SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
36 20 MARS 01 MARS 2019 2020 TLP WHITE SEKOIA THREAT INTELLIGENCE WEEKLY REPORT TLP WHITE QUAND LE COVID-19 AIGUISE L’AVIDITÉ DES APT Depuis longtemps, les cybercriminels sont passés pièce-jointe d’un email présenté comme provenant maîtres dans l’art d’exploiter la curiosité, la cupi- du Center for Public Health of the Ministry of Health dité et la crédulité de leurs victimes en surfant sur of Ukraine et utilisant le logo de l’Organisation Mon- l’actualité ou en exploitant la popularité de célé- diale pour la Santé. L’activation des macros conte- brités (artistes, sportifs, etc). La peur, l’incertitude nues dans le fichier Word installent et exécutent une et le doute sont trois autres piliers qui peuvent être porte dérobée. actionnés pour influencer, à des fins malveillantes ou contraires à l’intérêt d’une victime, le compor- Cette attaque s’inscrit dans une opération plus tement d’un utilisateur. vaste - de guerre informationnelle - toujours ciblant l’Ukraine, au cours de laquelle des spams ont mas- Si la crise pandémique du COVID-19 a rapidement sivement été envoyés, annonçant l’arrivée du CO- été exploitée par des cybercriminels à des fins de VID-19 sur le territoire. Ces envois de spams ont été gains financiers ou de vols de données, chose plus doublés par la diffusion de messages confirmant rare, elle a aussi été mise à profit par des groupes cette information sur les réseaux sociaux, provo- d’attaquants étatiques ou liés à des services gouver- quant des émeutes et le blocage de certains hôpi- nementaux. taux par des habitants pris de panique. Des groupes russes, chinois, iraniens et pakistanais Certaines des fausses informations diffusées par ont lancé des campagnes sur fond de COVID-19. email ou sur les réseaux sociaux faisaient état d’éva- cuation de réfugiés contaminés par le virus et trans- Le mode opératoire russophone Hades, qui aurait férés vers les grands centres urbains ukrainiens un lien avec le groupe APT-28, a envoyé à destina- depuis les zones de guerre et notamment depuis la tion de cibles ukrainiennes un document piégé en région du Donbass. Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr que géopolitiques. Abonnez-vous pour le recevoir automatiquement par e-mail. 1
36 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020 TLP WHITE QUAND LE COVID-19 AIGUISE L’AVIDITÉ DES APT l’éloignement, qui peuvent aussi dégrader les fonctions Les groupes nord-coréens ont également, fin février, support offertes en temps normal aux utilisateurs. utilisé la même méthode - pièces jointes piégées envoyées par mail - pour cibler des officiels sud-co- Mais les pays depuis lesquels opèrent les groupes hos- réens. La pièce jointe se présentait comme une note tiles sont souvent touchés eux-aussi par la pandémie, détaillant le plan de lutte contre l’épidémie et instal- et les populations dans leur ensemble soumises aux lait le malware BabyShark, dont la paternité est attri- même contraintes. Il sera intéressant, quand les choses buée au groupe Kimsuky. seront revenues dans l’ordre, d’ausculter les campagnes COVID-19 et y chercher la trace d’erreurs d’OPSEC dues La même stratégie a été mise en oeuvre par le à l’utilisation d’infrastructures inhabituelles par cer- groupe chinois Mustang Panda contre le Vietnam. La tains membres des modes opératoires (utilisation d’une charge malveillante était véhiculée par un document adresse domestique IP mal protégée par exemple). Une présenté comme les directives du Premier ministre analyse chronologique - dates et heures de lancement vietnamien Nguyen Xuan Phuc sur la prévention du et de fin des attaques - pourrait aussi faire ressortir que COVID-19. tel ou tel groupe est resté inactif, ce qui pourrait être le signe que ses membres étaient probablement localisés Le groupe chinois Vicious Panda a quant à lui ciblé le dans une région ou une ville particulièrement touchée secteur public de la Mongolie. Les documents pié- par la pandémie. gés envoyés aux cibles mongoles ont été fabriqués à l’aide de l’outil RoyalRoad. Ce dernier permet de Source & Références : créer des documents au format RTF exploitant les vulnérabilités CVE-2017-11882, CVE-2018-0798 et https://www.zdnet.com/article/state-sponsored-hac- CVE-2018-0802 de Microsoft Equation Editor, pré- kers-are-now-using-coronavirus-lures-to-infect-their- sent dans MS WOrd jusqu’en 2018. targets/ Même si RoyalRoad n’est pas exclusivement utili- h t t p s : //w w w. c y b e r s c o o p . c o m /c o ro n av i r u s - p h i - sé par des modes opératoires chinois, son utilisa- shing-scams-iran-china/ tion par ses derniers, ainsi que les cibles des cam- pagnes COVID-19, laissent penser que ce sont bien https://threatpost.com/apt36-taps-coronavirus-as-gol- des groupes liés au gouvernement de Pékin qui sont den-opportunity-to-spread-crimson-rat/153776/ derrière ces attaques. https://w w w.recordedfuture.com/coronavirus-pa- Le groupe pakistanais APT-36 a lui aussi tenté sa nic-exploit/ chance en ciblant l’Inde pour déployer Crimson RAT dans des entreprises du secteur de la défense, des https://research.checkpoint.com/2020/vicious-pan- organismes gouvernementaux ou des ambassades. da-the-covid-campaign/ L’Iran, pourtant gravement touché par le COVID-19 et également ciblée par des cyberattaques exploitant l’épidémie, a mis sur un site Web créé par le Gouver- nement une application pour Android permettant de surveiller l’apparition de symptômes de la maladie mais ayant aussi des fonctionnalités cachées per- mettant de géolocaliser et de récupérer l’historique des déplacements des utilisateurs. La crise sanitaire ouvre donc de nombreuses oppor- tunités pour les attaquants. Le stress peut facilement amener les victimes d’attaques à baisser leur niveau de vigilance habituel, sans parler de l’isolement ou 2
36 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [EUROPOL] FRAUDE PAR ÉCHANGE DE CARTE SIM : EUROPOL ARRÊTE PLUSIEURS FRAU- DEURS EN ESPAGNE, EN AUTRICHE ET EN ROUMANIE Europol a arrêté plusieurs suspects prendre le contrôle du numéro de té- (3D Secure), des transferts ou des faisant partie de deux groupes cri- léphone d’une victime par le biais de virements bancaires ou recevoir les minels d’échange de cartes SIM l’ingénierie sociale ou en soudoyant codes de réinitialisation de mots de en collaboration avec les services les employés d’un opérateur de té- passe (comptes de messagerie, ré- de police locaux d’Espagne, d’Au- léphonie mobile pour qu’ils portent seaux sociaux, etc). triche et de Roumanie à la suite de le numéro sur une carte SIM contrô- deux enquêtes récentes. lée par le fraudeur. Ce dernier reçoit Le montant de la fraude dont les alors sur son terminal les facteurs de 12 personnes interpellées dans le La fraude par échange de cartes double authentification envoyés par cadre de cette opération est estimé SIM (ou SIM swapping) consiste à SMS. Il peut ainsi valider des achats à 3 millions d’euros. SOURCES ET RÉFÉRENCES : https://www.europol.europa.eu/newsroom/news/sim-highjackers-how-criminals-are-stealing-millions- highjacking-phone-numbers https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-swap-criminal-groups- that-stole-millions/ MOTS CLEFS : EUROPOL, SIM SWAPPING, FRAUDE [CERT-FR] PUBLICATION D’UN RAPPORT SUR LES ATTAQUES PAR RANÇONGICIEL CONTRE DES COLLECTIVITÉS TERRITORIALES FRANÇAISES Le CERT-FR a publié un rapport lors du premier tour des élections L’utilisation du framework Empire a (TLP:WHITE) sur le rançongiciel municipales du 15 mars 2020. également été détectée. Mespinoza utilisé dans de récentes attaques informatiques visant Le vecteur d’infection n’est pas en- Les attaquants ont agi, selon le notamment des collectivités terri- core connu mais le CERT-FR fait état, CERT-FR, de façon opportuniste. toriales françaises. dans les jours précédents l’activation de la charge finale, de nombreuses La dernière attaque en date a tou- tentatives de connexion par brute- ché l’agglomération de Marseille force sur une console de supervision. SOURCES ET RÉFÉRENCES : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-002.pdf MOTS CLEFS : MESPINOZA, PYSA, RANSOMWARE 3
36 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [ZDNET] DEUX VULNÉRABILITÉS CRITIQUES DANS LES LOGICIELS TREND MICRO EXPLOI- TÉES PAR DES ATTAQUANTS Des attaquants ont tenté d’exploi- exploitées. Au cours de l’été 2019, semaine sont liées à la faille de ter deux failles critiques (0-day) des groupes chinois ont exploité l’année dernière ni si elles sont ex- présentes dans les logiciels anti- une faille 0-day dans OfficeScan ploitées par le même groupe (connu virus de l’éditeur japonais Trend (CVE-2019-18187) lors d’une attaque sous le nom de Tick). Micro. La société a publié lundi des contre la société d’électronique ja- correctifs pour les deux vulnérabi- ponaise Mitsubishi Electric. lités concernées (CVE-2020-8467 et CVE-2020-8468) et pour d’autres Il n’est pas établi si les deux vul- vulnérabilités qui n’auraient pas été nérabilités 0-day divulguées cette SOURCES ET RÉFÉRENCES : https://www.zdnet.com/article/two-trend-micro-zero-days-exploited-in-the-wild-by-hackers/ MOTS CLEFS : 0DAY, TICK [CYBERSCOOP] LES ATTAQUANTS RESPONSABLES D’UNE INTRUSION DANS LE SYSTÈME D’INFORMATION DE L’ENTSO-E AURAIENT DÉPLOYÉ PUPYRAT L’European Network of Trans- L’équipe Insikt de Recorded Future probable. PupyRAT est une porte mission System Operators for a identifié un serveur de commande dérobée multi-plateforme écrite Electricity (ENTSO-E) ne commu- et de contrôle (C2) PupyRAT com- en Python disponible sur Github. nique toujours pas plus de détails muniquant avec un serveur de Il a déjà été utilisé par les groupes techniques sur l’attaque qu’il a messagerie pour une organisation iraniens APT33 (Elfin, Magic Hound, subi. européenne du secteur de l’énergie HOLMIUM) et COBALT GYPSY de fin novembre 2019 jusqu’au 5 jan- (APT34/OilRig). Il semble cependant qu’une analyse vier 2020 au moins. Le volume élevé publiée par la société Recorded et les communications répétées du Future en janvier dernier soit liée à serveur de messagerie ciblé vers un cette intrusion. C2 PupyRAT indiquent une intrusion SOURCES ET RÉFÉRENCES : https://www.cyberscoop.com/europe-grid-pupy-rat/ https://www.recordedfuture.com/pupyrat-malware-analysis/ MOTS CLEFS : INTRUSION, RAT, PUPYRAT, APT33, APT34, ENTSO-E 4
36 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020 TLP WHITE NOS DERNIERS BILLETS MEDIUM | medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog | Les 10 commandements de la Threat Intelligence Introduction à la Threat Intelligence — le rensei- chez SEKOIA gnement sur les menaces L’approche Threat Intel chez SEKOIA est régie par les La Threat Intelligence contribue à des finalités à la fois meilleures pratiques en matière de renseignement. stratégique et très opérationnelle. Au niveau straté- Nous avons aligné nos activités sur les 10 commande- gique, une bonne connaissance du paysage des cy- ments suivants. bermenaces qui ciblent son organisation permet aux responsables (de la direction générale au RSSI en —> Le billet complet passant par le DSI et le Risk Manager ) de faire évo- luer régulièrement leurs politiques de cybersécurité et de mieux prioriser leurs budgets et plans d’actions. —> Le billet complet SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI) EXTRAITS DE NOS DERNIERS FLINT : 19/03/2020 - FL|INT.2020-054 Telecommunication industry in US and Hong Bénéficier d’1 mois d’essai gratuit Kong targeted by a new TrickBot module et sans engagement à notre offre FLINT : 19/03/2020 - SPECIAL FL|INT.2020-053 COVID-19 Pandemic: Mitigating risks occuring https://www.sekoia.fr/flint with massive Remote Working condition flint@sekoia.fr 10/03/2020 - FL|INT.2019-052 Ursnif new infection chain 5
36 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 MARS 2020 TLP WHITE INTELLIGENCE-DRIVEN CYBERSECURITY POUR SIGNALER UN INCIDENT Si vous êtes victime d’une attaque, si vous avez un doute ou si vous désirez revenir et investiguer sur un incident de sécurité, prenez contact avec le CERT SEKOIA. cert@sekoia.fr +33 (0) 805 692 142 SEKOIA accompagne les premières sociétés du CAC40 dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA- TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ- offre ses services à des OIV et autres acteurs du CAC40 FENSE. et du SBF120. SEKOIA.IO, une solution SaaS pour la détection et la réponse aux incidents de sécurité à un nouveau rythme. SEKOIA.IO exploite une CTI exclusive, des technologies innovantes d’orchestration et d’automatisation et repose sur une infrastructure scalable pour répondre au désé- quilibre croissant existant entre les équipes de défense LA THREAT INTELLIGENCE, et les attaquants. PIERRE ANGULAIRE DE LA LUTTE INFORMATIQUE DEFENSIVE SEKOIA dispose d’une offre complète en matière de Cyber Threat Intelligence : • conseil & accompagnement, A PROPOS DE SEKOIA • formation, Pure player et acteur français majeur de la cybersécuri- • veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes, institutions et entreprises innovantes pour les conseiller SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et assistance dans l’exercice de leurs métiers comme dans SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces. SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure, un modèle et une stratégie innovante • base & feed de renseignements cyber : dans le secteur de la cybersécurité. SEKOIA THREAT INTELLIGENCE CENTER SEKOIA — PARIS 18-20, Place de la Madeleine, 75008 Paris SEKOIA — RENNES 1137A Avenue des Champs Blancs 35510 CESSON-SÉVIGNÉ — Tél. +33 1 44 43 54 13 — sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr medium.com/cyberthreatintel | medium.com/sekoia-io-blog 6
Vous pouvez aussi lire