learn.hack.repeat

Catégorie : Malware Page 1 of 6

Prévisions des menaces pour 2024

Alors que l’année se termine, nous entrons dans un moment de réflexion et de prospective. C’est le temps des bilans, une période où nous examinons en détail les événements de l’année qui s’achève, tout en tournant notre regard vers l’avenir. Cette transition marque non seulement la fin d’un chapitre, mais aussi le début d’un nouveau, rempli de possibilités et d’anticipations. C’est dans cet esprit que nous nous préparons à accueillir la nouvelle année, armés de leçons apprises et de prévisions éclairées pour les mois à venir.

Source: pexels.com

L’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky a surveillé plusieurs groupes de menaces persistantes avancées (APT), analysant les tendances de l’année écoulée pour voir lesquelles des prédictions pour 2023 se sont réalisées et essayer de prédire ce qui se passera en 2024. C’est une façon d’essayer d’anticiper les développements futurs pour garder une longueur d’avance sur l’évolution du paysage des menaces.

Retour sur les prévisions de l’année dernière

  1. L’essor des attaques destructrices : le logiciel malveillant CryWiper. Verdict : partiellement atteint.
  2. Les serveurs de messagerie deviennent des cibles prioritaires. Verdict : prédiction réalisée.
  3. Le prochain WannaCry. Verdict : prédiction non réalisée.
  4. Les APT se concentrent sur les technologies, les producteurs et les opérateurs de satellites. Verdict : prédiction non réalisée.
  5. Le piratage et les fuites de données sont la nouvelle tendance noire (et sinistre). Verdict : prédiction réalisée.
  6. Davantage de groupes APT quitteront Cobalt Strike pour d’autres alternatives. Verdict : la prédiction ne s’est pas réalisée.
  7. Logiciels malveillants transmis par SIGINT. Verdict : prédiction réalisée.
  8. Piratage de drones. Verdict : prédiction non réalisée.

Horizon 2024 : Tendances et prédictions dans l’univers des APT

En s’appuyant sur une analyse approfondie des tendances en 2023, explorons les contours et les possibles évolutions du paysage des menaces persistantes avancées pour l’année prochaine.

Source: Kaspersky

Innovation en matière d’exploits sur mobiles et appareils connectés

L’année passée, l’opération Triangulation a révélé une réalité troublante : les appareils iOS, cibles d’une campagne d’espionnage sophistiquée et discrète. Cette enquête a mis en lumière cinq vulnérabilités majeures affectant non seulement les smartphones et tablettes, mais également les ordinateurs portables et même les dispositifs domestiques comme l’Apple TV et l’Apple Watch. Ce développement suggère une tendance à l’expansion des attaques avancées vers une gamme plus large d’appareils grand public et de technologies domestiques intelligentes. Et il n’y a pas que les produits iOS qui sont menacés ; d’autres appareils et systèmes d’exploitation pourraient également se retrouver dans le viseur des cybercriminels.

Les cyberattaquants redoublent de créativité en ciblant désormais des dispositifs variés comme les caméras domestiques intelligentes et les systèmes de voitures connectées. Ces appareils, qu’ils soient modernes ou plus anciens, présentent souvent des vulnérabilités dues à des failles de sécurité, des configurations inadéquates, ou des logiciels non mis à jour. Cette combinaison de faiblesses les rend particulièrement attrayants pour les pirates informatiques, qui profitent de ces lacunes pour mener des attaques simples mais efficaces.

Cette nouvelle vague d’exploits se caractérise par leur diffusion « silencieuse », à l’instar de l’opération « Triangulation » où les exploits se transmettaient discrètement via iMessage, s’activant sans aucune interaction de l’utilisateur. Dans l’année à venir, nous pourrions assister à l’émergence de nouvelles méthodes de diffusion, telles que les attaques « zéro clic » via des messageries populaires multiplateformes, ou les attaques « un clic » où l’ouverture de liens malveillants déclenche des exploits. Moins courante mais tout aussi redoutable, la méthode d’interception du trafic réseau, par exemple via des réseaux Wi-Fi, pourrait également gagner en popularité.

Pour contrer ces menaces sophistiquées, la protection des appareils personnels et professionnels est cruciale. L’utilisation de solutions comme les plateformes XDR, SIEM, et MDM, en complément des antivirus traditionnels, est essentielle. Ces outils permettent une centralisation de la collecte des données, une analyse accélérée, et une corrélation efficace des événements de sécurité provenant de diverses sources, facilitant ainsi une réponse rapide et coordonnée face à des incidents complexes.

L’émergence de nouveaux réseaux de zombies : Une menace croissante

Les logiciels et appareils utilisés tant dans les sphères professionnelles que personnelles restent vulnérables, ouvrant la porte à de graves menaces. Un nombre record de vulnérabilités, dépassant les 25 000, a été identifié en 2022, selon Statista. Cette réalité, couplée à des ressources souvent insuffisantes pour une analyse et une correction rapides des vulnérabilités, alimente les craintes d’une prolifération de réseaux de zombies à grande échelle. Ces réseaux, construits de manière furtive, pourraient lancer des attaques ciblées et redoutables.

Le botnetting consiste à installer furtivement des logiciels malveillants sur une multitude d’appareils à l’insu de leurs propriétaires. Les groupes APT peuvent trouver cette tactique intrigante pour plusieurs raisons. D’une part, elle permet aux acteurs de la menace de dissimuler la nature ciblée de leurs attaques derrière des attaques apparemment généralisées, ce qui rend difficile pour les défenseurs de déterminer l’identité et les motivations des attaquants. En outre, les réseaux de zombies basés sur des appareils ou des logiciels grand public, ou ceux appartenant à des organisations légitimes, masquent commodément la véritable infrastructure des attaquants. Ils peuvent servir de serveurs proxy, de centres C2 (commande et contrôle) intermédiaires et, en cas de mauvaise configuration du réseau, de points d’entrée potentiels dans les organisations.

Historiquement, les réseaux de zombies ont joué un rôle clé dans diverses attaques. Par exemple, un botnet de dizaines de milliers de routeurs domestiques a été exploité pour diriger du trafic malveillant vers d’autres réseaux. Plus récemment, avec l’essor du télétravail, des campagnes APT ont ciblé des travailleurs à distance en infectant des routeurs de petites entreprises ou de bureaux à domicile. Ces attaques exploitent souvent des vulnérabilités non corrigées, rendant les appareils et les logiciels des cibles faciles. Avec la récente révélation de nombreuses vulnérabilités, il est probable que de telles stratégies se multiplient.

Outre les groupes APT, les cybercriminels peuvent aussi tirer parti des réseaux de zombies. La nature cachée de ces attaques complique leur détection, offrant aux assaillants de multiples opportunités pour s’infiltrer discrètement et s’implanter durablement au sein des infrastructures ciblées.

La résurgence des Rootkits de noyau : Défis et contournements

Malgré l’introduction de mesures de sécurité avancées par Microsoft, comme KMCS, PatchGuard, HVCI, et l’architecture Secure Kernel, les rootkits de noyau refont surface. Autrefois courants, ces attaques classiques avaient diminué grâce à ces protections. Cependant, récemment, des acteurs APT et des groupes cybercriminels ont réussi à exécuter leur code au niveau du noyau, contournant ces mécanismes. Des abus du Programme de compatibilité matérielle de Windows et des rootkits comme Netfilter et FiveSys ont été identifiés, exploités pour des activités malveillantes telles que le vol d’informations d’identification et le détournement d’achats dans les jeux.

Les tendances futures indiquent une intensification des méthodes utilisées par les acteurs de la menace. Trois vecteurs principaux sont prévus pour renforcer leurs capacités :

  1. Le développement du marché noir des certificats de véhicules électriques et des certificats de signature de code volés.
  2. Une augmentation des abus de comptes de développeurs pour signer des codes malveillants via des services de signature de code de Microsoft, notamment WHCP.
  3. La croissance continue du concept de « Bring Your Own Vulnerable Driver » (BYOVD), devenant un élément standard dans l’arsenal des techniques, tactiques et procédures (TTP) des cybermenaces actuelles.

Escalade des cyberattaques soutenues par les états en 2024

2023 a été témoin d’une intensification des conflits mondiaux, atteignant un niveau de violence inédit depuis la Seconde Guerre mondiale, d’après l’ONU. Ces conflits intègrent systématiquement des composantes cybernétiques. Les attaques APT telles que BlackEnergy en Ukraine, illustrant la cyberguerre moderne, ont eu un impact dévastateur. Le spectre des acteurs de cyberguerre s’étend des campagnes APT dans des zones de conflit à des attaques ciblées dans des tensions géopolitiques récentes, impliquant des attaques sophistiquées contre des infrastructures critiques et l’espionnage cybernétique. Cette tendance à l’implication étatique dans le cyberespace ne fera que croître.

Dans l’avenir, on s’attend à une recrudescence des cyberattaques parrainées par des États, en parallèle avec l’intensification des tensions géopolitiques. Ces attaques cibleront non seulement les infrastructures critiques, les secteurs gouvernementaux et les entreprises de défense, mais aussi les médias, utilisés pour la contre-propagande ou la désinformation. Les pirates viseront le vol de données, la destruction d’infrastructures informatiques, et l’espionnage à long terme. On prévoit également une augmentation des campagnes de cyber-sabotage, avec des attaques ciblées contre des individus ou des groupes, impliquant la compromission de dispositifs personnels, l’utilisation de drones et de logiciels malveillants.

Hacktivisme : Une composante clé des conflits géopolitiques modernes

L’ère actuelle des conflits géopolitiques a intégré l’hacktivisme comme un élément incontournable de la cyberguerre. Les hacktivistes impactent la cybersécurité par des cyberattaques directes, telles que les attaques DDoS, le vol ou la destruction de données, et la défiguration de sites web. Ils peuvent également propager de fausses allégations de piratage, engendrant des enquêtes et une fatigue d’alerte inutiles pour les analystes SOC et les experts en cybersécurité. Les deepfakes, outils de désinformation, sont fréquemment utilisés par les hacktivistes, tout comme d’autres méthodes pour influencer l’opinion publique ou perturber les services. Dans le contexte des tensions géopolitiques actuelles, les activités hacktivistes destructrices et les campagnes de désinformation sont en augmentation.

L’essor des attaques contre la chaîne d’approvisionnement en tant que service

L’utilisation de la chaîne d’approvisionnement comme vecteur d’attaque est en hausse, avec des attaquants ciblant les fournisseurs, intégrateurs ou développeurs pour atteindre des organisations plus grandes. Les petites et moyennes entreprises, souvent moins protégées contre les attaques APT, deviennent des points d’entrée pour les pirates. Des incidents comme les brèches d’Okta, touchant des milliers de clients, illustrent cette tendance. Avec la diversification des motivations des attaquants, de la recherche de profit au cyber-espionnage, les attaques deviennent plus complexes. On observe des cas où des portes dérobées coexistent sur les mêmes machines, indiquant des attaques ciblées, notamment dans le secteur de la crypto-monnaie.

En 2024, les attaques contre la chaîne d’approvisionnement pourraient prendre de nouvelles formes, avec l’utilisation de logiciels libres pour viser des développeurs spécifiques et l’émergence d’un marché parallèle offrant des paquets d’accès à divers fournisseurs. Ces évolutions permettraient aux attaquants de sélectionner soigneusement leurs cibles pour des attaques à grande échelle, augmentant potentiellement l’efficacité et la portée des attaques contre la chaîne d’approvisionnement.

L’essor du Spear-Phishing avec l’IA générative

Avec la démocratisation des chatbots et outils d’IA générative, les acteurs malveillants développent désormais leurs propres chatbots ‘black hat’ en s’appuyant sur des modèles légitimes. Des modèles comme WormGPT, prétendument basés sur GPTJ open source, sont spécifiquement conçus pour un usage malveillant. D’autres modèles, tels que xxxGPT, WolfGPT, FraudGPT, DarkBERT, sans restrictions de contenu, offrent de nouvelles possibilités pour les attaquants exploitant ces outils dans des campagnes de phishing sophistiquées.

Source: valimail.com

L’avènement des outils d’IA générative va transformer le spear-phishing, permettant une production en masse de messages d’hameçonnage personnalisés. Ces outils offrent la capacité non seulement de rédiger rapidement des messages convaincants, mais aussi de générer des documents de phishing et d’imiter le style de communication de personnes spécifiques. Cette année, on s’attend à ce que les attaquants automatisent l’espionnage en collectant des données en ligne pour créer des messages textuels ou audio personnalisés. La sensibilisation à la cybersécurité et les mesures préventives, telles que la veille sur les menaces, la surveillance et la détection proactive, deviennent donc encore plus cruciales.

Montée des services de piratage à la demande

Les groupes offrant des services de piratage contractuel deviennent plus nombreux. Ces cyber-mercenaires, spécialisés dans l’infiltration des systèmes et le vol de données, ciblent une clientèle variée comprenant des enquêteurs privés, des cabinets d’avocats, des concurrents commerciaux et des individus sans compétences techniques. Ces groupes font la publicité de leurs services et sélectionnent activement leurs cibles.

GReAT a suivi DeathStalker, un groupe qui cible spécifiquement les cabinets d’avocats et les entreprises financières, fournissant des services de piratage et agissant comme courtier en informations. Ils utilisent des techniques telles que des courriels d’hameçonnage avec des pièces jointes malveillantes pour contrôler les appareils des victimes et s’emparer de données sensibles.

Ces groupes de pirates, organisés hiérarchiquement avec des chefs et des équipes, sont actifs sur les plateformes du dark web. Ils emploient des techniques variées, comme les logiciels malveillants, le phishing et l’ingénierie sociale, tout en utilisant des communications anonymes et des VPN pour éviter la détection. Leur impact va de la violation de données à des atteintes à la réputation, et leurs services s’étendent jusqu’à l’espionnage commercial, incluant la collecte d’informations sur les concurrents, les opérations de fusion et acquisition, les plans d’expansion, et les données financières et clients.

Cette tendance des services de piratage à la demande devrait s’intensifier mondialement dans l’année à venir. Des groupes APT pourraient élargir leurs activités pour répondre à la demande croissante, cherchant à générer des revenus pour financer leurs opérations et rémunérer leurs membres.

MFT Systems : Nouvel Épicentre des Cybermenaces

Les systèmes de gestion du transfert de fichiers (MFT) sont devenus essentiels mais vulnérables dans le paysage numérique actuel. Ils facilitent l’échange de données sensibles mais attirent l’attention des cyberattaquants, notamment pour des attaques de ransomware. La sécurité accrue autour des MFT est cruciale pour protéger les informations importantes des organisations contre ces menaces croissantes.

Les attaques contre les systèmes MFT comme MOVEit et GoAnywhere en 2023 ont révélé des vulnérabilités critiques. Des incidents tels que la violation de MOVEit par le gang de ransomware Cl0p et l’exploitation de GoAnywhere de Fortra ont montré comment une seule faille peut conduire à des fuites de données, des perturbations opérationnelles et des demandes de rançon. Ces exemples soulignent l’importance de protéger les systèmes MFT contre de telles cybermenaces.

L’avenir prévoit une intensification des attaques ciblant les systèmes MFT. L’appât du gain et le potentiel de perturbation opérationnelle vont probablement augmenter la fréquence de ces attaques. Les vulnérabilités inhérentes à l’architecture complexe des MFT, surtout lorsqu’elles sont intégrées dans des réseaux d’entreprise étendus, offrent des opportunités d’exploitation aux cyberadversaires toujours plus compétents. Ainsi, les vulnérabilités des systèmes MFT pourraient devenir un vecteur de menace plus important.

La tendance actuelle indique une augmentation des risques de cyberattaques contre les systèmes MFT, menaçant la protection des données et augmentant le potentiel d’extorsion financière. Les incidents survenus en 2023 soulignent les vulnérabilités des systèmes MFT et l’importance de renforcer les mesures de cybersécurité pour protéger ces canaux critiques de transfert de données.

Il est essentiel pour les organisations d’examiner leurs systèmes MFT pour y détecter et corriger les failles de sécurité. L’adoption de solutions robustes de prévention des pertes de données (DLP), le cryptage des données sensibles, et la promotion d’une culture de sensibilisation à la cybersécurité sont des étapes clés. Ces mesures renforceront la sécurité des MFT face aux cybermenaces croissantes, essentielles pour la protection des données et la résilience opérationnelle des organisations dans un environnement de cybermenaces en constante évolution.

Les événements de 2023 sont un avertissement pour les organisations de renforcer la cybersécurité des systèmes MFT. Face à des cybermenaces de plus en plus sophistiquées, il est crucial de garantir l’intégrité et la sécurité des systèmes MFT pour contrer les menaces. Les prédictions de 2023 servent de guide pour les actions futures, et il sera intéressant de voir quelles menaces se concrétiseront et lesquelles seront évitées.

Plus d’information:
https://securelist.com/kaspersky-security-bulletin-apt-predictions-2024/111048/
https://www.kaspersky.fr/about/team/great
https://fr.wikipedia.org/wiki/Piratage_du_syst%C3%A8me_%C3%A9nerg%C3%A9tique_ukrainien
https://www.bitdefender.com/blog/hotforsecurity/the-emergence-of-the-fivesys-rootkit-a-malicious-driver-signed-by-microsoft/
https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/
https://www.bleepingcomputer.com/news/security/okta-october-data-breach-affects-all-customer-support-system-users/

Intelligence artificielle, ChatGPT et cybersécurité

L’intelligence artificielle et des outils comme ChatGPT révolutionnent le domaine de la cybersécurité. Cet article s’intéresse à la dualité de l’IA : un potentiel immense pour renforcer nos défenses numériques, tout en présentant de nouveaux défis et opportunités pour les acteurs malveillants. Nous plongerons dans l’impact de ces technologies avancées et leur rôle dans le paysage changeant de la sécurité informatique.

Source: pexels.com

ChatGPT dans la recherche sur la sécurité

Lorsqu’on lui pose la question, l’outil lui-même nous informe des nombreuses façons dont il peut être utile aux services de renseignement sur les menaces, qui peuvent être résumées comme suit :

  • Fournir des informations et servir d’outil de recherche avancée.
  • Favoriser l’automatisation des tâches, en réduisant le temps consacré aux tâches plus mécaniques et nécessitant une analyse moins détaillée.
Capture d’écran d’une conversation avec ChatGPT sur le sujet de l’article.

L’intelligence artificielle est devenue un pilier dans le domaine de la cybersécurité, facilitant la classification automatique des contenus en ligne. Des sociétés comme Microsoft capitalisent sur cette technologie, intégrant des outils d’IA dans des services tels que Bing et Azure OpenAI, et envisagent son application dans Microsoft Sentinel pour améliorer la gestion des incidents de sécurité. Parallèlement, l’IA aide à formuler des règles sophistiquées pour la détection d’activités suspectes, à l’instar des règles YARA. De son côté, Google prévoit d’introduire Bard, son propre outil d’IA, dans son moteur de recherche prochainement.

ChatGPT dans la cybercriminalité

De l’autre côté de la cybersécurité, on trouve également de multiples applications d’outils tels que ChatGPT, même s’ils sont initialement conçus pour empêcher leur utilisation à des fins illicites.

Au début du mois de janvier 2023, les chercheurs de CheckPoint ont signalé l’émergence de messages sur des forums clandestins discutant de méthodes pour contourner les restrictions du ChatGPT afin de créer des logiciels malveillants, des outils de cryptage ou des plateformes commerciales sur le deep web. En ce qui concerne la création de logiciels malveillants, les chercheurs qui ont tenté de réaliser des POC sont parvenus à la même conclusion :

ChatGPT est capable de détecter si une requête demande directement la création d’un code malveillant

Toutefois, en reformulant la demande de manière plus créative, il est possible de contourner ces défenses pour créer des logiciels malveillants polymorphes ou des keyloggers avec quelques nuances.

Le code généré n’est ni parfait ni complet et sera toujours basé sur le matériel sur lequel l’intelligence artificielle a été entraînée, mais il ouvre la porte à la génération de modèles capables de développer ce type de logiciels malveillants.

Réponse de ChatGPT sur la création de logiciels malveillants par l’IA

Une autre des utilisations illicites possibles de ChatGPT est la fraude ou l’ingénierie sociale. Parmi les contenus que ces outils peuvent générer, on trouve des courriels de phishing conçus pour inciter les victimes à télécharger des fichiers infectés ou à accéder à des liens qui peuvent compromettre leurs données personnelles, leurs informations bancaires, etc. Sans que l’auteur de la campagne n’ait besoin de maîtriser les langues utilisées dans la campagne, ni d’écrire manuellement l’une d’entre elles, en générant automatiquement de nouveaux thèmes sur lesquels baser la fraude.

De manière générale, que l’outil soit capable de fournir un code ou un contenu complet et prêt à l’emploi ou non, ce qui est certain, c’est que l’accessibilité de programmes tels que ChatGPT peut réduire la sophistication nécessaire pour mener des attaques qui, jusqu’à présent, nécessitaient des connaissances techniques plus étendues ou des compétences plus développées.

Ainsi, les acteurs de la menace qui se limitaient auparavant à lancer des attaques par déni de service ont pu passer au développement de leurs propres logiciels malveillants et à leur diffusion dans le cadre de campagnes d’hameçonnage par courrier électronique.

Les nouveaux modèles d’IA tels que ChatGPT, comme toutes les autres avancées technologiques, peuvent être utilisés aussi bien pour soutenir le progrès et améliorer la sécurité que pour l’attaquer.

Pour l’instant, les cas réels d’utilisation de ce type d’outils pour commettre des délits dans le cyberespace sont anecdotiques, mais ils nous permettent d’imaginer le paysage possible de la cybersécurité dans les années à venir.

La mise à jour constante des connaissances est une fois de plus essentielle pour les chercheurs et les professionnels dans le domaine de la technologie.

Le grand danger de l’intelligence artificielle est que les gens en viennent trop vite à la conclusion qu’ils la comprennent.

Eliezer Yudkowsky

Plus d’information:
https://fr.wikipedia.org/wiki/Intelligence_artificielle
https://azure.microsoft.com/en-us/products/ai-services/openai-service
https://www.cisa.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_YARA_S508C.pdf
https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/
https://www.cyberark.com/resources/threat-research-blog/chatting-our-way-into-creating-a-polymorphic-malware
https://www.deepinstinct.com/blog/chatgpt-and-malware-making-your-malicious-wishes-come-true

Succès dans le démantèlement du groupe Phishing-as-a-Service BulletProofLink

Les autorités malaisiennes ont récemment annoncé un succès significatif dans la lutte contre la cybercriminalité : le démantèlement du groupe BulletProofLink, spécialisé dans le Phishing-as-a-Service (PhaaS).

D’après les informations fournies par la Police Royale de Malaisie, cette opération a été réalisée le 6 novembre 2023 en collaboration avec la Police Fédérale Australienne et le Bureau Fédéral d’Investigations des États-Unis (FBI). L’intervention était basée sur des renseignements indiquant que les opérateurs de cette plateforme criminelle étaient basés en Malaisie.

Au cours de cette opération, huit individus, âgés de 29 à 56 ans, ont été arrêtés, y compris le cerveau de cette organisation criminelle. Ces arrestations ont eu lieu dans diverses régions telles que Sabah, Selangor, Perak et Kuala Lumpur, comme rapporté par le New Straits Times.

Les autorités ont également saisi des serveurs, des ordinateurs, des bijoux, des véhicules et des portefeuilles de cryptomonnaies contenant environ 213 000 dollars.

BulletProofLink, également connu sous le nom de BulletProftLink, est réputé pour fournir des modèles de phishing prêts à l’emploi via des abonnements. Ces modèles permettent à d’autres acteurs malveillants de mener des campagnes de collecte de données en imitant les pages de connexion de services populaires tels qu’American Express, Bank of America, DHL, Microsoft et Naver.

En septembre 2021, une analyse de Microsoft a révélé que BulletProofLink pratiquait ce qu’on appelle le « vol double », en envoyant les informations d’identification volées à la fois à leurs clients et aux développeurs principaux, ouvrant ainsi de nouvelles voies de monétisation.

La semaine dernière, la société de cybersécurité Intel 471 a rapporté que BulletProftLink était associé à l’acteur de menace AnthraxBP, également connu sous les pseudonymes TheGreenMY et AnthraxLinkers. Ce dernier maintenait un site web actif proposant des services de phishing et opérait sur divers forums clandestins et canaux Telegram sous plusieurs identités.

L’image représente une capture d’écran des modèles de pages d’hameçonnage disponibles à l’achat sur le site Web BulletProftLink à la date du 21 avril 2023. Source: intel471.com

BulletProftLink serait actif depuis au moins 2015, avec une boutique en ligne ayant plus de 8 138 clients actifs et offrant 327 modèles de pages de phishing jusqu’en avril 2023.

Une caractéristique notable de BulletProftLink est son intégration d’Evilginx2, facilitant les attaques de type adversary-in-the-middle (AiTM), permettant aux acteurs malveillants de dérober des cookies de session et de contourner les protections d’authentification multifactorielle.

Selon Intel 471, les schémas PhaaS comme BulletProftLink alimentent davantage d’attaques, car les identifiants volés sont l’une des principales méthodes par lesquelles les pirates malveillants accèdent aux organisations.

Trend Micro souligne que les acteurs de menaces adaptent constamment leurs tactiques en réponse aux interruptions et adoptent des approches plus sophistiquées. On a observé des attaques AiTM utilisant des liens intermédiaires vers des documents hébergés sur des solutions d’échange de fichiers, comme DRACOON, contenant des URL vers des infrastructures contrôlées par les adversaires.

Ces méthodes innovantes peuvent contourner les mesures de sécurité des emails, car le lien initial semble provenir d’une source légitime et aucun fichier n’est transmis au terminal de la victime. Le document hébergé contenant le lien peut être consulté via le serveur d’échange de fichiers dans le navigateur.

Trend Micro

Plus d’information:
https://intel471.com/blog/malaysian-police-disrupt-the-phisherman
https://www.trendmicro.com/en_us/research/23/k/threat-actors-leverage-file-sharing-service-and-reverse-proxies.html
https://github.com/kgretzky/evilginx2
https://www.rmp.gov.my/news-detail/2023/11/08/video-pilihan-op-khas-bulletproftlink-hasil-rampasan
https://www.nst.com.my/news/crime-courts/2023/11/976212/igp-police-arrest-eight-people-international-syndicate-which#google_vignette

Aperçu des attaques DDoS en 2022

Alors que nous approchons de la fin de l’année, nous pouvons observer la trajectoire des cyberattaques par déni de service distribué. Comme on pouvait s’y attendre, les attaques DDoS sont de plus en plus fréquentes et de plus en plus importantes. Au troisième trimestre 2022, Cloudflare a automatiquement détecté et atténué plusieurs attaques de plus de 1 Tb/s.

Source: TechGenix

La plus importante d’entre elles était une attaque DDoS de 2,5 Tb/s. Il a été lancé par une variante du botnet Mirai et visait un serveur Minecraft appelé Wynncraft. Du point de vue du débit binaire, il s’agit de la plus grande attaque à laquelle Cloudflare ait jamais été confronté.

Source: Cloudflare

L’attaque consistait en une inondation UDP (User Datagram Protocol) et TCP (Transmission Control Protocol). Cependant, Wynncraft, le serveur de jeux vidéo multijoueurs où des milliers d’utilisateurs peuvent jouer en même temps, n’a pas remarqué l’attaque. Cloudflare l’a divulgué avant que ses effets ne se fassent sentir, et le service n’a pas été interrompu.

Tendances actuelles relevées par CloudFlare au cours du dernier trimestre

  • Une augmentation du nombre d’attaques DDoS par rapport aux chiffres de l’année dernière.

Les attaques volumétriques ont augmenté en durée, augmentant par conséquent la taille du trafic envoyé aux victimes, dont une grande partie est due au botnet Mirai et à ses variantes. Plus précisément, les attaques DDoS de niveau 3/4 lancées par les botnets Mirai ont augmenté de 405 % par rapport au trimestre précédent.

  • Géographiquement, les attaques contre les zones taïwanaises et japonaises ont augmenté.

Les attaques DDoS HTTP contre Taïwan ont augmenté de 200 % par rapport au trimestre précédent et celles contre le Japon de 105 % au cours de la même période. À Taïwan, 50 % des victimes étaient des médias de la presse et des médias en ligne. Au Japon, les attaques contre les infrastructures gouvernementales ont également été importantes (11 %).

  • Le nombre d’attaques DDoS HTTP (attaques de la couche application) a augmenté de 111 % par rapport à l’année dernière, mais a diminué de 10 % par rapport au trimestre précédent de 2022.
  • Le nombre d’attaques DDoS au niveau de la couche réseau (couches 3/4) a augmenté de 97 % par rapport à l’année dernière et de 24 % par rapport au trimestre précédent. Le secteur qui a subi le plus d’attaques de la couche réseau est celui des jeux et paris. Les cyberattaques dans le secteur des jeux ont augmenté de 167 % l’année dernière, selon le fournisseur de services de cybersécurité Akamai.
  • 15% de toutes les attaques DDoS enregistrées par CloudFlare au troisième trimestre étaient accompagnées d’une menace ou d’une demande de rançon. Cela représente une augmentation de 15 % en glissement trimestriel des attaques DDoS par ransomware signalées et une augmentation de 67 % par rapport à la même période de l’année dernière.

Plus d’information :
https://blog.cloudflare.com/fr-fr/cloudflare-ddos-threat-report-2022-q3-fr-fr/

Du code malveillant dans plus de 1000 images Docker

La société Sysdig a découvert que plus d’un millier d’images de conteneurs hébergées sur le populaire dépôt Docker Hub contiennent du code malveillant, ce qui présente un grand risque de subir une cyberattaque. Cette information a été rendue publique par un rapport de la même société, où l’on indique que les images contiendraient des actifs malveillants de différents types tels que des cryptomineurs, des portes dérobées et des détourneurs de DNS.

Source: DockerHub

Les images de conteneurs sont des « modèles » avec lesquels nous pouvons déployer des applications rapidement et facilement, sans devoir repartir de zéro puisque certaines fonctionnalités sont réutilisées. Les images sont téléchargées à partir de Docker Hub, ce site web permet aux utilisateurs de charger et de télécharger ces images dans sa bibliothèque publique, y compris les images officielles des développeurs de logiciels.

Le projet de bibliothèque Docker examine ces images et vérifie celles qu’il considère comme sûres, mais beaucoup restent non vérifiées. Sysdig a analysé automatiquement 250 000 images Linux non vérifiées et a constaté que 1 652 d’entre elles contenaient des éléments malveillants.

Sysdig a déclaré que ces images contenaient des « clés intégrées » qui permettent à un attaquant d’obtenir un accès après l’installation du conteneur en chargeant la clé publique depuis un serveur distant, ce qui permet au propriétaire de la clé privée correspondante d’ouvrir un shell et d’exécuter des commandes via SSH, ce qui revient à installer une porte dérobée.

Une technique utilisée par les attaquants pour faire télécharger leurs images malveillantes consiste à leur donner un nom presque identique, à quelques variantes près, à celui d’une image populaire et sûre. Ce phénomène, appelé typosquattage, est une stratégie populaire et fructueuse utilisée par les cyberattaquants sur des images compromises ou des versions non officielles d’images populaires et fiables dans l’espoir que les utilisateurs ne le remarquent pas et téléchargent leur version frauduleuse à la place.

Sysdig affirme que cette année, le nombre d’images retirées de la bibliothèque publique en raison de tels incidents a augmenté d’environ 15 %. Ce n’est qu’un indicateur que le problème ne fait que commencer, et il est recommandé de faire particulièrement attention aux images que vous téléchargez et utilisez.

Plus d’information:
https://www.techradar.com/news/over-a-thousand-docker-container-images-found-hiding-malicious-content

Page 1 of 6

Fièrement propulsé par WordPress & Thème par Anders Norén