learn.hack.repeat

Catégorie : CVE Page 1 of 10

Le groupe cybercriminel chinois Earth Krahang porte atteinte à la sécurité de 70 organisations dans 23 pays

de

On 25/03/2024

dans CVE, Phishing, Sécurité

Une campagne de cyberespionnage avancée attribuée au groupe cybercriminel chinois Earth Krahang a porté atteinte à la sécurité de 70 organisations dans le monde, y compris des ministères des affaires étrangères et d’autres agences gouvernementales, en déployant un arsenal sophistiqué d’outils pour compromettre des infrastructures clés et récolter des informations sensibles.

Source: redhotcyber.com

Ce groupe a utilisé des techniques avancées telles que l’exploitation de vulnérabilités dans des serveurs exposés à Internet, des emails de spear-phishing et des attaques par force brute pour installer des portes dérobées personnalisées et mener des activités de cyber-espionnage.

Les attaquants ont spécifiquement exploité des vulnérabilités telles que CVE-2023-32315 et CVE-2022-21587 pour accéder à des réseaux compromis et y persister. En outre, ils ont utilisé des emails de spear-phishing à thème géopolitique pour inciter les destinataires à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens, ce qui facilite l’installation de logiciels malveillants et l’extraction ultérieure d’informations.

Une fois dans le réseau, Earth Krahang a utilisé des infrastructures compromises pour héberger des charges utiles malveillantes, rediriger le trafic d’attaque et utiliser des comptes de messagerie gouvernementaux piratés pour cibler d’autres gouvernements ou contacts avec des courriels de spear-phishing. Dans un cas notoire, ils ont utilisé un compte de courrier électronique compromis d’une entité gouvernementale pour envoyer une pièce jointe malveillante à 796 adresses électroniques appartenant à la même entité.

Chaîne d’infection d’une attaque de spear-phishing de Earth Krahang (voir la section ATT&CK de MITRE pour plus de détails sur chaque identifiant de technique).
Source: trendmicro.com

Compte tenu de la sophistication et de l’ampleur de la campagne Earth Krahang, il est vivement conseillé aux organisations gouvernementales et aux autres entités cibles potentielles de rester vigilantes face à toute activité suspecte sur leurs systèmes. Dans ce contexte, la mise en œuvre des mises à jour de sécurité en temps opportun devient un pilier essentiel. En outre, la sensibilisation des employés aux risques inhérents à l’ingénierie sociale et aux attaques de spear-phishing, associée à l’adoption de mesures d’authentification multifactorielle, sont des stratégies clés pour atténuer le risque de compromission.

Dans ce scénario, la collaboration avec des partenaires de confiance spécialisés dans la protection contre les cybermenaces peut fournir une couche de sécurité supplémentaire. Des entreprises comme Swisscom, qui ont fait leurs preuves en matière de détection et de réponse aux menaces numériques, proposent des solutions qui peuvent être cruciales pour anticiper, identifier et neutraliser les attaques avant qu’elles n’affectent les opérations critiques. L’utilisation de leurs services de protection contre les cybermenaces n’est pas seulement une mesure proactive, mais aussi un investissement dans la continuité et la résilience des opérations face à l’adversité dans le cyberespace.

Plus d’information:
https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html
https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/
https://nvd.nist.gov/vuln/detail/CVE-2023-32315

LockBit : le plus grand groupe de ransomwares démantelé lors d’une opération multinationale

de

On 21/02/2024

dans CVE, Ransomware, Sécurité

Dans le cadre d’une opération internationale conjointe, les forces de l’ordre ont saisi plusieurs domaines du darknet exploités par le groupe de ransomware LockBit, connu pour être l’un des plus prolifiques. L’opération, baptisée « Opération Cronos », a impliqué les autorités de 11 pays et a été menée en exploitant une vulnérabilité critique de PHP.

Le site web lié au groupe de ransomware LockBit est sous le contrôle des forces de l’ordre de 11 pays dans le cadre d’une opération internationale qui a permis de démanteler une partie de son infrastructure. La National Crime Agency (NCA) du Royaume-Uni a dirigé l’opération « Cronos » avec l’aide d’Europol et d’Eurojust. Bien que l’ampleur de l’opération soit inconnue, la visite du site .onion du groupe affiche une bannière de saisie avec le message suivant : « Le site est maintenant sous le contrôle des forces de l’ordre ».

Les autorités de 11 pays (Allemagne, Australie, Canada, États-Unis, Finlande, France, Japon, Pays-Bas, Royaume-Uni, Suède et Suisse, ainsi qu’Europol) ont participé à l’exercice conjoint.

Dans un message posté sur X (Twitter), le groupe de recherche sur les logiciels malveillants VX-Underground a déclaré que les sites ont été mis hors service par l’exploitation d’une vulnérabilité de sécurité critique affectant PHP (CVE-2023-3824, CVSS score : 9.8) qui pourrait entraîner l’exécution de code à distance.

Lockbit : groupe de ransomware

LockBit, apparu le 3 septembre 2019, a été l’un des groupes de de ransomwares les plus actifs et les plus notoires de l’histoire, faisant plus de 2000 victimes. On estime qu’il a extorqué au moins 91 millions de dollars à des organisations américaines uniquement. Selon les données communiquées par la société de cybersécurité ReliaQuest, LockBit a répertorié 275 victimes sur son portail de violation de données au cours du quatrième trimestre 2023, dépassant de loin tous ses concurrents. Il n’y a pas encore eu d’arrestations ou de sanctions. Toutefois, ce développement porte un coup définitif aux opérations à court terme de LockBit et intervient deux mois après que le gouvernement américain a démantelé l’opération de ransomware BlackCat.

Grâce à notre étroite collaboration, nous avons piraté les pirates, pris le contrôle de leur infrastructure, saisi leur code source et obtenu les clés qui aideront les victimes à décrypter leurs systèmes.

Graeme Biggar, directeur général de la NCA

À partir d’aujourd’hui, LockBit est bloqué. Nous avons porté atteinte aux capacités et, surtout, à la crédibilité d’un groupe qui s’appuyait sur le secret et l’anonymat. LockBit peut essayer de reconstruire son entreprise criminelle. Cependant, nous savons qui ils sont et comment ils opèrent.

Graeme Biggar, directeur général de la NCA

Ils ont laissé une note sur le panneau d’affiliation, indiquant qu’ils avaient « le code source, des détails sur les victimes que vous avez ciblées, la somme d’argent extorquée, les données volées, les chats et bien plus encore », ajoutant que cela avait été rendu possible grâce à « l’infrastructure défectueuse » de LockBit.

La NCA s’est engagée à contacter les victimes britanniques afin qu’elles puissent utiliser les clés pour lesquelles elles devraient être ajoutées à la page No More Ransom surveillée par Europol. Les victimes d’attaques pourront utiliser cette ressource pour découvrir les dernières clés de décryptage de LockBit. Les victimes de ce logiciel malveillant sont invitées à contacter le FBI à l’adresse https://lockbitvictims.ic3.gov/ afin de permettre aux autorités de déterminer si les systèmes affectés peuvent être décryptés avec succès.

Plus d’information:
https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group
https://en.wikipedia.org/wiki/Lockbit
https://twitter.com/vxunderground/status/1759732862335504773
https://nvd.nist.gov/vuln/detail/CVE-2023-3824

Et s’il s’agissait de la pire attaque DNS jamais découverte?

de

On 17/02/2024

dans Chiffrement, CVE, Sécurité

KeyTrap est probablement peut-être la pire attaque DNS jamais découverte. Il s’agit d’un déni de service sur les serveurs DNSSEC (aujourd’hui utilisés dans 31 % des résolutions), précisément parce qu’ils traitent des clés chiffrées. Si un ou plusieurs domaines concernés étaient attaqués, des parties entières de l’internet disparaîtraient ou auraient des problèmes de connectivité.

Sources: Wikipedia

Découverte par des universités allemandes et le Centre national allemand de recherche en cybersécurité appliquée, le rapport The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNS (attaques de complexité algorithmique par déni de service sur le DNS) qui vient d’être publié, décrit comment un serveur DNSSEC vulnérable se verrait demander comment résoudre un domaine malveillant, qui à son tour renverrait à un serveur malveillant, lequel renverrait une réponse qui l’amènerait à effectuer des calculs si complexes qu’ils épuiseraient les ressources du serveur.

Selon la spécification DNSSEC elle-même, la réponse RRSet spécialement manipulée devrait contenir tout le matériel chiffré nécessaire pour valider avec succès l’intégrité de la résolution.

La création des correctifs a été coordonnée entre les principaux fournisseurs et BIND, le logiciel libre par excellence. Ils sont maintenant disponibles pour tous. Cela atténue le problème de la validation du matériel, mais pas le défaut de conception.

Ce défaut a été introduit en 1999 dans le RFC 2535, aujourd’hui obsolète, et reproduit dans les RFC 6781 et RFC 6840. Il est implémenté dans BIND depuis 2000.

DNSSEC, c’est quoi ?

Les serveurs DNS sont utilisés par les navigateurs web et d’autres logiciels pour transformer des noms de domaine conviviaux, tels que wikipedia.org, en adresses IP conviviales auxquelles se connecter. Les serveurs DNS sont gérés par toutes sortes d’organisations, depuis les services informatiques jusqu’aux fournisseurs d’accès à Internet. Le DNS n’est pas sûr parce qu’il envoie des requêtes et des réponses sur les réseaux en texte clair, ce qui permet à ces données d’être potentiellement modifiées par des fouineurs pour diriger les connexions des personnes vers des systèmes malveillants.

Le protocole DNSSEC (Domain Name System Security Extensions) constitue une amélioration du DNS en ce sens qu’il utilise le chiffrement pour garantir que les résultats des requêtes ne sont pas altérés par des personnes mal intentionnées. Un résolveur DNS validant DNSSEC utilise DNSSEC pour effectuer cette forme plus sûre de résolution DNS.

Exploitation de la vulnérabilité

Voyons les différentes étapes qui formeraient l’exploitation de la vulnérabilité KeyTrap, de l’identification au déni de service:

  1. Identification de serveurs DNSSEC vulnérables : Les attaquants identifient les serveurs DNSSEC vulnérables qui sont susceptibles d’être exploités. Cela peut être réalisé en effectuant des scans de réseau ou en utilisant des outils de reconnaissance pour repérer les serveurs qui utilisent DNSSEC.
  2. Sélection d’un domaine malveillant : Les attaquants sélectionnent un domaine malveillant qu’ils contrôlent. Ce domaine sera utilisé pour déclencher l’attaque et rediriger le trafic vers des serveurs malveillants contrôlés par les attaquants.
  3. Manipulation des réponses DNS : Les attaquants manipulent les réponses DNS en modifiant les enregistrements RRSet (Resource Record Set) pour inclure des clés de chiffrement spécialement conçues. Ces clés manipulées sont ensuite retournées dans la réponse DNS aux requêtes légitimes des utilisateurs.
  4. Déclenchement de l’attaque : Lorsque les utilisateurs légitimes effectuent des requêtes DNS vers les serveurs vulnérables, les réponses manipulées sont renvoyées par les serveurs vulnérables. Cela déclenche l’attaque, car le traitement de ces réponses manipulées exige des calculs complexes qui épuisent les ressources du serveur.
  5. Épuisement des ressources du serveur : Les serveurs DNSSEC vulnérables sont submergés par des requêtes contenant des réponses manipulées, nécessitant des calculs complexes pour valider l’intégrité de la résolution DNS. Cela entraîne une surcharge des ressources du serveur, provoquant des dysfonctionnements majeurs voire une indisponibilité partielle du service DNS.
  6. Impact sur la connectivité Internet : En raison de l’épuisement des ressources des serveurs DNSSEC vulnérables, des parties entières de l’internet peuvent subir des perturbations majeures voire une indisponibilité partielle de l’accès à Internet. Cela peut entraîner des problèmes de connectivité pour les utilisateurs légitimes et causer des perturbations dans les services en ligne.

En résumé, les attaquants exploitent la vulnérabilité KeyTrap en manipulant les réponses DNS pour inclure des clés de chiffrement spécialement conçues. Lorsque ces réponses manipulées sont traitées par des serveurs DNSSEC vulnérables, elles entraînent une surcharge des ressources du serveur, provoquant des dysfonctionnements majeurs voire une indisponibilité partielle des services DNS.

Plus d’information:
https://www.athene-center.de/fileadmin/content/PDF/Technical_Report_KeyTrap.pdf
https://datatracker.ietf.org/doc/rfc2535/
https://www.presseportal.de/pm/173495/5713546
https://stats.labs.apnic.net/dnssec/XA?hc=XA&hx=0&hv=1&hp=0&hr=0&w=30&r=1

Terrapin, la vulnérabilité qui compromet la sécurité des connexions SSH.

de

On 10/01/2024

dans Chiffrement, CVE, Sécurité

Terrapin, avec un score CVSS de 5,9, représente la première attaque par troncature de préfixe qui est exploitable.

Les chercheurs en sécurité de l’Université de la Ruhr à Bochum Fabian Bäumer, Marcus Brinkmann et Jörg Schwenk ont découvert une vulnérabilité appelée Terrapin (CVE-2023-48795) dans le protocole réseau de chiffrement Secure Shell (SSH) qui pourrait permettre à un attaquant de dégrader la sécurité de la connexion en brisant l’intégrité du canal sécurisé.

SSH (Secure Shell) est une norme Internet qui fournit un accès sécurisé aux services réseau, en particulier pour la connexion à un terminal à distance et le transfert de fichiers au sein des réseaux d’entreprise et de plus de 15 millions de serveurs sur Internet. Cependant, cette récente vulnérabilité de Terrapin a été identifiée et compromet l’intégrité des connexions SSH.

Détails de la vulnérabilité : La vulnérabilité permet à un attaquant de dégrader la sécurité de la connexion SSH en manipulant les numéros de séquence pendant le handshake, en supprimant des messages au début du canal sécurisé sans être détecté par le client ou le serveur.

L’image montre une application pratique de l’attaque Terrapin. L’attaquant peut supprimer le message EXT_INFO, utilisé pour négocier diverses extensions de protocole, sans que le client ou le serveur s’en aperçoive. En général, le client détecte la suppression du paquet lorsqu’il reçoit le paquet binaire suivant envoyé par le serveur, car les numéros de séquence ne correspondent pas. Pour éviter cela, un attaquant injecte un paquet ignoré pendant le protocole de liaison afin de compenser les numéros de séquence en conséquence.

Conséquences possibles : Terrapin ne dégrade pas seulement la sécurité de la connexion, mais peut également permettre l’exploitation de failles de mise en œuvre. Par exemple, des faiblesses ont été trouvées dans le serveur AsyncSSH, permettant à un attaquant de se connecter au compte d’un utilisateur sans être détecté, ce qui facilite les attaques par hameçonnage et accorde des capacités de type Man-in-the-Middle (MitM) au sein de la session chiffrée.

Risques associés : SSH est une méthode permettant d’envoyer en toute sécurité des commandes à un ordinateur sur un réseau non sécurisé. Il s’appuie sur la cryptographie pour authentifier et chiffrer les connexions entre les appareils. Cependant, un acteur malveillant en position d’attaquant au milieu (AitM) ayant la capacité d’intercepter et de modifier le trafic de connexion au niveau de la couche TCP/IP peut dégrader la sécurité d’une connexion SSH en utilisant la négociation de l’extension SSH.

L’attaque peut être réalisée dans la pratique, permettant à un attaquant de dégrader la sécurité de la connexion en tronquant le message de négociation d’extension (RFC8308) de la transcription. La troncature peut conduire à l’utilisation d’algorithmes d’authentification du client moins sûrs et désactiver les mesures spécifiques contre les attaques de synchronisation des frappes dans OpenSSH 9.5

Fabian Bäumer, Marcus Brinkmann et Jörg Schwenk, chercheurs en sécurité de l’Université de la Ruhr à Bochum

Une autre condition essentielle à la réalisation de l’attaque est l’utilisation d’un mode de chiffrement vulnérable tel que ChaCha20-Poly1305 ou CBC avec Encrypt-then-MAC pour sécuriser la connexion.

Impact potentiel : dans un scénario réel, un attaquant pourrait intercepter des données sensibles ou prendre le contrôle de systèmes critiques avec des privilèges d’administrateur. La vulnérabilité affecte plusieurs implémentations de clients et de serveurs SSH, y compris OpenSSH, Paramiko, PuTTY, KiTTY, WinSCP, libssh, libssh2, AsyncSSH, FileZilla et Dropbear.

La vulnérabilité affecte la plupart des implémentations SSH actuelles qui utilisent le chiffrement ChaCha20-Poly1305 ou CBC avec Encrypt-then-MAC. Un outil d’analyse de la vulnérabilité est même fourni pour déterminer si un serveur ou un client SSH est vulnérable.

Réponse de la communauté de la sécurité : En réponse à cette menace, les responsables des implémentations concernées ont publié des correctifs pour atténuer les risques. Toutefois, il est essentiel que les entreprises prennent des mesures immédiates pour sécuriser leurs serveurs SSH, car même si les serveurs sont corrigés, les connexions vulnérables constituent toujours un risque potentiel.

Recommandations de sécurité : Yair Mizrahi, chercheur principal en sécurité chez JFrog, conseille aux entreprises d’identifier toutes les instances vulnérables de leur infrastructure et d’appliquer des mesures d’atténuation sans délai, même si le serveur a été corrigé.

Terrapin représente une nouvelle menace dans le domaine des protocoles de réseaux cryptographiques. La sensibilisation et l’action proactive sont essentielles pour atténuer les risques associés à cette vulnérabilité, car la menace devrait persister pendant de nombreuses années.

Plus d’information:
https://terrapin-attack.com/
https://terrapin-attack.com/patches.html
https://nvd.nist.gov/vuln/detail/CVE-2023-48795
https://www.digitalocean.com/community/tutorials/understanding-the-ssh-encryption-and-connection-process
https://blog.qualys.com/vulnerabilities-threat-research/2023/12/21/ssh-attack-surface-cve-2023-48795-find-and-patch-before-the-grinch-arrives-with-cybersecurity-asset-management
https://thehackernews.com/2024/01/new-terrapin-flaw-could-let-attackers.html
https://jfrog.com/blog/ssh-protocol-flaw-terrapin-attack-cve-2023-48795-all-you-need-to-know/

Prévisions des menaces pour 2024

de

On 28/12/2023

dans CVE, Data Leak, Malware, Phishing, Ransomware, Sécurité

Alors que l’année se termine, nous entrons dans un moment de réflexion et de prospective. C’est le temps des bilans, une période où nous examinons en détail les événements de l’année qui s’achève, tout en tournant notre regard vers l’avenir. Cette transition marque non seulement la fin d’un chapitre, mais aussi le début d’un nouveau, rempli de possibilités et d’anticipations. C’est dans cet esprit que nous nous préparons à accueillir la nouvelle année, armés de leçons apprises et de prévisions éclairées pour les mois à venir.

Source: pexels.com

L’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky a surveillé plusieurs groupes de menaces persistantes avancées (APT), analysant les tendances de l’année écoulée pour voir lesquelles des prédictions pour 2023 se sont réalisées et essayer de prédire ce qui se passera en 2024. C’est une façon d’essayer d’anticiper les développements futurs pour garder une longueur d’avance sur l’évolution du paysage des menaces.

Retour sur les prévisions de l’année dernière

  1. L’essor des attaques destructrices : le logiciel malveillant CryWiper. Verdict : partiellement atteint.
  2. Les serveurs de messagerie deviennent des cibles prioritaires. Verdict : prédiction réalisée.
  3. Le prochain WannaCry. Verdict : prédiction non réalisée.
  4. Les APT se concentrent sur les technologies, les producteurs et les opérateurs de satellites. Verdict : prédiction non réalisée.
  5. Le piratage et les fuites de données sont la nouvelle tendance noire (et sinistre). Verdict : prédiction réalisée.
  6. Davantage de groupes APT quitteront Cobalt Strike pour d’autres alternatives. Verdict : la prédiction ne s’est pas réalisée.
  7. Logiciels malveillants transmis par SIGINT. Verdict : prédiction réalisée.
  8. Piratage de drones. Verdict : prédiction non réalisée.

Horizon 2024 : Tendances et prédictions dans l’univers des APT

En s’appuyant sur une analyse approfondie des tendances en 2023, explorons les contours et les possibles évolutions du paysage des menaces persistantes avancées pour l’année prochaine.

Source: Kaspersky

Innovation en matière d’exploits sur mobiles et appareils connectés

L’année passée, l’opération Triangulation a révélé une réalité troublante : les appareils iOS, cibles d’une campagne d’espionnage sophistiquée et discrète. Cette enquête a mis en lumière cinq vulnérabilités majeures affectant non seulement les smartphones et tablettes, mais également les ordinateurs portables et même les dispositifs domestiques comme l’Apple TV et l’Apple Watch. Ce développement suggère une tendance à l’expansion des attaques avancées vers une gamme plus large d’appareils grand public et de technologies domestiques intelligentes. Et il n’y a pas que les produits iOS qui sont menacés ; d’autres appareils et systèmes d’exploitation pourraient également se retrouver dans le viseur des cybercriminels.

Les cyberattaquants redoublent de créativité en ciblant désormais des dispositifs variés comme les caméras domestiques intelligentes et les systèmes de voitures connectées. Ces appareils, qu’ils soient modernes ou plus anciens, présentent souvent des vulnérabilités dues à des failles de sécurité, des configurations inadéquates, ou des logiciels non mis à jour. Cette combinaison de faiblesses les rend particulièrement attrayants pour les pirates informatiques, qui profitent de ces lacunes pour mener des attaques simples mais efficaces.

Cette nouvelle vague d’exploits se caractérise par leur diffusion « silencieuse », à l’instar de l’opération « Triangulation » où les exploits se transmettaient discrètement via iMessage, s’activant sans aucune interaction de l’utilisateur. Dans l’année à venir, nous pourrions assister à l’émergence de nouvelles méthodes de diffusion, telles que les attaques « zéro clic » via des messageries populaires multiplateformes, ou les attaques « un clic » où l’ouverture de liens malveillants déclenche des exploits. Moins courante mais tout aussi redoutable, la méthode d’interception du trafic réseau, par exemple via des réseaux Wi-Fi, pourrait également gagner en popularité.

Pour contrer ces menaces sophistiquées, la protection des appareils personnels et professionnels est cruciale. L’utilisation de solutions comme les plateformes XDR, SIEM, et MDM, en complément des antivirus traditionnels, est essentielle. Ces outils permettent une centralisation de la collecte des données, une analyse accélérée, et une corrélation efficace des événements de sécurité provenant de diverses sources, facilitant ainsi une réponse rapide et coordonnée face à des incidents complexes.

L’émergence de nouveaux réseaux de zombies : Une menace croissante

Les logiciels et appareils utilisés tant dans les sphères professionnelles que personnelles restent vulnérables, ouvrant la porte à de graves menaces. Un nombre record de vulnérabilités, dépassant les 25 000, a été identifié en 2022, selon Statista. Cette réalité, couplée à des ressources souvent insuffisantes pour une analyse et une correction rapides des vulnérabilités, alimente les craintes d’une prolifération de réseaux de zombies à grande échelle. Ces réseaux, construits de manière furtive, pourraient lancer des attaques ciblées et redoutables.

Le botnetting consiste à installer furtivement des logiciels malveillants sur une multitude d’appareils à l’insu de leurs propriétaires. Les groupes APT peuvent trouver cette tactique intrigante pour plusieurs raisons. D’une part, elle permet aux acteurs de la menace de dissimuler la nature ciblée de leurs attaques derrière des attaques apparemment généralisées, ce qui rend difficile pour les défenseurs de déterminer l’identité et les motivations des attaquants. En outre, les réseaux de zombies basés sur des appareils ou des logiciels grand public, ou ceux appartenant à des organisations légitimes, masquent commodément la véritable infrastructure des attaquants. Ils peuvent servir de serveurs proxy, de centres C2 (commande et contrôle) intermédiaires et, en cas de mauvaise configuration du réseau, de points d’entrée potentiels dans les organisations.

Historiquement, les réseaux de zombies ont joué un rôle clé dans diverses attaques. Par exemple, un botnet de dizaines de milliers de routeurs domestiques a été exploité pour diriger du trafic malveillant vers d’autres réseaux. Plus récemment, avec l’essor du télétravail, des campagnes APT ont ciblé des travailleurs à distance en infectant des routeurs de petites entreprises ou de bureaux à domicile. Ces attaques exploitent souvent des vulnérabilités non corrigées, rendant les appareils et les logiciels des cibles faciles. Avec la récente révélation de nombreuses vulnérabilités, il est probable que de telles stratégies se multiplient.

Outre les groupes APT, les cybercriminels peuvent aussi tirer parti des réseaux de zombies. La nature cachée de ces attaques complique leur détection, offrant aux assaillants de multiples opportunités pour s’infiltrer discrètement et s’implanter durablement au sein des infrastructures ciblées.

La résurgence des Rootkits de noyau : Défis et contournements

Malgré l’introduction de mesures de sécurité avancées par Microsoft, comme KMCS, PatchGuard, HVCI, et l’architecture Secure Kernel, les rootkits de noyau refont surface. Autrefois courants, ces attaques classiques avaient diminué grâce à ces protections. Cependant, récemment, des acteurs APT et des groupes cybercriminels ont réussi à exécuter leur code au niveau du noyau, contournant ces mécanismes. Des abus du Programme de compatibilité matérielle de Windows et des rootkits comme Netfilter et FiveSys ont été identifiés, exploités pour des activités malveillantes telles que le vol d’informations d’identification et le détournement d’achats dans les jeux.

Les tendances futures indiquent une intensification des méthodes utilisées par les acteurs de la menace. Trois vecteurs principaux sont prévus pour renforcer leurs capacités :

  1. Le développement du marché noir des certificats de véhicules électriques et des certificats de signature de code volés.
  2. Une augmentation des abus de comptes de développeurs pour signer des codes malveillants via des services de signature de code de Microsoft, notamment WHCP.
  3. La croissance continue du concept de « Bring Your Own Vulnerable Driver » (BYOVD), devenant un élément standard dans l’arsenal des techniques, tactiques et procédures (TTP) des cybermenaces actuelles.

Escalade des cyberattaques soutenues par les états en 2024

2023 a été témoin d’une intensification des conflits mondiaux, atteignant un niveau de violence inédit depuis la Seconde Guerre mondiale, d’après l’ONU. Ces conflits intègrent systématiquement des composantes cybernétiques. Les attaques APT telles que BlackEnergy en Ukraine, illustrant la cyberguerre moderne, ont eu un impact dévastateur. Le spectre des acteurs de cyberguerre s’étend des campagnes APT dans des zones de conflit à des attaques ciblées dans des tensions géopolitiques récentes, impliquant des attaques sophistiquées contre des infrastructures critiques et l’espionnage cybernétique. Cette tendance à l’implication étatique dans le cyberespace ne fera que croître.

Dans l’avenir, on s’attend à une recrudescence des cyberattaques parrainées par des États, en parallèle avec l’intensification des tensions géopolitiques. Ces attaques cibleront non seulement les infrastructures critiques, les secteurs gouvernementaux et les entreprises de défense, mais aussi les médias, utilisés pour la contre-propagande ou la désinformation. Les pirates viseront le vol de données, la destruction d’infrastructures informatiques, et l’espionnage à long terme. On prévoit également une augmentation des campagnes de cyber-sabotage, avec des attaques ciblées contre des individus ou des groupes, impliquant la compromission de dispositifs personnels, l’utilisation de drones et de logiciels malveillants.

Hacktivisme : Une composante clé des conflits géopolitiques modernes

L’ère actuelle des conflits géopolitiques a intégré l’hacktivisme comme un élément incontournable de la cyberguerre. Les hacktivistes impactent la cybersécurité par des cyberattaques directes, telles que les attaques DDoS, le vol ou la destruction de données, et la défiguration de sites web. Ils peuvent également propager de fausses allégations de piratage, engendrant des enquêtes et une fatigue d’alerte inutiles pour les analystes SOC et les experts en cybersécurité. Les deepfakes, outils de désinformation, sont fréquemment utilisés par les hacktivistes, tout comme d’autres méthodes pour influencer l’opinion publique ou perturber les services. Dans le contexte des tensions géopolitiques actuelles, les activités hacktivistes destructrices et les campagnes de désinformation sont en augmentation.

L’essor des attaques contre la chaîne d’approvisionnement en tant que service

L’utilisation de la chaîne d’approvisionnement comme vecteur d’attaque est en hausse, avec des attaquants ciblant les fournisseurs, intégrateurs ou développeurs pour atteindre des organisations plus grandes. Les petites et moyennes entreprises, souvent moins protégées contre les attaques APT, deviennent des points d’entrée pour les pirates. Des incidents comme les brèches d’Okta, touchant des milliers de clients, illustrent cette tendance. Avec la diversification des motivations des attaquants, de la recherche de profit au cyber-espionnage, les attaques deviennent plus complexes. On observe des cas où des portes dérobées coexistent sur les mêmes machines, indiquant des attaques ciblées, notamment dans le secteur de la crypto-monnaie.

En 2024, les attaques contre la chaîne d’approvisionnement pourraient prendre de nouvelles formes, avec l’utilisation de logiciels libres pour viser des développeurs spécifiques et l’émergence d’un marché parallèle offrant des paquets d’accès à divers fournisseurs. Ces évolutions permettraient aux attaquants de sélectionner soigneusement leurs cibles pour des attaques à grande échelle, augmentant potentiellement l’efficacité et la portée des attaques contre la chaîne d’approvisionnement.

L’essor du Spear-Phishing avec l’IA générative

Avec la démocratisation des chatbots et outils d’IA générative, les acteurs malveillants développent désormais leurs propres chatbots ‘black hat’ en s’appuyant sur des modèles légitimes. Des modèles comme WormGPT, prétendument basés sur GPTJ open source, sont spécifiquement conçus pour un usage malveillant. D’autres modèles, tels que xxxGPT, WolfGPT, FraudGPT, DarkBERT, sans restrictions de contenu, offrent de nouvelles possibilités pour les attaquants exploitant ces outils dans des campagnes de phishing sophistiquées.

Source: valimail.com

L’avènement des outils d’IA générative va transformer le spear-phishing, permettant une production en masse de messages d’hameçonnage personnalisés. Ces outils offrent la capacité non seulement de rédiger rapidement des messages convaincants, mais aussi de générer des documents de phishing et d’imiter le style de communication de personnes spécifiques. Cette année, on s’attend à ce que les attaquants automatisent l’espionnage en collectant des données en ligne pour créer des messages textuels ou audio personnalisés. La sensibilisation à la cybersécurité et les mesures préventives, telles que la veille sur les menaces, la surveillance et la détection proactive, deviennent donc encore plus cruciales.

Montée des services de piratage à la demande

Les groupes offrant des services de piratage contractuel deviennent plus nombreux. Ces cyber-mercenaires, spécialisés dans l’infiltration des systèmes et le vol de données, ciblent une clientèle variée comprenant des enquêteurs privés, des cabinets d’avocats, des concurrents commerciaux et des individus sans compétences techniques. Ces groupes font la publicité de leurs services et sélectionnent activement leurs cibles.

GReAT a suivi DeathStalker, un groupe qui cible spécifiquement les cabinets d’avocats et les entreprises financières, fournissant des services de piratage et agissant comme courtier en informations. Ils utilisent des techniques telles que des courriels d’hameçonnage avec des pièces jointes malveillantes pour contrôler les appareils des victimes et s’emparer de données sensibles.

Ces groupes de pirates, organisés hiérarchiquement avec des chefs et des équipes, sont actifs sur les plateformes du dark web. Ils emploient des techniques variées, comme les logiciels malveillants, le phishing et l’ingénierie sociale, tout en utilisant des communications anonymes et des VPN pour éviter la détection. Leur impact va de la violation de données à des atteintes à la réputation, et leurs services s’étendent jusqu’à l’espionnage commercial, incluant la collecte d’informations sur les concurrents, les opérations de fusion et acquisition, les plans d’expansion, et les données financières et clients.

Cette tendance des services de piratage à la demande devrait s’intensifier mondialement dans l’année à venir. Des groupes APT pourraient élargir leurs activités pour répondre à la demande croissante, cherchant à générer des revenus pour financer leurs opérations et rémunérer leurs membres.

MFT Systems : Nouvel Épicentre des Cybermenaces

Les systèmes de gestion du transfert de fichiers (MFT) sont devenus essentiels mais vulnérables dans le paysage numérique actuel. Ils facilitent l’échange de données sensibles mais attirent l’attention des cyberattaquants, notamment pour des attaques de ransomware. La sécurité accrue autour des MFT est cruciale pour protéger les informations importantes des organisations contre ces menaces croissantes.

Source: goanywhere.com

Les attaques contre les systèmes MFT comme MOVEit et GoAnywhere en 2023 ont révélé des vulnérabilités critiques. Des incidents tels que la violation de MOVEit par le gang de ransomware Cl0p et l’exploitation de GoAnywhere de Fortra ont montré comment une seule faille peut conduire à des fuites de données, des perturbations opérationnelles et des demandes de rançon. Ces exemples soulignent l’importance de protéger les systèmes MFT contre de telles cybermenaces.

L’avenir prévoit une intensification des attaques ciblant les systèmes MFT. L’appât du gain et le potentiel de perturbation opérationnelle vont probablement augmenter la fréquence de ces attaques. Les vulnérabilités inhérentes à l’architecture complexe des MFT, surtout lorsqu’elles sont intégrées dans des réseaux d’entreprise étendus, offrent des opportunités d’exploitation aux cyberadversaires toujours plus compétents. Ainsi, les vulnérabilités des systèmes MFT pourraient devenir un vecteur de menace plus important.

La tendance actuelle indique une augmentation des risques de cyberattaques contre les systèmes MFT, menaçant la protection des données et augmentant le potentiel d’extorsion financière. Les incidents survenus en 2023 soulignent les vulnérabilités des systèmes MFT et l’importance de renforcer les mesures de cybersécurité pour protéger ces canaux critiques de transfert de données.

Il est essentiel pour les organisations d’examiner leurs systèmes MFT pour y détecter et corriger les failles de sécurité. L’adoption de solutions robustes de prévention des pertes de données (DLP), le cryptage des données sensibles, et la promotion d’une culture de sensibilisation à la cybersécurité sont des étapes clés. Ces mesures renforceront la sécurité des MFT face aux cybermenaces croissantes, essentielles pour la protection des données et la résilience opérationnelle des organisations dans un environnement de cybermenaces en constante évolution.

Les événements de 2023 sont un avertissement pour les organisations de renforcer la cybersécurité des systèmes MFT. Face à des cybermenaces de plus en plus sophistiquées, il est crucial de garantir l’intégrité et la sécurité des systèmes MFT pour contrer les menaces. Les prédictions de 2023 servent de guide pour les actions futures, et il sera intéressant de voir quelles menaces se concrétiseront et lesquelles seront évitées.

Plus d’information:
https://securelist.com/kaspersky-security-bulletin-apt-predictions-2024/111048/
https://www.kaspersky.fr/about/team/great
https://fr.wikipedia.org/wiki/Piratage_du_syst%C3%A8me_%C3%A9nerg%C3%A9tique_ukrainien
https://www.bitdefender.com/blog/hotforsecurity/the-emergence-of-the-fivesys-rootkit-a-malicious-driver-signed-by-microsoft/
https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/
https://www.bleepingcomputer.com/news/security/okta-october-data-breach-affects-all-customer-support-system-users/

Page 1 of 10

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén