SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
36 20 MARS
01 MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
QUAND LE COVID-19 AIGUISE
L’AVIDITÉ DES APT
Depuis longtemps, les cybercriminels sont passés pièce-jointe d’un email présenté comme provenant
maîtres dans l’art d’exploiter la curiosité, la cupi- du Center for Public Health of the Ministry of Health
dité et la crédulité de leurs victimes en surfant sur of Ukraine et utilisant le logo de l’Organisation Mon-
l’actualité ou en exploitant la popularité de célé- diale pour la Santé. L’activation des macros conte-
brités (artistes, sportifs, etc). La peur, l’incertitude nues dans le fichier Word installent et exécutent une
et le doute sont trois autres piliers qui peuvent être porte dérobée.
actionnés pour influencer, à des fins malveillantes
ou contraires à l’intérêt d’une victime, le compor- Cette attaque s’inscrit dans une opération plus
tement d’un utilisateur. vaste - de guerre informationnelle - toujours ciblant
l’Ukraine, au cours de laquelle des spams ont mas-
Si la crise pandémique du COVID-19 a rapidement sivement été envoyés, annonçant l’arrivée du CO-
été exploitée par des cybercriminels à des fins de VID-19 sur le territoire. Ces envois de spams ont été
gains financiers ou de vols de données, chose plus doublés par la diffusion de messages confirmant
rare, elle a aussi été mise à profit par des groupes cette information sur les réseaux sociaux, provo-
d’attaquants étatiques ou liés à des services gouver- quant des émeutes et le blocage de certains hôpi-
nementaux. taux par des habitants pris de panique.
Des groupes russes, chinois, iraniens et pakistanais Certaines des fausses informations diffusées par
ont lancé des campagnes sur fond de COVID-19. email ou sur les réseaux sociaux faisaient état d’éva-
cuation de réfugiés contaminés par le virus et trans-
Le mode opératoire russophone Hades, qui aurait férés vers les grands centres urbains ukrainiens
un lien avec le groupe APT-28, a envoyé à destina- depuis les zones de guerre et notamment depuis la
tion de cibles ukrainiennes un document piégé en région du Donbass.
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
36 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020
TLP WHITE
QUAND LE COVID-19 AIGUISE L’AVIDITÉ DES APT
l’éloignement, qui peuvent aussi dégrader les fonctions
Les groupes nord-coréens ont également, fin février, support offertes en temps normal aux utilisateurs.
utilisé la même méthode - pièces jointes piégées
envoyées par mail - pour cibler des officiels sud-co- Mais les pays depuis lesquels opèrent les groupes hos-
réens. La pièce jointe se présentait comme une note tiles sont souvent touchés eux-aussi par la pandémie,
détaillant le plan de lutte contre l’épidémie et instal- et les populations dans leur ensemble soumises aux
lait le malware BabyShark, dont la paternité est attri- même contraintes. Il sera intéressant, quand les choses
buée au groupe Kimsuky. seront revenues dans l’ordre, d’ausculter les campagnes
COVID-19 et y chercher la trace d’erreurs d’OPSEC dues
La même stratégie a été mise en oeuvre par le à l’utilisation d’infrastructures inhabituelles par cer-
groupe chinois Mustang Panda contre le Vietnam. La tains membres des modes opératoires (utilisation d’une
charge malveillante était véhiculée par un document adresse domestique IP mal protégée par exemple). Une
présenté comme les directives du Premier ministre analyse chronologique - dates et heures de lancement
vietnamien Nguyen Xuan Phuc sur la prévention du et de fin des attaques - pourrait aussi faire ressortir que
COVID-19. tel ou tel groupe est resté inactif, ce qui pourrait être le
signe que ses membres étaient probablement localisés
Le groupe chinois Vicious Panda a quant à lui ciblé le dans une région ou une ville particulièrement touchée
secteur public de la Mongolie. Les documents pié- par la pandémie.
gés envoyés aux cibles mongoles ont été fabriqués
à l’aide de l’outil RoyalRoad. Ce dernier permet de Source & Références :
créer des documents au format RTF exploitant les
vulnérabilités CVE-2017-11882, CVE-2018-0798 et https://www.zdnet.com/article/state-sponsored-hac-
CVE-2018-0802 de Microsoft Equation Editor, pré- kers-are-now-using-coronavirus-lures-to-infect-their-
sent dans MS WOrd jusqu’en 2018. targets/
Même si RoyalRoad n’est pas exclusivement utili- h t t p s : //w w w. c y b e r s c o o p . c o m /c o ro n av i r u s - p h i -
sé par des modes opératoires chinois, son utilisa- shing-scams-iran-china/
tion par ses derniers, ainsi que les cibles des cam-
pagnes COVID-19, laissent penser que ce sont bien https://threatpost.com/apt36-taps-coronavirus-as-gol-
des groupes liés au gouvernement de Pékin qui sont den-opportunity-to-spread-crimson-rat/153776/
derrière ces attaques.
https://w w w.recordedfuture.com/coronavirus-pa-
Le groupe pakistanais APT-36 a lui aussi tenté sa nic-exploit/
chance en ciblant l’Inde pour déployer Crimson RAT
dans des entreprises du secteur de la défense, des https://research.checkpoint.com/2020/vicious-pan-
organismes gouvernementaux ou des ambassades. da-the-covid-campaign/
L’Iran, pourtant gravement touché par le COVID-19 et
également ciblée par des cyberattaques exploitant
l’épidémie, a mis sur un site Web créé par le Gouver-
nement une application pour Android permettant de
surveiller l’apparition de symptômes de la maladie
mais ayant aussi des fonctionnalités cachées per-
mettant de géolocaliser et de récupérer l’historique
des déplacements des utilisateurs.
La crise sanitaire ouvre donc de nombreuses oppor-
tunités pour les attaquants. Le stress peut facilement
amener les victimes d’attaques à baisser leur niveau
de vigilance habituel, sans parler de l’isolement ou
236 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[EUROPOL] FRAUDE PAR ÉCHANGE DE CARTE SIM : EUROPOL ARRÊTE PLUSIEURS FRAU-
DEURS EN ESPAGNE, EN AUTRICHE ET EN ROUMANIE
Europol a arrêté plusieurs suspects prendre le contrôle du numéro de té- (3D Secure), des transferts ou des
faisant partie de deux groupes cri- léphone d’une victime par le biais de virements bancaires ou recevoir les
minels d’échange de cartes SIM l’ingénierie sociale ou en soudoyant codes de réinitialisation de mots de
en collaboration avec les services les employés d’un opérateur de té- passe (comptes de messagerie, ré-
de police locaux d’Espagne, d’Au- léphonie mobile pour qu’ils portent seaux sociaux, etc).
triche et de Roumanie à la suite de le numéro sur une carte SIM contrô-
deux enquêtes récentes. lée par le fraudeur. Ce dernier reçoit Le montant de la fraude dont les
alors sur son terminal les facteurs de 12 personnes interpellées dans le
La fraude par échange de cartes double authentification envoyés par cadre de cette opération est estimé
SIM (ou SIM swapping) consiste à SMS. Il peut ainsi valider des achats à 3 millions d’euros.
SOURCES ET RÉFÉRENCES :
https://www.europol.europa.eu/newsroom/news/sim-highjackers-how-criminals-are-stealing-millions-
highjacking-phone-numbers
https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-swap-criminal-groups-
that-stole-millions/
MOTS CLEFS : EUROPOL, SIM SWAPPING, FRAUDE
[CERT-FR] PUBLICATION D’UN RAPPORT SUR LES ATTAQUES PAR RANÇONGICIEL
CONTRE DES COLLECTIVITÉS TERRITORIALES FRANÇAISES
Le CERT-FR a publié un rapport lors du premier tour des élections L’utilisation du framework Empire a
(TLP:WHITE) sur le rançongiciel municipales du 15 mars 2020. également été détectée.
Mespinoza utilisé dans de récentes
attaques informatiques visant Le vecteur d’infection n’est pas en- Les attaquants ont agi, selon le
notamment des collectivités terri- core connu mais le CERT-FR fait état, CERT-FR, de façon opportuniste.
toriales françaises. dans les jours précédents l’activation
de la charge finale, de nombreuses
La dernière attaque en date a tou- tentatives de connexion par brute-
ché l’agglomération de Marseille force sur une console de supervision.
SOURCES ET RÉFÉRENCES :
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-002.pdf
MOTS CLEFS : MESPINOZA, PYSA, RANSOMWARE
336 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[ZDNET] DEUX VULNÉRABILITÉS CRITIQUES DANS LES LOGICIELS TREND MICRO EXPLOI-
TÉES PAR DES ATTAQUANTS
Des attaquants ont tenté d’exploi- exploitées. Au cours de l’été 2019, semaine sont liées à la faille de
ter deux failles critiques (0-day) des groupes chinois ont exploité l’année dernière ni si elles sont ex-
présentes dans les logiciels anti- une faille 0-day dans OfficeScan ploitées par le même groupe (connu
virus de l’éditeur japonais Trend (CVE-2019-18187) lors d’une attaque sous le nom de Tick).
Micro. La société a publié lundi des contre la société d’électronique ja-
correctifs pour les deux vulnérabi- ponaise Mitsubishi Electric.
lités concernées (CVE-2020-8467
et CVE-2020-8468) et pour d’autres Il n’est pas établi si les deux vul-
vulnérabilités qui n’auraient pas été nérabilités 0-day divulguées cette
SOURCES ET RÉFÉRENCES :
https://www.zdnet.com/article/two-trend-micro-zero-days-exploited-in-the-wild-by-hackers/
MOTS CLEFS : 0DAY, TICK
[CYBERSCOOP] LES ATTAQUANTS RESPONSABLES D’UNE INTRUSION DANS LE SYSTÈME
D’INFORMATION DE L’ENTSO-E AURAIENT DÉPLOYÉ PUPYRAT
L’European Network of Trans- L’équipe Insikt de Recorded Future probable. PupyRAT est une porte
mission System Operators for a identifié un serveur de commande dérobée multi-plateforme écrite
Electricity (ENTSO-E) ne commu- et de contrôle (C2) PupyRAT com- en Python disponible sur Github.
nique toujours pas plus de détails muniquant avec un serveur de Il a déjà été utilisé par les groupes
techniques sur l’attaque qu’il a messagerie pour une organisation iraniens APT33 (Elfin, Magic Hound,
subi. européenne du secteur de l’énergie HOLMIUM) et COBALT GYPSY
de fin novembre 2019 jusqu’au 5 jan- (APT34/OilRig).
Il semble cependant qu’une analyse vier 2020 au moins. Le volume élevé
publiée par la société Recorded et les communications répétées du
Future en janvier dernier soit liée à serveur de messagerie ciblé vers un
cette intrusion. C2 PupyRAT indiquent une intrusion
SOURCES ET RÉFÉRENCES :
https://www.cyberscoop.com/europe-grid-pupy-rat/
https://www.recordedfuture.com/pupyrat-malware-analysis/
MOTS CLEFS : INTRUSION, RAT, PUPYRAT, APT33, APT34, ENTSO-E
436 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Les 10 commandements de la Threat Intelligence Introduction à la Threat Intelligence — le rensei-
chez SEKOIA gnement sur les menaces
L’approche Threat Intel chez SEKOIA est régie par les La Threat Intelligence contribue à des finalités à la fois
meilleures pratiques en matière de renseignement. stratégique et très opérationnelle. Au niveau straté-
Nous avons aligné nos activités sur les 10 commande- gique, une bonne connaissance du paysage des cy-
ments suivants. bermenaces qui ciblent son organisation permet aux
responsables (de la direction générale au RSSI en
—> Le billet complet passant par le DSI et le Risk Manager ) de faire évo-
luer régulièrement leurs politiques de cybersécurité
et de mieux prioriser leurs budgets et plans d’actions.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
19/03/2020 - FL|INT.2020-054
Telecommunication industry in US and Hong Bénéficier d’1 mois d’essai gratuit
Kong targeted by a new TrickBot module
et sans engagement à notre offre FLINT :
19/03/2020 - SPECIAL FL|INT.2020-053
COVID-19 Pandemic: Mitigating risks occuring https://www.sekoia.fr/flint
with massive Remote Working condition
flint@sekoia.fr
10/03/2020 - FL|INT.2019-052
Ursnif new infection chain
536 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base & feed de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE CENTER
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
6Vous pouvez aussi lire
