SEKOIA THREAT INTELLIGENCE WEEKLY REPORT

La page est créée Alain Berger
 
CONTINUER À LIRE
SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
36                                                                                            20 MARS
                                                                                                                   01 MARS 2019 2020

                                                                                                                    TLP WHITE

            SEKOIA
            THREAT INTELLIGENCE
            WEEKLY REPORT
                                                                                                                    TLP WHITE

                                           QUAND LE COVID-19 AIGUISE
                                           L’AVIDITÉ DES APT

Depuis longtemps, les cybercriminels sont passés                  pièce-jointe d’un email présenté comme provenant
maîtres dans l’art d’exploiter la curiosité, la cupi-             du Center for Public Health of the Ministry of Health
dité et la crédulité de leurs victimes en surfant sur             of Ukraine et utilisant le logo de l’Organisation Mon-
l’actualité ou en exploitant la popularité de célé-               diale pour la Santé. L’activation des macros conte-
brités (artistes, sportifs, etc). La peur, l’incertitude          nues dans le fichier Word installent et exécutent une
et le doute sont trois autres piliers qui peuvent être            porte dérobée.
actionnés pour influencer, à des fins malveillantes
ou contraires à l’intérêt d’une victime, le compor-               Cette attaque s’inscrit dans une opération plus
tement d’un utilisateur.                                          vaste - de guerre informationnelle - toujours ciblant
                                                                  l’Ukraine, au cours de laquelle des spams ont mas-
Si la crise pandémique du COVID-19 a rapidement                   sivement été envoyés, annonçant l’arrivée du CO-
été exploitée par des cybercriminels à des fins de                VID-19 sur le territoire. Ces envois de spams ont été
gains financiers ou de vols de données, chose plus                doublés par la diffusion de messages confirmant
rare, elle a aussi été mise à profit par des groupes              cette information sur les réseaux sociaux, provo-
d’attaquants étatiques ou liés à des services gouver-             quant des émeutes et le blocage de certains hôpi-
nementaux.                                                        taux par des habitants pris de panique.

Des groupes russes, chinois, iraniens et pakistanais              Certaines des fausses informations diffusées par
ont lancé des campagnes sur fond de COVID-19.                     email ou sur les réseaux sociaux faisaient état d’éva-
                                                                  cuation de réfugiés contaminés par le virus et trans-
Le mode opératoire russophone Hades, qui aurait                   férés vers les grands centres urbains ukrainiens
un lien avec le groupe APT-28, a envoyé à destina-                depuis les zones de guerre et notamment depuis la
tion de cibles ukrainiennes un document piégé en                  région du Donbass.

       Le THREAT INTELLIGENCE WEEKLY REPORT                    Vous retrouverez en dernière page des détails sur nos offres
       est publié publiquement et gratuitement chaque          de Cyber Threat Intelligence. Ces publications sont réservées à
       semaine pour faciliter la compréhension des cy-         nos clients, adaptées à leur secteur d’activité et à leurs besoins
       bermenaces dans ses dimensions tant techniques          spécifiques. Pour plus d’informations : threatintel@sekoia.fr
       que géopolitiques. Abonnez-vous pour le recevoir
       automatiquement par e-mail.

                                                           1
SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
36                  SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                                 20 MARS 2020

                                                                                                                         TLP WHITE

                           QUAND LE COVID-19 AIGUISE L’AVIDITÉ DES APT

                                                               l’éloignement, qui peuvent aussi dégrader les fonctions
Les groupes nord-coréens ont également, fin février,           support offertes en temps normal aux utilisateurs.
utilisé la même méthode - pièces jointes piégées
envoyées par mail - pour cibler des officiels sud-co-          Mais les pays depuis lesquels opèrent les groupes hos-
réens. La pièce jointe se présentait comme une note            tiles sont souvent touchés eux-aussi par la pandémie,
détaillant le plan de lutte contre l’épidémie et instal-       et les populations dans leur ensemble soumises aux
lait le malware BabyShark, dont la paternité est attri-        même contraintes. Il sera intéressant, quand les choses
buée au groupe Kimsuky.                                        seront revenues dans l’ordre, d’ausculter les campagnes
                                                               COVID-19 et y chercher la trace d’erreurs d’OPSEC dues
La même stratégie a été mise en oeuvre par le                  à l’utilisation d’infrastructures inhabituelles par cer-
groupe chinois Mustang Panda contre le Vietnam. La             tains membres des modes opératoires (utilisation d’une
charge malveillante était véhiculée par un document            adresse domestique IP mal protégée par exemple). Une
présenté comme les directives du Premier ministre              analyse chronologique - dates et heures de lancement
vietnamien Nguyen Xuan Phuc sur la prévention du               et de fin des attaques - pourrait aussi faire ressortir que
COVID-19.                                                      tel ou tel groupe est resté inactif, ce qui pourrait être le
                                                               signe que ses membres étaient probablement localisés
Le groupe chinois Vicious Panda a quant à lui ciblé le         dans une région ou une ville particulièrement touchée
secteur public de la Mongolie. Les documents pié-              par la pandémie.
gés envoyés aux cibles mongoles ont été fabriqués
à l’aide de l’outil RoyalRoad. Ce dernier permet de            Source & Références :
créer des documents au format RTF exploitant les
vulnérabilités CVE-2017-11882, CVE-2018-0798 et                https://www.zdnet.com/article/state-sponsored-hac-
CVE-2018-0802 de Microsoft Equation Editor, pré-               kers-are-now-using-coronavirus-lures-to-infect-their-
sent dans MS WOrd jusqu’en 2018.                               targets/

Même si RoyalRoad n’est pas exclusivement utili-               h t t p s : //w w w. c y b e r s c o o p . c o m /c o ro n av i r u s - p h i -
sé par des modes opératoires chinois, son utilisa-             shing-scams-iran-china/
tion par ses derniers, ainsi que les cibles des cam-
pagnes COVID-19, laissent penser que ce sont bien              https://threatpost.com/apt36-taps-coronavirus-as-gol-
des groupes liés au gouvernement de Pékin qui sont             den-opportunity-to-spread-crimson-rat/153776/
derrière ces attaques.
                                                               https://w w w.recordedfuture.com/coronavirus-pa-
Le groupe pakistanais APT-36 a lui aussi tenté sa              nic-exploit/
chance en ciblant l’Inde pour déployer Crimson RAT
dans des entreprises du secteur de la défense, des             https://research.checkpoint.com/2020/vicious-pan-
organismes gouvernementaux ou des ambassades.                  da-the-covid-campaign/

L’Iran, pourtant gravement touché par le COVID-19 et
également ciblée par des cyberattaques exploitant
l’épidémie, a mis sur un site Web créé par le Gouver-
nement une application pour Android permettant de
surveiller l’apparition de symptômes de la maladie
mais ayant aussi des fonctionnalités cachées per-
mettant de géolocaliser et de récupérer l’historique
des déplacements des utilisateurs.

La crise sanitaire ouvre donc de nombreuses oppor-
tunités pour les attaquants. Le stress peut facilement
amener les victimes d’attaques à baisser leur niveau
de vigilance habituel, sans parler de l’isolement ou

                                                           2
36                SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                   20 MARS 2020

                                                                                                       TLP WHITE

            L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[EUROPOL] FRAUDE PAR ÉCHANGE DE CARTE SIM : EUROPOL ARRÊTE PLUSIEURS FRAU-

DEURS EN ESPAGNE, EN AUTRICHE ET EN ROUMANIE

Europol a arrêté plusieurs suspects   prendre le contrôle du numéro de té-     (3D Secure), des transferts ou des
faisant partie de deux groupes cri-   léphone d’une victime par le biais de    virements bancaires ou recevoir les
minels d’échange de cartes SIM        l’ingénierie sociale ou en soudoyant     codes de réinitialisation de mots de
en collaboration avec les services    les employés d’un opérateur de té-       passe (comptes de messagerie, ré-
de police locaux d’Espagne, d’Au-     léphonie mobile pour qu’ils portent      seaux sociaux, etc).
triche et de Roumanie à la suite de   le numéro sur une carte SIM contrô-
deux enquêtes récentes.               lée par le fraudeur. Ce dernier reçoit   Le montant de la fraude dont les
                                      alors sur son terminal les facteurs de   12 personnes interpellées dans le
La fraude par échange de cartes       double authentification envoyés par      cadre de cette opération est estimé
SIM (ou SIM swapping) consiste à      SMS. Il peut ainsi valider des achats    à 3 millions d’euros.

        SOURCES ET RÉFÉRENCES :
        https://www.europol.europa.eu/newsroom/news/sim-highjackers-how-criminals-are-stealing-millions-
        highjacking-phone-numbers
        https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-swap-criminal-groups-
        that-stole-millions/

        MOTS CLEFS : EUROPOL, SIM SWAPPING, FRAUDE

[CERT-FR] PUBLICATION D’UN RAPPORT SUR LES ATTAQUES PAR RANÇONGICIEL

CONTRE DES COLLECTIVITÉS TERRITORIALES FRANÇAISES

Le CERT-FR a publié un rapport        lors du premier tour des élections       L’utilisation du framework Empire a
(TLP:WHITE) sur le rançongiciel       municipales du 15 mars 2020.             également été détectée.
Mespinoza utilisé dans de récentes
attaques informatiques visant         Le vecteur d’infection n’est pas en-     Les attaquants ont agi, selon le
notamment des collectivités terri-    core connu mais le CERT-FR fait état,    CERT-FR, de façon opportuniste.
toriales françaises.                  dans les jours précédents l’activation
                                      de la charge finale, de nombreuses
La dernière attaque en date a tou-    tentatives de connexion par brute-
ché l’agglomération de Marseille      force sur une console de supervision.

        SOURCES ET RÉFÉRENCES :
        https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-002.pdf

        MOTS CLEFS : MESPINOZA, PYSA, RANSOMWARE

                                                        3
36                  SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                 20 MARS 2020

                                                                                                        TLP WHITE

             L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[ZDNET] DEUX VULNÉRABILITÉS CRITIQUES DANS LES LOGICIELS TREND MICRO EXPLOI-

TÉES PAR DES ATTAQUANTS
Des attaquants ont tenté d’exploi-      exploitées. Au cours de l’été 2019,    semaine sont liées à la faille de
ter deux failles critiques (0-day)      des groupes chinois ont exploité       l’année dernière ni si elles sont ex-
présentes dans les logiciels anti-      une faille 0-day dans OfficeScan       ploitées par le même groupe (connu
virus de l’éditeur japonais Trend       (CVE-2019-18187) lors d’une attaque    sous le nom de Tick).
Micro. La société a publié lundi des    contre la société d’électronique ja-
correctifs pour les deux vulnérabi-     ponaise Mitsubishi Electric.
lités concernées (CVE-2020-8467
et CVE-2020-8468) et pour d’autres      Il n’est pas établi si les deux vul-
vulnérabilités qui n’auraient pas été   nérabilités 0-day divulguées cette

         SOURCES ET RÉFÉRENCES :
         https://www.zdnet.com/article/two-trend-micro-zero-days-exploited-in-the-wild-by-hackers/

         MOTS CLEFS : 0DAY, TICK

[CYBERSCOOP] LES ATTAQUANTS RESPONSABLES D’UNE INTRUSION DANS LE SYSTÈME

D’INFORMATION DE L’ENTSO-E AURAIENT DÉPLOYÉ PUPYRAT

L’European Network of Trans-            L’équipe Insikt de Recorded Future     probable. PupyRAT est une porte
mission System Operators for            a identifié un serveur de commande     dérobée multi-plateforme écrite
Electricity (ENTSO-E) ne commu-         et de contrôle (C2) PupyRAT com-       en Python disponible sur Github.
nique toujours pas plus de détails      muniquant avec un serveur de           Il a déjà été utilisé par les groupes
techniques sur l’attaque qu’il a        messagerie pour une organisation       iraniens APT33 (Elfin, Magic Hound,
subi.                                   européenne du secteur de l’énergie     HOLMIUM) et COBALT GYPSY
                                        de fin novembre 2019 jusqu’au 5 jan-   (APT34/OilRig).
Il semble cependant qu’une analyse      vier 2020 au moins. Le volume élevé
publiée par la société Recorded         et les communications répétées du
Future en janvier dernier soit liée à   serveur de messagerie ciblé vers un
cette intrusion.                        C2 PupyRAT indiquent une intrusion

         SOURCES ET RÉFÉRENCES :
         https://www.cyberscoop.com/europe-grid-pupy-rat/
         https://www.recordedfuture.com/pupyrat-malware-analysis/

         MOTS CLEFS : INTRUSION, RAT, PUPYRAT, APT33, APT34, ENTSO-E

                                                         4
36                SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                  20 MARS 2020

                                                                                                            TLP WHITE
                                NOS DERNIERS BILLETS MEDIUM
                                | medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |

   Les 10 commandements de la Threat Intelligence                 Introduction à la Threat Intelligence — le rensei-
 chez SEKOIA                                                    gnement sur les menaces

 L’approche Threat Intel chez SEKOIA est régie par les          La Threat Intelligence contribue à des finalités à la fois
 meilleures pratiques en matière de renseignement.              stratégique et très opérationnelle. Au niveau straté-
 Nous avons aligné nos activités sur les 10 commande-           gique, une bonne connaissance du paysage des cy-
 ments suivants.                                                bermenaces qui ciblent son organisation permet aux
                                                                responsables (de la direction générale au RSSI en
 —> Le billet complet                                           passant par le DSI et le Risk Manager ) de faire évo-
                                                                luer régulièrement leurs politiques de cybersécurité
                                                                et de mieux prioriser leurs budgets et plans d’actions.

                                                                —> Le billet complet

                        SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)

EXTRAITS DE NOS DERNIERS FLINT :

19/03/2020 - FL|INT.2020-054
Telecommunication industry in US and Hong                                  Bénéficier d’1 mois d’essai gratuit
Kong targeted by a new TrickBot module
                                                                      et sans engagement à notre offre FLINT :
19/03/2020 - SPECIAL FL|INT.2020-053
COVID-19 Pandemic: Mitigating risks occuring                                     https://www.sekoia.fr/flint
with massive Remote Working condition
                                                                                         flint@sekoia.fr
10/03/2020 - FL|INT.2019-052
Ursnif new infection chain

                                                           5
36                    SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                      20 MARS 2020

                                                                                                                TLP WHITE

                                INTELLIGENCE-DRIVEN CYBERSECURITY

POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.

                    cert@sekoia.fr
                  +33 (0) 805 692 142

SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes.                        VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
                                                                      TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et               DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40               FENSE.
et du SBF120.
                                                                      SEKOIA.IO, une solution SaaS pour la détection et la
                                                                      réponse aux incidents de sécurité à un nouveau rythme.
                                                                      SEKOIA.IO exploite une CTI exclusive, des technologies
                                                                      innovantes d’orchestration et d’automatisation et repose
                                                                      sur une infrastructure scalable pour répondre au désé-
                                                                      quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE,                                               et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE

SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
   • conseil & accompagnement,                                  A PROPOS DE SEKOIA
   • formation,                                                 Pure player et acteur français majeur de la cybersécuri-
   • veille et rapport sur les cybermenaces :                   té, SEKOIA accompagne au quotidien grands comptes,
                                                                institutions et entreprises innovantes pour les conseiller
        SEKOIA THREAT INTELLIGENCE BRIEFING REPORT              sur leur stratégie, les préparer et leur offrir support et
                                                                assistance dans l’exercice de leurs métiers comme dans
        SEKOIA THREAT INTELLIGENCE FLASH REPORT                 les phases les plus critiques d’exposition aux menaces.

        SEKOIA THREAT INTELLIGENCE SPECIAL REPORT               Découvrez une structure,
                                                                un modèle et une stratégie innovante
   • base & feed de renseignements cyber :                      dans le secteur de la cybersécurité.
        SEKOIA THREAT INTELLIGENCE CENTER

                                                                                                                   SEKOIA — PARIS
                                                                                                                             18-20,
                                                                                                             Place de la Madeleine,
                                                                                                                        75008 Paris

                                                                                                              SEKOIA — RENNES
                                                                                                                              1137A
                                                                                                       Avenue des Champs Blancs
                                                                                                         35510 CESSON-SÉVIGNÉ
                                                                                                                                  —
                                                                                                              Tél. +33 1 44 43 54 13
                                                                                                                                  —

         sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
         medium.com/cyberthreatintel | medium.com/sekoia-io-blog

                                                            6
Vous pouvez aussi lire