learn.hack.repeat

Étiquette : Sécurité Page 9 of 27

Alchimist

de

On 19/10/2022

dans Malware, Ransomware, Sécurité

Les chercheurs de Cisco TALOS ont détecté et analysé un outil (prétendument d’origine chinoise) utilisé dans les opérations APT. Il s’agit d’Alchimist, un framework polyvalent capable de générer des charges utiles pour différents systèmes d’exploitation et comprenant un C2 avec des capacités d’administration à distance. Ce qui est intéressant, c’est que tout cela est inclus dans un seul binaire écrit dans le langage de programmation Go.

(Source: Talos)

Alchimist s’inscrit dans la nouvelle vague d’outils issus des langages de programmation modernes, tels que Go ou Rust, déjà mentionnés. Ces langages sont appelés à remplacer le vénérable langage C et son dérivé C++ et commencent donc à attirer les auteurs de logiciels malveillants en raison de leur capacité à générer un code hautement optimisé, facilement portable et exempt de la plupart des bogues de gestion de la mémoire, ainsi que de leur capacité de développement rapide.

En particulier, le fait que tout le développement puisse être condensé en un seul binaire constitue un autre attrait majeur pour les auteurs de logiciels malveillants, leur permettant de distribuer facilement leurs créations via un seul fichier sans avoir à s’appuyer sur des bibliothèques externes. Au prix, toutefois, d’une augmentation de la taille du binaire.

Il est intéressant de noter que tout l’arsenal découvert par les chercheurs de TALOS était téléchargé et accessible sur un serveur web avec un index ouvert auquel on pouvait accéder en entrant simplement son adresse IP.

Plus d’information:
https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html

Un appel vidéo avec des inconnus peut exposer vos données

de

On 18/10/2022

dans Sécurité

Depuis quelque temps, il est courant de voir des vidéos sur des réseaux sociaux tels que TikTok dans lesquelles une personne passe un appel vidéo avec des inconnus sur la plateforme Omegle et celle-ci commence à obtenir des informations sur son lieu de résidence, son nom, etc., laissant l’autre participant surpris.

(Source: leparisien.fr)

Dans la vidéo suivante, nous pouvons voir comment le youtuber Charles Clayton obtient la géolocalisation des adresses IP des personnes jumelées avec lui dans les appels vidéo Omegle au moyen d’une petite automatisation.

(source: youtube.com)

Il existe une multitude de clips et de compilations sur les plateformes YouTube et TikTok, bien que certains soient soupçonnés d’être faux ; la question est : comment font-ils ?

La réponse à cette question est non, du moins en principe. Ils ont simplement partagé leur IP publique par le biais du service Omegle et le reste est basé sur l’utilisation de différents outils pour collecter autant d’informations que possible.

Dans le cas de la vidéo, on utilise Wireshark, plus précisément sa version pour terminal tshark, un outil bien connu dont la fonction principale est de collecter et d’analyser le trafic réseau. Au moyen d’un simple automatisme réalisé avec Python, la sortie fournie par le processus tshark est collectée en temps réel, obtenant entre autres l’adresse IP de l’autre participant. Une fois l’adresse IP filtrée par le protocole de l’appel vidéo et l’IP obtenue, ses données de géolocalisation sont demandées à une API qui renvoie le pays, la région, la ville et le code postal.

(Extrait du code dans lequel le trafic réseau lié à l’appel Omegle est filtré et l’IP est extraite.)

Est-ce que ce serait la fin de l’histoire ? Dans la vidéo, oui, mais la réalité est que la situation peut toujours être poussée plus loin. Dans de bonnes conditions, il pourrait y avoir des cas où des dispositifs IoT, tels que des caméras, exposés via le routeur, pourraient être connectés, avec ou sans informations d’identification par défaut. Tout un répertoire d’idées pour assommer l’autre ou réaliser des actions malveillantes.

C’est un problème connu depuis longtemps et que la plateforme n’a toujours pas réglé. L’application web établit la connexion directement entre les deux participants à l’appel afin que chacun d’eux puisse connaître l’IP publique de l’autre. Une fois ces informations connues, il ne reste plus qu’à utiliser les outils et techniques de l’OSINT (Open Source Intelligence) pour obtenir un maximum d’informations et surprendre ou plutôt effrayer la personne de l’autre côté de l’écran.

Il est recommandé, lors d’interactions avec des inconnus sur l’internet ou de la visite de sites web susceptibles d’exposer nos données, de prendre des mesures pour masquer notre véritable IP. Les moyens les plus courants d’y parvenir sont l’utilisation de TOR, d’un proxy ou d’un VPN.

Plus d’information :
https://www.bitdefender.com/blog/hotforsecurity/curious-about-omegle-heres-how-the-roulette-style-chat-platform-can-threaten-your-online-privacy-and-security/
https://github.com/crclayton/streamer-locator/blob/master/python-wireshark-geolocate.py

Brute Ratel, le petit nouveau!

de

On 17/10/2022

dans Data Leak, Malware, Ransomware, Sécurité

Si nous étions déjà habitués à étudier les techniques employées par les groupes APT dans l’utilisation de l’outil Cobalt-Strike, nous sommes maintenant rejoints par un nouvel acteur : Brute Ratel. Une version craquée de ce logiciel a été mise à la disposition des utilisateurs de divers forums clandestins et de canaux liés à la cybercriminalité.

Brute Ratel est le produit d’une société appelée Dark Vortex. Un outil dont l’objectif est très similaire à celui de Cobalt Strike. Il est utilisé pour coordonner les actions post-exploitation lors des exercices de Red Teaming. En d’autres termes, il s’agit d’un cadre d’attaque très professionnel qui vise à agréger les communications de différents nœuds ou machines compromises avec des capacités de furtivité et un profil bas contre les solutions de détection des logiciels malveillants.

Jusqu’à présent, l’outil n’a pas été largement diffusé ou utilisé, mais cela pourrait changer avec la publication de cette version craquée. Comme pour Cobalt Strike, il faut s’attendre à ce que les groupes cybercriminels s’approprient sa fonctionnalité (il est capable de créer des shellcodes qui ne sont pas détectés) et l’adaptent à leurs opérations.

Si les détections de l’utilisation de Cobalt Strike étaient jusqu’à présent indispensables pour indiquer une opération en cours, un nouveau concurrent entre en jeu. Il est possible que, d’ici peu, nous voyions de nombreux autres échantillons de logiciels malveillants utiliser ce nouveau cadre, profitant du fait qu’il n’est pas encore un visage familier dans le voisinage et qu’il peut passer inaperçu.

Plus d’information:
https://bruteratel.com
https://blog.bushidotoken.net/2022/09/brute-ratel-cracked-and-shared-across.html

Toyota frappé par une fuite de près de 300 000 clients

de

On 16/10/2022

dans Data Leak, Sécurité

Toyota a annoncé, après avoir présenté ses excuses sur les médias sociaux, que 296 019 comptes de messagerie et diverses informations d’identification de clients pourraient avoir été exposés à la suite d’une cyberattaque.

Dans le détail, il a été précisé que les clients utilisant T-Connect, un service télématique utilisé dans les véhicules pour les connecter au réseau, ont été victimes d’une violation du système par des attaquants.

Selon l’enquête, les clients concernés sont d’abord ceux qui utilisent le service depuis juillet 2017, un tiers a pu accéder à une partie du code source de l’entreprise sur GitHub, Toyota n’a pas divulgué le nom de l’acteur à l’époque.

« Il a été découvert que le code source publié contenait une clé d’accès au serveur de données et, en l’utilisant, il était possible d’accéder à l’adresse électronique et au numéro de gestion du client, qui sont stockés sur le serveur de données. »

Déclaration de Toyota

À la suite de ces événements, les administrateurs du site Web ont modifié le code source, le rendant privé sur GitHub. Toyota a changé le mot de passe pour accéder au serveur de données le 17 septembre, et jusqu’à présent aucun dommage secondaire n’a été confirmé.

La société envoie actuellement une notification à l’adresse électronique enregistrée de tout client dont l’adresse électronique ou le numéro de gestion de la clientèle a pu être divulgué.

L’explication de Toyota est que le cyberincident a été causé par une mauvaise manipulation du code source par le contractant chargé du développement.

Toyota a conclu par la déclaration suivante :

« À l’heure actuelle, aucune utilisation non autorisée d’informations personnelles liée à cette affaire n’a été confirmée, mais il est possible que des courriels non désirés, tels que le phishing ou l’hameçonnage, soient envoyés en utilisant les adresses électroniques. »

Plus d’information :
https://infotechlead.com/security/toyota-reveals-cyber-attack-leaked-300000-customers-info-74984
https://www.news.com.au/technology/online/security/hack-exposes-thousands-of-toyota-owners-personal-information/news-story/8484b1dba596c461b40e07805a5d3082

Le botnet Mirai attaque le serveur Minecraft de Wynncraft avec une attaque DDoS de 2,5 TBps.

de

On 15/10/2022

dans Sécurité

L’entreprise d’infrastructure et de sécurité web Cloudflare a révélé cette semaine avoir stoppé une attaque par déni de service distribué (DDoS) de 2,5TBps lancée par le botnet Mirai.

Le chercheur Omer Yoachimik a déclaré que l’attaque DDoS visait le serveur Minecraft Wynncraft. La totalité de l’attaque de 2,5 To/s a duré environ 2 minutes, le pic de l’attaque de 26 millions de rps n’ayant duré que 15 secondes. Il s’agit de la plus grande attaque que Cloudflare ait connue du point de vue du taux de bits.

Cloudflare a également constaté une augmentation des attaques DDoS de plusieurs térabits, ainsi que des attaques volumétriques de plus longue durée au cours de cette période, sans oublier une augmentation des attaques visant Taïwan et le Japon.

Cette révélation intervient près de 10 mois après que Microsoft a déclaré avoir déjoué une attaque DDoS record de 3,47 TBps en novembre 2021 visant un client Azure anonyme en Asie.

Parmi les autres attaques DDoS de cette ampleur et de ce volume, citons une attaque DDoS de 2,5 TBps absorbée par Google en septembre 2017 et une attaque volumétrique de 2,3 TBps visant Amazon Web Services en février 2020.

En outre, les attaques DDoS par ransomware (où l’acteur de la menace exige une compensation monétaire pour mettre fin à l’attaque) ont connu une augmentation de 15 % au cours du trimestre et de 67 % annuel.

D’autre part, les attaques DDoS HTTP ont touché des entreprises aux États-Unis, en Chine et à Chypre, la majorité des attaques provenant de Chine, d’Inde et des États-Unis.

L’Ukraine, qui a été durement touchée par les attaques DDoS depuis le début de la guerre russo-ukrainienne, a vu ses secteurs du marketing, de l’éducation et du gouvernement être les plus durement touchés au cours du troisième trimestre, contrairement aux attaques visant les entreprises de médias au cours des deux trimestres précédents.

Lire la suite :
https://thehackernews.com/2022/10/mirai-botnet-hits-wynncraft-minecraft.html

Page 9 of 27

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén