les attaquants derrière RomCom déploient activement de nouvelles campagnes visant des victimes en Ukraine et des cibles anglophones dans le monde entier. Il est possible que les victimes britanniques soient une nouvelle cible, tandis que l’Ukraine reste le principal centre d’intérêt.

Plus d’information:
https://blogs.blackberry.com/en/2022/11/romcom-spoofing-solarwinds-keepass

OpenSSL

de

On 02/11/2022

dans CVE, Sécurité

La faille OpenSSL, qui a fait couler beaucoup d’encre, a été rétrogradée de critique à haute. C’est avec ce particulier « trick or treat » qu’une vulnérabilité dans OpenSSL a semblé effrayer plus d’un administrateur système (à une époque particulièrement propice aux histoires d’horreur). Les failles sont les CVE-2022-3786 et CVE-2022-3602. Certains ont tenté de l’appeler SpookySSL et de le comparer à Heartbleed… sans grand succès.

Heureusement, le bug n’était pas si grave. Cependant, il reste d’une grande importance et peut conduire à une exécution de code arbitraire ou à un déni de service dans certaines conditions.

Le bug était un « off-by-one » dans la fonction « ossl_punycode_decode » causé par une expression de comparaison arithmétique. En fait, l’opérateur « > » a été remplacé par « >= ». Cette absence de comparaison avec les « égaux » permet d’écrire 4 octets de mémoire de pile via un domaine internationalisé (avec punycode) dans le champ e-mail d’un certificat numérique.

Un correctif existe déjà et de nombreux projets ont pu diffuser des mises à jour avant que les détails ne soient publiés. L’exploitation, cependant, n’est pas simple. Bien que ce soit un défi de faire tenir quelque chose de productif dans 4 octets, le certificat numérique doit être signé ou accepté par l’utilisateur s’il ne provient pas d’une autorité de certification connue.

Plus d’information:
https://www.openssl.org/news/secadv/20221101.txt

Page 2 of 2

Précédent

Fièrement propulsé par WordPress & Thème par Anders Norén