learn.hack.repeat

Catégorie : Malware Page 2 of 6

Sécurité ? Mais qui donc va m’attaquer ?

Il y a actuellement une plus grande acceptation de la sécurisation des systèmes informatiques des entreprises et des institutions publiques, surtout après l’irruption du ransomware Wannacry en mai 2017. Toutefois, cette acceptation n’est pas totale, et de nombreuses entreprises et personnes ordinaires hésitent encore à le faire, se posant la même question : « Mais qui donc va m’attaquer ? ».

Source: pexels

Depuis que Wannacry est devenu public en mai 2017, les entreprises ont commencé à être plus conscientes de la nécessité de mettre en place un système sécurisé dans leurs équipements et services, mais il y a encore beaucoup d’institutions qui n’ont pas mis en place ce type de système et, si elles l’ont fait, elles n’ont pas mis en œuvre des politiques de sécurité correctes.

Pourquoi des mesures ne sont-elles pas prises ?

Il existe plusieurs raisons pour lesquelles les entreprises et les particuliers ne prennent pas suffisamment de mesures, mais la plupart d’entre elles peuvent se résumer en un mot : désinformation.

Les médias d’information, pour la plupart, exposent les attaques menées contre les grandes entreprises ou institutions parce que ces nouvelles auront un grand impact et, de plus, il est plus difficile pour une petite entreprise de s’exposer publiquement. En outre, les informations diffusées dans les médias seront biaisées par ce que l’entreprise vous dit.

Une grande entreprise, par exemple, dira à un interlocuteur qu’elle est confrontée à un nouveau ransomware, un virus malveillant, ou que ses données ont été divulguées. Cependant, il ne dira normalement pas comment cela s’est produit ni quel était le vecteur d’entrée de l’attaquant, sauf à une autorité de cybersécurité (NCSC, NIST, CSIRT, etc.).

Phishing et vishing

Il est également possible qu’en raison du type de nouvelles sur les attaques qui apparaissent dans les médias, lorsque nous pensons à une attaque, nous pensons à un logiciel malveillant, à un ransomware, à un virus… Cependant, nous ne pensons généralement pas aux attaques de phishing ou de vishing, qui sont des attaques d’ingénierie sociale.

Le phishing consiste à inciter une personne à partager des informations confidentielles, telles que des mots de passe ou des cartes de crédit, au moyen d’un lien envoyé par courrier électronique ou par SMS, en se faisant passer pour une autre entité.

Le vishing consiste également à inciter l’utilisateur à partager des informations, mais par le biais d’un appel électronique, et ne nécessite pas de connaissances informatiques pour mener à bien cette cyber-attaque.

Ces types d’attaques sont très courants de nos jours, outre le fait qu’ils constituent un important vecteur d’entrée dans le système et qu’avec un peu de sensibilisation, il est possible de les atténuer.

Quels sont les problèmes ?

Il y a deux problèmes majeurs :

  • Si les attaques montrées ne concernent que les grandes entreprises ou institutions, les gens pensent que, s’ils ne font pas partie de ces membres, ils ne seront pas attaqués. Par conséquent, les PME et les personnes ordinaires ne vont pas s’inquiéter de la sécurisation de leurs systèmes.
  • Si, en outre, ces actualités ne comportent pas les vecteurs d’entrée des attaquants, il est très probable qu’elles ne seront pas prises en compte dans les systèmes à sécuriser. Par exemple, un élément clé de la sécurisation d’un système est la sensibilisation, car un logiciel malveillant peut s’introduire par hameçonnage ou des données peuvent être volées par un simple hameçonnage vocal.

Et pourquoi les petites entreprises ne signalent-elles pas publiquement les attaques ?

Lorsqu’une petite entreprise est attaquée, deux choses principales peuvent se produire :

  • Si l’attaque n’est pas puissante et qu’ils y survivent, ils ne s’exposeront pas eux-mêmes dans les médias publics, car ils exposeraient que leurs systèmes ne sont pas sécurisés. Une grande entreprise a son public déjà établi, mais pas une PME, qui perdrait des opportunités de marché et pourrait donc facilement faire faillite.
  • Si l’attaque est puissante et que l’entreprise n’y survit pas, ce sont les responsables de la sécurité qui perdront ces opportunités de marché et peut-être même les chances de travailler à nouveau dans le secteur.

C’est pourquoi il y a tant de désinformation sur le sujet. Cependant, certains éléments, tels que ceux examinés dans cet article, nous permettent de vérifier qu’effectivement, les PME et les particuliers sont également attaqués.

Alors, que nous montrent-ils ?

Outre les méthodes d’information classiques, il existe des sites web et des éléments qui nous présentent ce type d’informations de manière plus détaillée, comme les analyses d’acteurs du marché (IBM, Kaspersky, etc…). En outre, vous pouvez également vous tenir au courant des dernières nouvelles sur ce sujet sur ce blog 🙂 .

Ces sites présentent les dernières vulnérabilités découvertes dans les systèmes informatiques, ainsi que des statistiques sur les attaques les plus courantes et les lieux où ces attaques ont été menées. Par exemple, Kaspersky présente ici des statistiques sur les cybermenaces financières en 2021.

Dans ces statistiques, on peut voir qu’il y a eu pas mal de campagnes de phishing (8,2%), principalement des attaques de phishing visant le commerce électronique. En outre, ces attaques visaient principalement les passerelles de paiement telles que Paypal ou Mastercard, qui sont des moyens de paiement largement utilisés par la population générale.

Il nous montre également les plateformes que les attaquants usurpent le plus, comme Apple, Amazon, eBay ou Alibaba, des sites web sur lesquels nous avons l’habitude d’acheter un grand nombre d’articles en permanence et auxquels, en cas d’attaque, nous devons être préparés pour éviter de nous faire dérober.

Conclusion

Aujourd’hui, de nombreuses personnes ne se soucient pas outre mesure de la protection de leurs données en ligne ou de la fourniture d’un service entièrement sécurisé. Ils pensent, à cause des médias, que rien ne leur arrivera et n’ont pas à l’esprit qu’ils sont les plus facilement attaqués.

Si une personne est capable de vous voler dans la vie réelle sans appartenir à une grande entreprise, pourquoi ne serait-elle pas capable de vous voler sur Internet ? Et si vous mettez des alarmes, des chiens de garde et des systèmes de surveillance sur votre porte d’entrée, pourquoi ne le feriez-vous pas sur vos systèmes virtuels ?

Ou encore plus simple : si vous verrouillez votre porte d’entrée chaque fois que vous sortez, même si vous ne travaillez pas pour une multinationale, pourquoi ne pas le faire sur le web ?

Plus d’information:
https://securelist.lat/financial-сyberthreats-in-2021/96250/
https://go.kaspersky.com/rs/802-IJN-240/images/KSB_statistics_2021_eng.pdf
https://www.ibm.com/reports/data-breach
https://www.ibm.com/reports/threat-intelligence/

De fausses versions de KeePass et SolarWinds distribuant le RAT RomCom ont été détectées

Les développeurs du RAT RomCom mènent une nouvelle campagne d’attaque en se faisant passer pour les marques SolarWinds, KeePass et PDF Technologies.

Source: https://digitalartcollector.com/neon3000/

Les cibles de l’opération sont des victimes en Ukraine et dans certains pays anglophones, comme le Royaume-Uni.

« Compte tenu de la géographie des cibles et de la situation géopolitique actuelle, il est peu probable que les développeurs du RomCom RAT soient motivés par la cybercriminalité », indique l’équipe de renseignement sur les menaces de BlackBerry dans une nouvelle analyse.

Ces dernières découvertes interviennent une semaine après la découverte d’une campagne de spear-phishing. Cela visait des entités ukrainiennes dans le but de déployer un RAT.

L’attaquant a également été observé en train d’utiliser des variantes trojanisées de « Advanced IP Scanner » et « pdfFiller » comme droppers pour distribuer le malware.

Les derniers développements de la campagne ont impliqué la création de pages de phishing avec un nom de domaine similaire, suivie du téléchargement d’un paquet d’installation de logiciels malveillants. Enfin, des e-mails de phishing sont envoyés à la victime.

Une fois que le keepass trojanisé est téléchargé, les fichiers suivants sont trouvés.

Source: Virustotal
  • Setup.exe: Le fichier qui lance le dropper RomCom RAT : PDB C:\Usersersource123.pdb
  • hlpr.dat: Il s’agit d’un dropper RAT de RomCom.

Les attaquants derrière RomCom déploient activement de nouvelles campagnes visant des victimes en Ukraine et des cibles anglophones dans le monde entier. Il est possible que les victimes britanniques soient une nouvelle cible, tandis que l’Ukraine reste le principal centre d’intérêt.

Plus d’information:
https://blogs.blackberry.com/en/2022/11/romcom-spoofing-solarwinds-keepass

Alchimist

Les chercheurs de Cisco TALOS ont détecté et analysé un outil (prétendument d’origine chinoise) utilisé dans les opérations APT. Il s’agit d’Alchimist, un framework polyvalent capable de générer des charges utiles pour différents systèmes d’exploitation et comprenant un C2 avec des capacités d’administration à distance. Ce qui est intéressant, c’est que tout cela est inclus dans un seul binaire écrit dans le langage de programmation Go.

(Source: Talos)

Alchimist s’inscrit dans la nouvelle vague d’outils issus des langages de programmation modernes, tels que Go ou Rust, déjà mentionnés. Ces langages sont appelés à remplacer le vénérable langage C et son dérivé C++ et commencent donc à attirer les auteurs de logiciels malveillants en raison de leur capacité à générer un code hautement optimisé, facilement portable et exempt de la plupart des bogues de gestion de la mémoire, ainsi que de leur capacité de développement rapide.

En particulier, le fait que tout le développement puisse être condensé en un seul binaire constitue un autre attrait majeur pour les auteurs de logiciels malveillants, leur permettant de distribuer facilement leurs créations via un seul fichier sans avoir à s’appuyer sur des bibliothèques externes. Au prix, toutefois, d’une augmentation de la taille du binaire.

Il est intéressant de noter que tout l’arsenal découvert par les chercheurs de TALOS était téléchargé et accessible sur un serveur web avec un index ouvert auquel on pouvait accéder en entrant simplement son adresse IP.

Plus d’information:
https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html

Brute Ratel, le petit nouveau!

Si nous étions déjà habitués à étudier les techniques employées par les groupes APT dans l’utilisation de l’outil Cobalt-Strike, nous sommes maintenant rejoints par un nouvel acteur : Brute Ratel. Une version craquée de ce logiciel a été mise à la disposition des utilisateurs de divers forums clandestins et de canaux liés à la cybercriminalité.

Brute Ratel est le produit d’une société appelée Dark Vortex. Un outil dont l’objectif est très similaire à celui de Cobalt Strike. Il est utilisé pour coordonner les actions post-exploitation lors des exercices de Red Teaming. En d’autres termes, il s’agit d’un cadre d’attaque très professionnel qui vise à agréger les communications de différents nœuds ou machines compromises avec des capacités de furtivité et un profil bas contre les solutions de détection des logiciels malveillants.

Jusqu’à présent, l’outil n’a pas été largement diffusé ou utilisé, mais cela pourrait changer avec la publication de cette version craquée. Comme pour Cobalt Strike, il faut s’attendre à ce que les groupes cybercriminels s’approprient sa fonctionnalité (il est capable de créer des shellcodes qui ne sont pas détectés) et l’adaptent à leurs opérations.

Si les détections de l’utilisation de Cobalt Strike étaient jusqu’à présent indispensables pour indiquer une opération en cours, un nouveau concurrent entre en jeu. Il est possible que, d’ici peu, nous voyions de nombreux autres échantillons de logiciels malveillants utiliser ce nouveau cadre, profitant du fait qu’il n’est pas encore un visage familier dans le voisinage et qu’il peut passer inaperçu.

Plus d’information:
https://bruteratel.com
https://blog.bushidotoken.net/2022/09/brute-ratel-cracked-and-shared-across.html

Le malware More_eggs infiltre les CV

Keegan Keplinger, chercheur en sécurité chez eSentire, a publié un communiqué de presse mettant en garde contre une nouvelle escroquerie dont l’ingénierie sociale est la clé.

Dans leur déclaration, ils indiquent que l’escroquerie vise à cibler les managers et les cadres supérieurs en utilisant de faux CV comme cheval de Troie, dans lesquels se trouve un logiciel malveillant appelé « More_eggs ».

Hackers Abusing LinkedIn's Direct Messaging Service to Deliver More_eggs  Malware | by Digitalmunition | Medium

Qu’est-ce que le logiciel malveillant More_eggs ?

Le malware More_eggs est un cheval de Troie qui permet aux cybercriminels d’atteindre plusieurs objectifs sur un ordinateur infecté. Ils peuvent supprimer des fichiers et des entrées de démarrage, télécharger et exécuter des exécutables portables, modifier les paramètres de Windows et exécuter des commandes shell. Cela se fait en établissant une connexion entre une machine compromise et le centre de commande et de contrôle de l’attaquant.

Un logiciel malveillant caché comme un cheval de Troie

Une nouvelle série d’attaques de phishing véhiculant le logiciel malveillant More_eggs a été observée, frappant les responsables du recrutement des entreprises avec de faux CV comme vecteur d’attaque, un an après que des candidats potentiels à la recherche d’un emploi sur LinkedIn aient été attirés par des offres d’emploi armées.

L’entreprise a identifié quatre incidents, dont trois se sont produits en mars. Les entités concernées comprennent une entreprise aérospatiale, un cabinet comptable, un cabinet d’avocats et une agence pour l’emploi.

Le malware more_eggs est capable de voler furtivement des informations précieuses sur le réseau compromis en utilisant les CV pour atteindre sa cible afin d’échapper à la détection et de lancer le malware.

Les attaquants utilisent un style d’attaque impeccable et entièrement ciblé qui fait appel à des communications tout à fait attendues, telles que des CV, qui correspondent aux attentes d’un responsable du recrutement ou à des offres d’emploi, ciblant des candidats pleins d’espoir qui correspondent à leur titre de poste actuel ou précédent.

Si l’on fait abstraction de l’inversion des rôles dans le modus operandi, on ne sait pas exactement ce que les attaquants recherchaient, puisque les intrusions ont été stoppées avant qu’ils ne puissent mettre leurs plans à exécution.

Ce qui est clair, et qui mérite d’être noté, c’est que More_eggs, une fois déployé, pourrait servir de point de départ à d’autres attaques, comme le vol de données et les ransomwares.

Plus d’information:
https://thehackernews.com/2022/04/hackers-sneak-moreeggs-malware-into.html

Page 2 of 6

Fièrement propulsé par WordPress & Thème par Anders Norén