learn.hack.repeat

Auteur/autrice : jabot Page 1 of 25

Succès dans le démantèlement du groupe Phishing-as-a-Service BulletProofLink

Les autorités malaisiennes ont récemment annoncé un succès significatif dans la lutte contre la cybercriminalité : le démantèlement du groupe BulletProofLink, spécialisé dans le Phishing-as-a-Service (PhaaS).

D’après les informations fournies par la Police Royale de Malaisie, cette opération a été réalisée le 6 novembre 2023 en collaboration avec la Police Fédérale Australienne et le Bureau Fédéral d’Investigations des États-Unis (FBI). L’intervention était basée sur des renseignements indiquant que les opérateurs de cette plateforme criminelle étaient basés en Malaisie.

Au cours de cette opération, huit individus, âgés de 29 à 56 ans, ont été arrêtés, y compris le cerveau de cette organisation criminelle. Ces arrestations ont eu lieu dans diverses régions telles que Sabah, Selangor, Perak et Kuala Lumpur, comme rapporté par le New Straits Times.

Les autorités ont également saisi des serveurs, des ordinateurs, des bijoux, des véhicules et des portefeuilles de cryptomonnaies contenant environ 213 000 dollars.

BulletProofLink, également connu sous le nom de BulletProftLink, est réputé pour fournir des modèles de phishing prêts à l’emploi via des abonnements. Ces modèles permettent à d’autres acteurs malveillants de mener des campagnes de collecte de données en imitant les pages de connexion de services populaires tels qu’American Express, Bank of America, DHL, Microsoft et Naver.

En septembre 2021, une analyse de Microsoft a révélé que BulletProofLink pratiquait ce qu’on appelle le « vol double », en envoyant les informations d’identification volées à la fois à leurs clients et aux développeurs principaux, ouvrant ainsi de nouvelles voies de monétisation.

La semaine dernière, la société de cybersécurité Intel 471 a rapporté que BulletProftLink était associé à l’acteur de menace AnthraxBP, également connu sous les pseudonymes TheGreenMY et AnthraxLinkers. Ce dernier maintenait un site web actif proposant des services de phishing et opérait sur divers forums clandestins et canaux Telegram sous plusieurs identités.

L’image représente une capture d’écran des modèles de pages d’hameçonnage disponibles à l’achat sur le site Web BulletProftLink à la date du 21 avril 2023. Source: intel471.com

BulletProftLink serait actif depuis au moins 2015, avec une boutique en ligne ayant plus de 8 138 clients actifs et offrant 327 modèles de pages de phishing jusqu’en avril 2023.

Une caractéristique notable de BulletProftLink est son intégration d’Evilginx2, facilitant les attaques de type adversary-in-the-middle (AiTM), permettant aux acteurs malveillants de dérober des cookies de session et de contourner les protections d’authentification multifactorielle.

Selon Intel 471, les schémas PhaaS comme BulletProftLink alimentent davantage d’attaques, car les identifiants volés sont l’une des principales méthodes par lesquelles les pirates malveillants accèdent aux organisations.

Trend Micro souligne que les acteurs de menaces adaptent constamment leurs tactiques en réponse aux interruptions et adoptent des approches plus sophistiquées. On a observé des attaques AiTM utilisant des liens intermédiaires vers des documents hébergés sur des solutions d’échange de fichiers, comme DRACOON, contenant des URL vers des infrastructures contrôlées par les adversaires.

Ces méthodes innovantes peuvent contourner les mesures de sécurité des emails, car le lien initial semble provenir d’une source légitime et aucun fichier n’est transmis au terminal de la victime. Le document hébergé contenant le lien peut être consulté via le serveur d’échange de fichiers dans le navigateur.

Trend Micro

Plus d’information:
https://intel471.com/blog/malaysian-police-disrupt-the-phisherman
https://www.trendmicro.com/en_us/research/23/k/threat-actors-leverage-file-sharing-service-and-reverse-proxies.html
https://github.com/kgretzky/evilginx2
https://www.rmp.gov.my/news-detail/2023/11/08/video-pilihan-op-khas-bulletproftlink-hasil-rampasan
https://www.nst.com.my/news/crime-courts/2023/11/976212/igp-police-arrest-eight-people-international-syndicate-which#google_vignette

The Condor : L’Artiste de la Sécurité Informatique qui a redéfini le Jeu

L’univers de la sécurité informatique a récemment perdu l’un de ses pionniers les plus influents : Kevin Mitnick. Cet homme extraordinaire a laissé derrière lui un héritage qui continue d’inspirer et d’éduquer, et j’ai eu la chance de m’entretenir avec lui lors d’une interview avec un groupe d’étudiants pendant mes années d’études. À travers ces souvenirs précieux, je souhaite rendre hommage à un géant de la cybersécurité qui a révolutionné notre compréhension des technologies numériques.

Kevin Mitnick, souvent qualifié de « hacker le plus recherché d’Amérique », a été un individu exceptionnel qui a su transcender les étiquettes et les stéréotypes. Ses débuts controversés ont été suivis d’une transformation impressionnante, alors qu’il choisissait de mettre son expertise au service du bien commun en devenant un défenseur de la sécurité informatique.

Publication du US Marshall pour l’arrestation de Kevin Mitnick

Lors de mon interview avec lui, j’ai été émerveillé par la manière dont il a partagé ses connaissances et son expérience. Ses récits captivants de « hacking » éthique et ses analyses perspicaces des failles de sécurité nous ont tous inspirés et éclairés. Il nous a montré comment la compréhension approfondie des systèmes informatiques peut être utilisée pour renforcer leur protection.

Kevin Mitnick était bien plus qu’un expert technique. Sa capacité à comprendre la psychologie humaine et à exploiter les vulnérabilités sociales a été une leçon précieuse pour tous ceux qui l’ont écouté. Ses anecdotes ont illustré la manière dont le « hacking » peut être utilisé pour sensibiliser et éduquer plutôt que pour causer des dommages.

« L’art de la supercherie » de Kevin Mitnick est, à ce jour encore, l’une des références en matière d’ingénierie sociale.

La nouvelle de son décès récent a été un coup dur pour la communauté de la sécurité informatique. En publiant cet article, je souhaite honorer la mémoire de Kevin Mitnick et rappeler l’impact durable qu’il a laissé derrière lui.

Extrait du film « Cybertraque »

Bien que Kevin Mitnick ne soit plus parmi nous, sa passion et son expertise continueront d’inspirer et d’éclairer le monde de la cybersécurité. En nous appuyant sur ses enseignements, nous pouvons renforcer notre engagement envers un cyberespace plus sûr et plus éclairé pour les générations futures. Kevin Mitnick a marqué son époque et continuera d’inspirer ceux qui se consacrent à la protection des technologies numériques.

Plus d’information:
https://fr.wikipedia.org/wiki/Kevin_Mitnick
https://www.payot.ch/Detail/lart_de_la_supercherie-kevin_mitnick-9782744018589?cId=0
https://www.youtube.com/watch?v=1Obyy_qfvak

Fribourg Cybersecurity Seminar

Au début du mois de mars dernier, j’ai eu la chance de pouvoir participer à la première édition du Cybersecurity Seminar à Fribourg dans le cadre de mon travail. Vous le savez, j’apprécie énormément ce genre d’évènement, notamment quand ils ont lieu en Romandie et qu’ils mettent en valeur des intervenants locaux.

Source: HEIA-FR

J’ai donc eu le plaisir de rencontrer Philipp Streit et Anthony Alonso Lopez, les deux organisateurs de la première édition de ce séminaire et diplômés de la haute école d’ingénierie et d’architecture de Fribourg.

Voici comment eux-mêmes présentent l’évènement:

This was the first #cybersecurity seminar organised in #Fribourg by our committee, with the 𝐭𝐡𝐞𝐦𝐞 « 𝐑𝐚𝐧𝐬𝐨𝐦𝐰𝐚𝐫𝐞 & 𝐁𝐚𝐜𝐤𝐝𝐨𝐨𝐫𝐬 », with a sub-theme focusing on 𝐜𝐫𝐢𝐭𝐢𝐜𝐚𝐥 𝐢𝐧𝐟𝐫𝐚𝐬𝐭𝐫𝐮𝐜𝐭𝐮𝐫𝐞 𝐩𝐫𝐨𝐭𝐞𝐜𝐭𝐢𝐨𝐧. During this event, cybersecurity experts shared their knowledge on the threats of ransomware and backdoors, which are two of the most successful targeted attacks against companies. Speakers discussed the risks associated with data loss through encryption (#ransomware) or data exfiltration through #backdoors and explained how these threats can be caused by states, cybercriminals, hacktivists or even individuals.

Fribourg Cybersecurity Seminar

Le thème portait donc sur la protection des infrastructures critiques (ce qui me fait penser à l’excellent roman BlackOut de Marc Elsberg, que je vous recommande de lire) avec les interventions d’un acteur local du secteur de l’énergie (j’en parlerai plus bas), Julien Oberson de la société SCRT (un pure player romand de la cyber sécurité) pour parler de l’anatomie d’une attaque et de pentesting, ainsi qu’Alain Keller de la société Advact qui abordait en détails le ransomware en tant que menace, faisant état de la situation actuelle et parlant de la cyber kill chain et des mesures préventives pour s’y préparer.

Je vous partage ci-dessous la très intéressante intervention de Christophe Chavaillaz et d’Yves Pascalin, respectivement IT et OT Security Officer et représentants de Groupe E, qui est, entre autres, un producteur et distributeur d’électricité très présent sur le canton de Fribourg, mais également sur le canton de Neuchâtel.

Infrastructure critique, historique et mesure de protection

Voici les liens vers l’ensemble des différentes interventions disponibles sur leur page youtube:

Groupe Ehttps://lnkd.in/eWfrwFQP
SCRThttps://lnkd.in/eTfC4YDK
advact AGhttps://lnkd.in/ePJZWzTn

Plus d’information:
https://www.meetup.com/fr-FR/fribourg_cybersecurity_seminar/
https://www.heia-fr.ch/fr/recherche-appliquee/instituts/isis/agenda/fribourg-cybersecurity-seminar-ransomware-backdoor/
https://www.youtube.com/@FribourgCybersecuritySeminar

Patch Tuesday

Microsoft a corrigé 114 vulnérabilités ce mois-ci. Sept d’entre elles sont critiques. La plus frappante est celle qui est déjà exploitée par des attaquants, en particulier par le groupe du ransomware Nokoyawa. Il s’agit d’une élévation de privilèges (CVE-2023-28252) dans le pilote Windows Common Log File System.

Cette faille a été signalée en février et il n’est pas surprenant qu’elle ait été utilisée par Nokoyama, qui exploite le même composant (Common Log File System Driver) pour élever ses privilèges depuis juin 2022, par le biais de différents exploits. On sait qu’au moins cinq failles ont été découvertes par eux sur les 32 exploits corrigés par Microsoft dans ce composant depuis 2018.

Parmi les critiques corrigées dans le 114, une exécution de code dans Microsoft Message Queuing (CVE-2023-21554) et une autre dans le serveur DHCP (CVE-2023-28231) se distinguent.

Plus d’information:
https://msrc.microsoft.com/update-guide/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28231

Patch Tuesday

Mardi 14 mars 2023, Microsoft a publié une mise à jour de sécurité pour corriger 80 failles de sécurité dans ses systèmes d’exploitation. Parmi ces 80 vulnérabilités, deux d’entre elles sont particulièrement critiques, car elles sont activement exploitées par les cybercriminels :

  • CVE-2023-23397 (score CVSS : 9.8) : Vulnérabilité de type « zero day » dans Microsoft Outlook qui permet une escalade des privilèges.
  • CVE-2023-24880 (score CVSS : 5.1) : Permet de contourner la fonction de sécurité SmartScreen de Windows.
Source: pexels.com

Microsoft corrige, entre autres, une vulnérabilité de type « zero-day » (CVE-2023-23397) qui était exploitée par un groupe (enregistré comme APT28, STRONIUM, Sednit, Sofacy et Fancy Bear) lié aux services de renseignement militaire russes et dont les principales cibles étaient des organisations européennes.

Cette vulnérabilité a été signalée par le CERT-UA, l’équipe ukrainienne d’intervention en cas d’urgence informatique. Il s’agit d’une faille de sécurité critique dans Outlook qui permet l’élévation des privilèges, cette vulnérabilité pouvant être exploitée sans interaction de l’utilisateur.

Les preuves révèlent que les gouvernements, les industries de la logistique, du pétrole, de la défense et du transport dans des pays tels que la Pologne, l’Ukraine, la Roumanie et la Turquie ont été victimes depuis avril 2022. Ces organisations peuvent avoir été ciblées à des fins de renseignement stratégique ou dans le cadre de la préparation de cyberattaques à l’intérieur et à l’extérieur de l’Ukraine.

L’attaquant peut exploiter cette vulnérabilité en envoyant un courriel spécialement conçu qui est automatiquement déclenché lorsque le client Outlook le récupère et le traite. Cela pourrait conduire à une exploitation AVANT que le courriel ne soit visualisé dans le volet de prévisualisation.

Extrait d’un avis de sécurité de Microsoft concernant cette vulnérabilité.

Pour être plus précis, les attaquants peuvent exploiter cette vulnérabilité en envoyant des messages avec des propriétés MAPI étendues contenant des chemins UNC vers un SMB partagé (TCP 445) sous leur contrôle. Cette connexion au serveur SMB distant envoie le message de négociation NTLM de l’utilisateur. En possession de ce message, l’attaquant peut le transmettre à un autre service et ainsi s’authentifier en tant que victime.

Windows New Technology Manager (NTLM) est une méthode d’authentification utilisée pour se connecter à des domaines Windows à l’aide d’identifiants de connexion hachés. Bien que ce type d’authentification comporte certains risques, il est toujours utilisé sur les nouveaux systèmes afin d’assurer une compatibilité ascendante. Il fonctionne avec des mots de passe hachés que le serveur reçoit du client lorsqu’il tente d’accéder à des ressources partagées, telles que les SMB ; ces hachages, s’ils sont volés, peuvent être utilisés pour s’authentifier auprès de plusieurs services et se déplacer latéralement.

La vulnérabilité CVE-2023-23397 affecte toutes les versions prises en charge de Microsoft Outlook pour Windows, mais n’affecte PAS les versions d’Outlook pour Android, iOS ou macOS. De plus, comme les versions en ligne (telles que Outlook web ou Microsoft 365), ne prennent pas en charge l’authentification NTLM, elles ne sont pas vulnérables aux attaques qui visent à exploiter ces vulnérabilités NTLM, bien qu’il faille noter qu’il existe des organisations qui utilisent O365 qui peuvent encore être vulnérables si leurs utilisateurs utilisent le client Outlook pour Windows et autorisent l’authentification NTLM pour d’autres services.

Il convient également de noter la deuxième vulnérabilité exploitée, CVE-2023-24880 ; cette vulnérabilité permet de contourner la fonction de sécurité de la technologie SmartScreen.

La technologie SmartScreen a été installée dans Microsoft Edge et dans le système d’exploitation Windows pour protéger les utilisateurs contre le téléchargement de logiciels malveillants par hameçonnage ou ingénierie sociale.

Cette vulnérabilité fait suite à un correctif de sécurité limité publié par Microsoft l’année dernière pour remédier à une autre vulnérabilité de SmartScreen (CVE-2022-44698, CVSS score : 5.4) qui a été exploitée par des attaquants motivés pour déployer le ransomware « Magniber ».

La cause du contournement de SmartScreen n’ayant pas été abordée, les attaquants ont pu identifier une variante différente du bogue original.

Le groupe d’analyse des menaces de Google (TAG) a signalé que plus de 10 000 téléchargements de fichiers MSI malveillants signés avec une signature Authenticode malformée ont été observés depuis janvier 2023, permettant potentiellement aux attaquants de distribuer le ransomware « Magniber » sans déclencher d’alerte de sécurité. La plupart des téléchargements sont associés à des utilisateurs européens.

Microsoft a également comblé un certain nombre de vulnérabilités critiques d’exécution de code à distance affectant la pile de protocole HTTP (CVE-2023-23392 , CVSS score : 9.8), le protocole ICMP (CVE-2023-23415 , CVSS score : 9.8) et le Remote Procedure Call Runtime (CVE-2023-21708, CVSS score : 9.8).

Recommandations

Il est recommandé d’appliquer la mise à jour de sécurité immédiatement.

Restreindre le trafic SMB sortant : Dans un environnement d’entreprise traditionnel, cela peut se faire à l’aide de pare-feu périmétriques, de proxies web ou de pare-feu basés sur l’hôte (solution idéale). Si des terminaux décentralisés avec Outlook sont utilisés, il est recommandé d’utiliser une technologie proxy basée sur le web pour bloquer le trafic SMB sortant vers des sous-réseaux non RFC1918. Si une technologie de proxy basée sur le web n’est pas disponible, le pare-feu de l’hôte peut être utilisé pour bloquer les connexions SMB sortantes vers des sous-réseaux non RFC1918.

Restreindre l’utilisation de l’authentification NTLM : utiliser le groupe de sécurité Protected Users dans Active Directory pour les comptes sensibles. Cela empêche les comptes assignés à ce groupe d’utiliser NTLM et force l’utilisation de Kerberos. L’utilisation du mappage de comptes à ce groupe de sécurité présente quelques inconvénients :

  • Elle nécessite un niveau fonctionnel de domaine d’au moins 2012R2.
  • Les services ou les systèmes hérités qui utilisent l’authentification NTLM échoueront.
  • Il n’est pas recommandé d’ajouter des comptes de service ou des comptes d’ordinateur à ce groupe.
  • Attention, l’utilisation d’informations d’identification mises en cache ne fonctionnera pas.
  • Les comptes dont les hachages ne sont pas de type AES (typiquement les comptes créés historiquement au niveau fonctionnel d’un domaine 2003) nécessiteront une réinitialisation du mot de passe pour fonctionner.

Un script a également été publié pour vérifier si l’organisation a été attaquée. Il est disponible ici. Les tâches, les courriels et les éléments de calendrier qui sont détectés et qui pointent vers un partage non reconnu doivent être vérifiés pour déterminer s’ils sont malveillants. Si des objets sont détectés, ils doivent être supprimés ou le paramètre doit être supprimé. Si aucun objet n’est détecté, il est peu probable que l’organisation ait été attaquée via CVE-2023-23397.

Plus d’information:
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

Page 1 of 25

Fièrement propulsé par WordPress & Thème par Anders Norén