SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
12 20
01SEPTEMBRE
MARS 2019 2019
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
DES MILLIONS DE
DONNÉES VOLÉES,
ÉMOIS ÉMOIS ÉMOIS…
tuelles (nom, prénom, date de naissance), des
informations plus détaillées étaient disponibles
: adresse, situation maritale, solde des comptes
bancaires, types de crédit souscrit, etc. De quoi
La découverte des données personnelles de 20 faire le bonheur de sociétés d’études de marché…
millions de citoyens équatoriens stockées sur Ou de personnes plus malintentionnées.
un index Elasticsearch non protégé a suscité
un certain émoi. Émoi d’autant plus justifié que Ironie de l’histoire : Julian Assange ayant obtenu
le pays ne compte que 17 millions d’habitants, l’asile politique en Equateur en 2012, ses données
même si on est encore loin des sept cents mil- se sont elles-aussi trouvées exposées. La pro-
lions de Chinois chantés par Jacques Dutronc en bable intervention de Joe Biden en 2013 auprès
1970 ou des 150 millions de personnes impac- du président Rafael Correa a évité le même sort à
tées par la fuite Equifax. Edward Snowden.
Ces données étaient hébergées en Floride, sur C’est au cours d’une opération de cartographie
un serveur de la société équatorienne Novaes- d’Internet (comprendre : scan massif) que la so-
trat. Cette société de conseil fournit des services ciété VpnMentor a fait cette découverte. Celle-ci
d’analyse de données, de marketing stratégique en a aussitôt informé le propriétaire du serveur
et de développement de logiciels. afin de mettre fin à l’exposition de ces données.
Dans le communiqué publié sur son site au sujet
Ces informations proviendraient, entre autres, de de cette fuite, VpnMentor affirme ne jamais stoc-
registres gouvernementaux et d’au moins deux ker, ni vendre ni même publier les données qu’elle
banques. En plus des données d’Etat civil habi- peut être amenée à trouver. Les captures d’écran
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
12 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 SEPTEMBRE 2019
TLP WHITE
DES MILLIONS DE DONNÉES VOLÉES, ÉMOIS ÉMOIS ÉMOIS…
qui illustrent le communiqué permettent cepen- Des dispositions législatives comme le RGPD en Eu-
dant d’en douter, un peu… rope ou l’HIPAA (Health Insurance Portability and
Accountability Act) aux Etats-Unis prévoient des
Le gouvernement équatorien a annoncé avoir lan- sanctions en cas de manquement aux obligations de
cé des poursuites à l’encontre de Novaestrat qui, protection de données personnelles par les entités à
non seulement n’a pas protégé ces données mais qui elles sont confiées.
n’aurait même pas du les avoir. Une enquête de-
vra déterminer comment Novaestrat a fait l’acqui- Il n’en reste pas moins que, par ces temps de “cloudi-
sition de ces informations, collectées entre 2015 fication” à outrance, la sécurité de données sensibles
et 2017, à une époque où la société avait remporté doit, comme les pieds du fantassin, faire l’objet de
des contrats gouvernementaux. soins attentifs.
Les mêmes causes - absence de protection ou
mauvaise configuration - ayant les mêmes consé- Sources et références :
quences, d’autres données se sont trouvées ex-
posées sur Internet. Elles ne concernaient que 1,5 • https://w w w.nytimes.com/2019/09/17/
million d’adresses électroniques et 750 000 utili- world/americas/ecuador-data-leak.html
sateurs, ce qui peut sembler modeste au regard
de la fuite Novaestrat, mais les deux bases de • https://www.zdnet.com/article/database-
données MongoDB exposées n’étaient cependant leaks-data-on-most-of-ecuadors-citizens-
pas des bases ordinaires. Y étaient aussi stockés including-6-7-million-children/
des données bancaires, des identifiants et mots
de passe d’accès à des services de banque en • https://securitydiscovery.com/banking-tro-
ligne ou de site d’e-commerce. Ce pour une raison jan-database-exposed-millions-of-users-
“simple” : il s’agissait de deux bases de données at-risk/
utilisées par le malware Gootkit !
• h t t p s : // n a k e d s e c u r i t y . s o p h o s .
Dans un autre domaine - celui de la santé - des com/2019/09/19/researchers-find-737-mil-
chercheurs allemands se sont intéressés à la sé- lion-medical-images-exposed-on-the-in-
curité des solutions de stockage d’images mé- ternet/
dicales. 2 300 plateformes ont été testées entre
juillet et septembre 2019. 590 étaient directement
accessibles, exposant 737 millions de clichés dont
400 millions facilement téléchargeables.
212 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 SEPTEMBRE 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[CLEARSKYSEC] RETOUR DU GROUPE CHARMING KITTEN
Après plusieurs mois d’absence, Depuis ses débuts en 2014, ce der- ciblait des chercheurs non-iraniens
le groupe de cyberespionnage ira- nier semble s’intéresser principa- situés aux USA, au Moyen-Orient
nien Charming Kitten (aussi nom- lement à des cibles iraniennes du et en France, ainsi que des Iraniens
mé APT35 ou Ajax) semble faire son milieu académique, de défense «dissidents» vivants en Amérique
retour. des droits de l’homme et des mé- du Nord. Par une campagne de phi-
dias situées partout dans le monde. shing et d’usurpation de site web, les
En effet, la société ClearSkysec Cependant, la dernière attaque en attaquants ont tenté de récupérer
alerte sur une nouvelle attaque or- date du groupe se différencie de les identifiants de leurs cibles.
chestrée en août par le groupe. ces dernières. En effet, cette attaque
SOURCES ET RÉFÉRENCES :
https://www.clearskysec.com/the-kittens-are-back-in-town
MOTS CLEFS : IRAN, APT, CYBERESPIONNAGE, CHARMING KITTEN
[ADAPTIVEMOBILE] NOUVELLE ATTAQUE MOBILE VIA SMS
Les chercheurs d’AdaptiveMobile tous les opérateurs mobiles n’uti- puis au moins 2 ans, mais aucune
Security ont révélé le 12 septembre lisent pas le protocole S@T, cette attribution d’acteur n’a encore été
l’existence d’une nouvelle attaque vulnérabilité pourrait toucher plus faite.
nommée Simjacker visant les ap- d’un milliard de terminaux.
pareils mobiles. Bien que cette vulnérabilité semble
Les attaques possibles incluent le impressionnante, sa criticité n’est
L’attaque consiste en un code spé- suivi de localisation, la fraude, le pas encore claire. En effet, le sui-
cifique envoyé par SMS qui exploite déni de service, la propagation de vi de localisation ne révèle qu’une
le navigateur S@T, un ancien logiciel programmes malveillants, etc. Tous position relative et de nombreuses
présent sur certaines cartes SIM. Par les fabricants de mobiles ainsi que attaques s’appuient sur l’ingénierie
conséquent, en envoyant un SMS les appareils IoT utilisant une carte sociale pour être exécutées. Plus
contenant ce code à un numéro ci- SIM vulnérable peuvent être impac- d’informations et de détails seront
blé, les attaquants pourraient être tés. fournis par AdaptiveMobile lors de la
en mesure d’interagir avec la biblio- conférence Virus Bulletin à Londres
thèque du navigateur S@T. Bien que La vulnérabilité serait exploitée de- cet octobre.
SOURCES ET RÉFÉRENCES :
https://www.adaptivemobile.com/blog/simjacker-next-generation-spying-over-mobile
MOTS CLEFS : MOBILE, S@T, ESPIONNAGE
312 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 SEPTEMBRE 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[TREASURY.GOV] LE TRÉSOR AMÉRICAIN IMPOSE DES SANCTIONS SECONDAIRES AUX
GROUPES DE PIRATES NORD-CORÉENS
Les groupes nord-coréens La- économiques et commerciales dites nord-coréens, mais aussi potentiel-
zarus, Bluenoroff et Andariel ont «secondaires». C’est à dire que toute lement le réseau de banques, sites
été inscrits sur la liste des entités entité non américaine commerçant de jeu en ligne et sites d’échange
sanctionnées et spécifiquement avec ces groupes pourra se voir ins- de crypto-monnaies qui facilitent le
désignées (Specially Designated crite à son tour sur cette liste, avec blanchiment de l’argent dérobé par
Nationals) des Etats-Unis. pour conséquence la fermeture to- ces trois groupes.
tale du marché américain.
Ils rejoignent le GRU et le FSB Reste à voir quels seront les effets
russes ainsi que la Section de Cette mesure devrait principalement (ou les conséquences) de cette me-
guerre électronique et cyber de impacter les organisations chinoises sure.
l’armée iranienne. Ces entités sont suspectées d’accueillir ou de four-
désormais soumises à des sanctions nir des infrastructures aux pirates
SOURCES ET RÉFÉRENCES :
https://home.treasury.gov/news/press-releases/sm774
https://www.atlanticcouncil.org/blogs/econographics/ole-moehr-3/
MOTS CLEFS : LAZARUS, BLUENOROFF, ANDARIEL, BANQUES, CRYPTOMONNAIES, SANCTIONS
[REUTERS] UN RAPPORT SECRET ATTRIBUE L’ATTAQUE SUR LE PARLEMENT ET LES
PARTIS POLITIQUES AUSTRALIENS AU GOUVERNEMENT CHINOIS
Selon Reuters, les services secrets APT3, APT10 et APT17 sont contrôlés non-agression cyber» : les deux pays
australiens estimeraient que le par des entités régionales du MSS. s’engageaient alors à ne pas lancer
gouvernement chinois, par le biais de cyber-opération d’espionnage
du ministère de la Sécurité de l’État En juillet 2018, le renseignement économique l’un envers l’autre. Ce
(MSS), serait à l’origine du piratage, australien attribuait également au sont après tout de très bons parte-
en février dernier, des serveurs du gouvernement chinois le piratage de naires commerciaux, au grand dam
parlement australien, de la coali- l’Université nationale australienne, des Etats-Unis. Cependant, cette
tion Nationale-Libérale et du parti hôte de nombreux projets militaires. preuve de bonne volonté n’incluait
travailliste. évidemment pas l’espionnage poli-
L’Australie et la Chine avaient bien tique ou militaire.
Pour rappel, plusieurs chercheurs signé en avril 2017 «un pacte de
estiment que les modes opératoires
SOURCES ET RÉFÉRENCES :
https://www.reuters.com/article/us-australia-china-cyber-exclusive/exclusive-australia-concluded-chi-
na-was-behind-hack-on-parliament-political-parties-sources-idUSKBN1W00VF
https://www.smh.com.au/politics/federal/chinese-hackers-breach-anu-putting-national-security-at-risk-
20180706-p4zq0q.html
MOTS CLEFS : APT17, APT10, AUSTRALIE, MSS, GOUVERNEMENT
412 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 SEPTEMBRE 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[TALOS] LE RETOUR DES CRYPTOMINEURS
Le minage de cryptomonnaie mal- los ont détaillé les activités récentes cybercriminels pour ses transactions
veillant est de plus en plus courant. d’un groupe cybercriminel nommé anonymes. D’autres cryptomineurs
Il s’agit d’une tactique qui permet Panda, auquel ils attribuent la distri- ont été découverts récemment;
aux groupes cybercriminels de bution du cryptominer ‘MassMiner’ notamment ‘Skidmap’, qui cible les
monétiser des machines compro- depuis 2018. systèmes d’exploitation UNIX/Li-
mises en utilisant leurs ressources nux, très répandus sur les serveurs
pour générer des cryptomonnaies. Ce malware infecte les machines et les environnements cloud.
Microsoft Windows en exploi-
La tendance est soutenue par une tant des vulnérabilités publiques
augmentation des cours des cryp- pour se propager, pour ensuite
tomonnaies depuis le début de miner la cryptomonnaie Monero,
l’année. Les chercheurs de Cisco Ta- particulièrement appréciée par les
SOURCES ET RÉFÉRENCES :
https://blog.talosintelligence.com/2019/09/panda-evolution.html
https://blog.trendmicro.com/trendlabs-security-intelligence/fileless-cryptocurrency-miner-ghostmi-
ner-weaponizes-wmi-objects-kills-other-cryptocurrency-mining-payloads/
https://blog.trendmicro.com/trendlabs-security-intelligence/skidmap-linux-malware-uses-rootkit-capabi-
lities-to-hide-cryptocurrency-mining-payload/
MOTS CLEFS : CRYPTOMINING, PANDA, MASSMINER, SKIDMAP, LINUX
[FORTINET] NEMTY 1.0 : GENÈSE D’UN NOUVEAU RANSOMWARE
Un nouveau rançongiciel appelé initiale de développement. l’Est afin d’éviter d’attirer l’attention
Nemty a été découvert. Le nouveau des autorités locales. La méthode
malware semble être en cours de Certains artefacts présents dans de distribution documentée jusqu’ici
développement et présente des le malware laissent penser que les se limite au malvertising; les cyber-
ressemblances avec d’autres ran- développeurs ou les opérateurs criminels se procurent des espaces
somwares tels que Sodinokibi et sont russophones, notamment la publicitaires sur des sites légitimes
GrandCrab. présence d’un module de géolocali- pour y placer des liens malveillants.
sation qui abandonne le chiffrement Des indices techniques suggèrent
L’analyse des échantillons révèle des des fichiers de la victime si la ma- que le rançongiciel suit un modèle
fonctionnalités incomplètes ou non chine infectée est localisée dans de Malware as a Service, le passage
utilisées ainsi que des techniques certains pays d’Europe orientale, une à d’autres méthodes de distribution
atypiques de chiffrement, suggérant pratique commune aux groupes cy- tel que le phishing n’est donc pas à
que le malware est dans la phase bercriminels opérant en Europe de écarter.
SOURCES ET RÉFÉRENCES :
https://www.fortinet.com/blog/threat-research/nemty-ransomware-early-stage-threat.htmll
MOTS CLEFS : RANSOMWARE, NEMTY
512 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 SEPTEMBRE 2019
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
PowerShell : usages offensifs et opportunités Focus adversaire : MuddyWater
défensives [1/3]
MuddyWater, aussi connu sous le nom de Seedworm
Dans le cadre de son activité de suivi et d’analyse des diffé- et TEMP.Zagros, est un mode opératoire supposé éta-
rents groupes d’activité, SEKOIA observe des tendances tique actif depuis au moins 2017. Même s’il semblerait
claires quant aux outils et langages utilisés. PowerShell que le groupe ait pour donneur d’ordre la République
s’est — et ce depuis quelques années déjà — affirmé islamique d’Iran, une affiliation avec le gouvernement
comme étant un des langages privilégiés par les atta- iranien reste à confirmer.
quants. Ces derniers l’utilisent tôt ou tard dans leur chaîne
d’exécution d’attaque, comme outil principal ou langage —> Le billet complet
« support ». Cette persévérance de l’utilisation du lan-
gage de scripting dans les différents schémas d’attaques
crée de nombreuses opportunités pour les défenseurs.
—> Le billet complet
Cybersecurity skills shortage: 4 advices to better
deal with it
According to a Gartner survey, 61% of companies are
struggling to hire security professionals. In an area of low
unemployment where the need for qualified workers is
constantly growing, companies are fighting to discover
and keep the experts they need to ensure the achieve-
ment of strategic goals.
—> Le billet complet
612 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 20 SEPTEMBRE 2019
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE APP & FEED SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
7Vous pouvez aussi lire
