SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
38 03 AVRIL
01 MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
LAISSE MOI ZOOM ZOOM
Z’HACK DANS TA VISIOCONF’
Avec le gel hydroalcoolique et le masque FFP2, times de harcèlements et de blagues potaches de
les plateformes de visioconférence gratuites sont plus ou moins mauvais goût, de la part d’utilisateurs
devenues un des “must have” des outils et acces- non identifiés qui ont profité, dans la plupart des cas,
soires pour affronter - plus ou moins - sereinement d’une absence ou d’une mauvaise sécurité pour pro-
les contraintes liées au confinement et au travail férer insultes à caractères racistes ou diffuser des
collectif à distance. Le nombre d’utilisateurs de la séquences pornographiques pendant des cours.
plus populaire d’entre elles, Zoom, a littéralement Ces attaques, appelées Zoombombing, nécessitent
explosé ces dernières semaines pour atteindre le que l’attaquant connaisse l’identifiant unique de la
chiffre de 12,9 millions. Elle a même été adoptée réunion à laquelle il se joint. C’est le cas si la réunion
par des gouvernements : le président de la Répu- est publique, ce qui est la configuration par défaut, si
blique française, le Premier ministre britannique l’identifiant a été communiqué par mégarde ou par
ainsi que le président de la Fédération de Russie erreur quand la réunion est privée, ou si il a été bru-
comptent au nombre des nouveaux et prestigieux teforcé par l’attaquant. Un Premier ministre outre-
clients de ce service. Manche a ainsi fait preuve d’imprudence en laissant
fuiter l’identifiant d’une de ses réunions dans une
Présentée comme une solution sécurisée, Zoom a capture d’écran largement relayée par les médias.
cependant dû affronter quelques critiques liées au
niveau réel de sécurité des échanges proposé par Le FBI s’est fendu d’un bulletin d’alerte sur le sujet à
la plateforme, au respect de la vie privée des utilisa- destination des écoles, université et aux entreprises.
teurs et à des vulnérabilités dont certaines ont été ex- La note de l’antenne de Boston du FBI insistait sur les
ploitées pour des motifs divers et variés. Des écoles gestes barrières à adopter en matière d’utilisation de
et universités américaines dispensant des cours par Zoom, à savoir, notamment, ne pas rendre publique
l’intermédiaire de Zoom ont par exemple été vic- - donc visible et accessible - les réunions organisées
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
38 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 03 AVRIL 2020
TLP WHITE
LAISSE MOI ZOOM ZOOM Z’HACK DANS TA VISIOCONF’
via la plateforme, utiliser un mot de passe pour auto- accès. Quand il s’agit de prendre des nouvelles de ses
riser ou non leur accès aux seuls participants autori- proches, cela peut sembler un niveau de sécurité - ou
sés et inviter ces derniers à mettre à jour leur client un risque, selon le point de vue que l’on adopte - ac-
Zoom. Car au-delà de ces “gamineries” pour enfants ceptable. Mais lorsque le service est utilisé pour des
confinés désoeuvrés, Zoom est pointé du doigt pour échanges d’informations plus sensibles ou critiques,
des défauts pouvant entraîner de plus graves consé- comme, par exemple, celles relatives aux délibérations
quences quand ses services sont utilisés par des et aux décisions prises lors d’un conseil des ministres,
entreprises qui ont dû s’adapter dans l’urgence aux il n’en est plus de même. Sans tomber dans une exces-
conditions de télétravail et qui ont adopté précipi- sive paranoïa, on imagine aisément l’attractivité que peut
tamment des solutions encore mal maîtrisées. représenter une telle manne d’informations pour des
groupes d’attaquants liés à des services gouvernemen-
Zoom doit son succès - en dehors des besoins nés taux en mal de sources de renseignement de première
de la pandémie liée au COVID-19 - à une interface main.
intuitive facile à utiliser, à la fluidité du streaming vi-
déo et audio, à la disponibilité de clients pour PC et At last but not at least, plusieurs vulnérabilités et des
smartphone, à sa gratuité et à la possibilité d’orga- failles 0day ont été découvertes.
niser des réunions de 100 participants, là où Skype,
par exemple, limite ce nombre à 50. Sur iOS, l’application Zoom utilise pour son installation
des fonctions obsolètes que Apple a retiré à cause de
Le succès de Zoom n’est donc pas immérité mais, problèmes de sécurité. L’exploitation de la vulnérabilité
revers de la médaille, la plateforme semble accumu- induite n’est pas triviale : elle suppose que le périphé-
ler les accrocs. rique a déjà été compromis par un malware. Celui-ci
par contre pourrait alors exploiter la faille introduite par
Fin mars, Zoom a publié une mise à jour du client Zoom pour élever ses privilèges et prendre le contrôle
pour iOS. Le site Motherboard avait découvert que total du smartphone.
cette application envoyait des données à des fins
statistiques à Facebook, y compris pour les utilisa- Une autre vulnérabilité, toujours pour iOS, permet la
teurs dépourvus de compte Facebook. Le tout sans prise de contrôle à distance et sans que l’utilisateur légi-
en avoir préalablement et clairement informé les uti- time puisse le détecter, de sa webcam.
lisateurs. A l’heure du RGPD, ce type de liberté prise
avec le consentement du client final est on ne peut Les versions pour Windows ne sont pas exemptes de
plus surprenant. Facebook ne serait pas le seul tiers failles. L’une d’elles permet de voler des hash NTLM de
à recevoir des statistiques d’usage du service, ce qui mots de passe. Cette attaque s’appuie sur la fonction-
vaut à Zoom une action de groupe déposée auprès nalité de chat de Zoom. Par son intermédiaire, un atta-
d’une cour de justice californienne. quant peut envoyer à ses cibles un lien pointant sur un
emplacement réseau. L’application Zoom pour Windows
Une fonctionnalité dans le client Zoom qui permet rend automatiquement ce lien cliquable. Si le destina-
à l’organisateur d’une réunion de savoir si un parti- taire du message clique sur celui-ci, Zoom enverra les
cipant n’est plus devant son écran passées 30 se- noms d’utilisateurs Windows et les hachages NTLM cor-
condes, a aussi suscité l’ire de nombreux utilisateurs. respondants à l’adresse contenue dans le lien. L’exploi-
tation de cette vulnérabilité est jugée triviale.
Les ennuis volant, comme le disait un ancien Pré-
sident français, en escadrille, The Intercept a révélé Au-delà de la seule plateforme Zoom, qui n’a jamais
le 31 mars que contrairement aux affirmations de la caché avoir privilégié la facilité d’usage à la sécurité,
société, les communications passées par la plate- toute utilisation d’un service hébergé en dehors du SI
forme Zoom n’étaient pas chiffrées de bout-en-bout. d’une entreprise ou d’une organisation peut nuire plus
Les données - voix et vidéo - sont bien chiffrées du- ou moins gravement à la sécurité de l’information. Et ce
rant leur transport entre le client et la plateforme surtout lorsqu’une solution est adoptée dans l’urgence.
mais elles cessent de l’être quand elles sont trai- Sécurité et précipitation font rarement bon ménage.
tées par les serveurs de Zoom, qui peut donc y avoir
238 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 03 AVRIL 2020
TLP WHITE
LAISSE MOI ZOOM ZOOM Z’HACK DANS TA VISIOCONF’
Il convient donc d’avoir en tête que, si ce qui se
passe à Vegas reste à Vegas, ce qui se dit sur Zoom
ne doit pas rester - ou risque de ne pas rester - sur
Zoom. Ce type de service, remarque qui s’applique
aussi aux services
Il convient donc d’avoir en tête que, si ce qui se passe
à Vegas reste à Vegas, ce qui se dit sur Zoom ne doit
pas rester - ou risque de ne pas rester - sur Zoom. Ce
type de service, remarque qui s’applique aussi aux
services similaires fournis par Google ou Microsoft,
n’est pas adapté à des échanges d’informations sen-
sibles ou critiques. En conclusion, utilisé à bon es-
cient et avec la prudence qui s’impose, Zoom est une
solution tout à fait adaptée aux circonstances excep-
tionnelles liées à la pandémie actuelle.
Sources & références :
https://arstechnica.com/tech-policy/2020/03/
zooms-privacy-problems-are-growing-as-plat-
form-explodes-in-popularity/
https://w w w.vice.com/en _us/article/k7e95m/
zoom-leaking-email-addresses-photos
https://theintercept.com/2020/03/31/zoom-mee-
ting-encryption/
https://www.cyberscoop.com/zoom-zero-day-we-
bcam-privlege-escalation/
https://arstechnica.com/information-technolo-
gy/2020/04/unpatched-zoom-bug-lets-attackers-
steal-windows-credentials-with-no-warning/
https://w w w.vice.com/en _ us/ar ticle/z3 b745 /
zoom-removes-code-that-sends-data-to-facebook
https://w w w.vice.com/en _us/ar ticle/k7e59 9/
zoom-ios-app-sends-data-to-facebook-even-if-
you-dont-have-a-facebook-account
338 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 03 AVRIL 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[ZDNET] DEUX VULNÉRABILITÉS 0-DAY DANS LES ROUTEURS DRAYTEK EXPLOITÉES
Depuis au moins début décembre de la menace, chacun exploitant une produits de la gamme VigorSwit-
2019, des attaquants non identi- vulnérabilité «zero-day» différente ch. Les chercheurs de la société
fiés ont exploité deux failles 0-day dans DrayTek Vigor, des routeurs à Qihoo estiment qu’environ 100.000
présentes dans les routeurs de la équilibrage de charge et des passe- routeurs exposés sur Internet sont
société DrayTek pour intercepter relles VPN généralement déployés vulnérables. La société DrayTek a
le trafic FTP et le courrier électro- sur les réseaux d’entreprise. publié une mise à jour dont l’appli-
nique d’entreprises, selon la socié- cation corrige ces failles mais ne
té de sécurité chinoise Qihoo 360. Ces deux vulnérabilités ont été re- nettoie pas les appareils déjà infec-
groupées sous la CVE-2020-8515 et tés, pour lesquels un filtrage réseau
Qihoo a déclaré que ses chercheurs affectent les appareils Vigor 3900, sera nécessaire pour remédier à l’at-
ont détecté deux acteurs différents 2960 et 300B ainsi que plusieurs taque.
SOURCES ET RÉFÉRENCES :
https://www.zdnet.com/article/a-mysterious-hacker-group-is-eavesdropping-on-corporate-ftp-and-
email-traffic/
MOTS CLEFS : 0DAY, DRAYTEK, ESPIONNAGE
[ARS TECHNICA] L’ARABIE SAOUDITE AURAIT EXPLOITÉ UNE FAIBLESSE DU PROTOCOLE
SS7 POUR LOCALISER DES TÉLÉPHONES MOBILES
Le Guardian affirme avoir la preuve lanceur d’alerte anonyme, les trois Ces opérateurs auraient tiré profit de
que l’Arabie saoudite exploite une plus grands opérateurs de télépho- faiblesses inhérentes au protocole
faiblesse du protocole SS7 pour nie mobile saoudiens auraient émis de routage et de signalisation SS7.
suivre des citoyens saoudiens des millions de demandes de géo-
lors de leurs déplacements aux localisation de mobiles saoudiens
États-Unis. Selon les informations sur une période de 4 mois à partir de
communiquées au Guardian par un décembre 2019.
SOURCES ET RÉFÉRENCES :
https://arstechnica.com/information-technology/2020/03/saudi-arabia-reportedly-tracked-phones-by-
using-industry-wide-carrier-weakness/
MOTS CLEFS : SS7, ESPIONNAGE, ARABIE SAOUDITE
438 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 03 AVRIL 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[CYBERSCOOP] ARRESTATION D’UN CITOYEN RUSSE ACCUSÉ DE BLANCHIR DE L’ARGENT
POUR UN GANG CYBERCRIMINEL
Le FBI indique avoir arrêté Maksim minel QQAAZZ, en convertissant de Selon les procureurs, les pirates
Boiko, un citoyen russe accusé de l’argent volé en cryptomonnaie. informatiques qui ont siphonné les
blanchir de l’argent pour un gang comptes bancaires de leurs victimes
cybercriminel qui aurait volé des Les autorités américaines ont déjà contactent QQAAZZ afin de transfé-
fonds dans plusieurs banques inculpé cinq ressortissants lettons rer frauduleusement des fonds.
américaines. Maksim Boiko, pour leur participation présumée
aurait travaillé pour le groupe cri- aux activités du groupe QQAAZZ.
SOURCES ET RÉFÉRENCES :
https://www.cyberscoop.com/fbi-accuses-russian-money-laundering-qqaazz/
MOTS CLEFS : FRAUDE, ARRESTATION, QQAAZZ
[SONICWALL] UN MALWARE NOMMÉ “CORONAVIRUS” SABOTE LES MACHINES
QU’IL INFECTE
Des chercheurs du SonicWall répertoire temporaire. Un fichier BAT la base de registre pour la persis-
Capture Labs ont découvert un nommé «coronavirus.bat» lance tance, puis redémarre pour terminer
nouveau malware qui exploite la l’attaque en créant un dossier caché l’installation.
pandémie liée au COVID-19 pour nommé «COVID-19» sur la machine
se répandre et écraser le MBR des victime. Le programme d’installation Après le redémarrage, l’infection
machines infectées. désactive le gestionnaire des tâches exécute deux binaires. Le premier
de Windows et le contrôle d’accès affiche une fenêtre avec une image
Lors de son exécution, le malware utilisateur (UAC) puis modifie égale- du coronavirus et le second écrase
commence installe un certain ment le fond d’écran de la victime. Il le MBR, rendant l’ordinateur inutili-
nombre de fichiers d’aide dans un ajoute également des entrées dans sable.
SOURCES ET RÉFÉRENCES :
https://www.reuters.com/article/us-health-coronavirus-who-hack-exclusive/exclusive-elite-hackers-tar-
get-who-as-coronavirus-cyberattacks-spike-idUSKBN21A3BN
MOTS CLEFS : OMS, DARK HOTEL, SANTÉ
538 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 03 AVRIL 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[CYBERSCOOP] LE GROUPE NORD-CORÉEN APT37 SERAIT DE NOUVEAU ACTIF
Selon ESTsecurity, une société de que les chercheurs d’ESTsecurity semble être le signe que le groupe
sécurité sud-coréenne, des atta- ont appelé Geumseong121, incite APT37 est de nouveau actif malgré
quants nord-coréens ont mené une ses victimes à cliquer sur des liens la saisie de 50 domaines utilisés par
opération de spear-phishing visant vers des logiciels malveillants. ce groupe en décembre 2019 par
des personnes en contact avec des Microsoft.
réfugiés nord-coréens. La campagne a été appelée «Ope-
ration Spy Cloud» parce qu’elle
Le groupe de cyber-espionnage, repose sur des services Cloud et elle
SOURCES ET RÉFÉRENCES :
https://www.cyberscoop.com/apt37-geumseong121-north-korea-hackers-estsecurity/
MOTS CLEFS : CORÉE DU NORD, APT37, REAPE
[WIRED] LE GROUPE MARRIOTT À NOUVEAU VICTIME D’UN VOL DE DONNÉES
En novembre 2018, le géant de nouvelle fuite d’informations tou- comme leurs coordonnées, noms,
l’hôtellerie Marriott a révélé qu’il chant 5,2 millions de clients. adresses électroniques et numéros
avait subi un vol de données de de téléphone, mais aussi les infor-
l’histoire qui avait compromis les Selon les détails fournis par le mations sur les comptes de fidélité.
informations de 500 millions de Marriott, cette fuite remonte à la
personnes qui avaient fait une ré- mi-janvier, lorsque quelqu’un a uti-
servation dans un hôtel Starwood. lisé les identifiants et données de
connexion de deux employés d’un
Mardi, le Marriott a annoncé qu’il franchisé pour accéder frauduleu-
avait de nouveau été touché par une sement aux informations de clients
SOURCES ET RÉFÉRENCES :
https://www.wired.com/story/marriott-hacked-yes-again-2020/
MOTS CLEFS : DATALEAK, MARRIOTT
638 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 03 AVRIL 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Russie : retour sur vingt années de pouvoir de MITRE ATT&CK™ : de l’importance de la
Vladimir Poutine temporalité
L’Institut de Recherche Stratégique de l’Ecole Mili- Le renseignement tel que proposé par défaut
taire (IRSEM) hébergeait un séminaire sur les vingt an- par la matrice ATT&CK™ est aujourd’hui décor-
nées de pouvoir du président russe Vladimir Poutine. rélé du facteur temps, ou de la notion d’« en-
Ce sont les notes prises durant cet événement animé chaînement » entre les différentes techniques.
par le colonel Christian Barthlen et madame Céline
Marangé que nous souhaitions partager avec vous. Le facteur temporel est essentiel dans une démarche
d’évaluation des défenses. Certaines techniques (n) ne
—> Le billet complet font sens que dans un contexte mentionnant la technique
employée avant (n–1) et/ou celle employée après (n+1).
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
02/04/2020 - FL|INT.2020-065
New strain of Agent Tesla spread via phishing Bénéficier d’1 mois d’essai gratuit
emails
et sans engagement à notre offre FLINT :
01/04/2020 - FL|INT.2020-064
Storm Cloud waterholing attacks against Tibetan https://www.sekoia.fr/flint
victims
flint@sekoia.fr
31/03/2020 - FL|INT.2019-063
Cyber Criminals Target Zoom
738 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 03 AVRIL 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base & feed de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE CENTER
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
8Vous pouvez aussi lire
