SILENCE : ON FRAUDE - sekoia
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
11 13
01SEPTEMBRE
MARS 2019 2019
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
SILENCE : ON
FRAUDE
de données des « prospects » du groupe ainsi vali-
dée et nettoyée, Silence envoie un message conte-
nant un document Office malveillant ou un fichier
.LNK. Si le destinataire a cliqué sur un lien, il sera
sûrement susceptible d’activer quelques macros.
Le groupe Silence sévit depuis au moins trois ans 170.000 courriels de reconnaissance auraient été
et compte à son actif une bonne dizaine de cam- envoyés depuis octobre 2018. Le groupe disposerait
pagnes menées contre des établissements ban- d’une base de « contacts » d’environ 85.000 desti-
caires dans une trentaine de pays pour un « chiffre nataires qualifiés.
d’affaires » estimé à 4,2 millions de dollars.
Autre changement notable : l’utilisation de tech-
D’après un rapport de la société Group-IB, Silence niques dites « fileless », c’est-à-dire ne reposant
aurait modifié son mode opératoire en 2018 en pas sur l’installation de fichiers sur le disque dur des
l’agrémentant d’une étape de reconnaissance. ordinateurs compromis. Tout se passe en mémoire.
L’inconvénient : ces techniques ne résistent pas
Cette étape consiste à envoyer un courriel d’ap- toujours à un redémarrage de la machine infectée.
parence anodine à ses futures cibles. Ce courriel L’avantage : c’est beaucoup plus furtif, ça ne laisse
contient un hyperlien ou une image dont l’ouverture que peu de traces et ça rend ces menaces moins dé-
permet au groupe de valider l’existence d’une boîte tectables. Silence utilise ainsi Ivoke, un téléchargeur
aux lettres électroniques. Cela évite d’envoyer des fileless développé en PowerShell.
messages piégés à des adresses inexistantes ou à
des utilisateurs trop méfiants qui n’auraient pas cli- Le groupe reste fidèle à ses habitudes dont celle de
qué sur l’hyperlien ni chargé l’image. Une fois la base s’inspirer des méthodes d’autres groupes malveil-
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
11 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019
TLP WHITE
SILENCE : ON FRAUDE
lants et d’utiliser de préférence des outils génériques L’analyse des outils de Silence par Group-IB a mis en
bien connus souvent destinés aux pentesteurs pour lumière des similitudes entre Silence.Downloader avec
mener leurs attaques. Les framework Empire et dns- FlawedAmmyy.Downloader qui serait utilisé par le
cat2 sont couramment exploités par Silence pour les groupe TA505 (groupe lui aussi spécialisé dans le cy-
mouvements latéraux. bercrime financier). FlawedAmmyy est un RAT (Remote
Access Tool) dérivé d’un logiciel d’accès distant légitime,
L’objectif de Silence est de prendre la main sur les Ammyy Admin, dont le code source a malencontreu-
systèmes de paiement par cartes bancaires ou sur sement fuité et n’a pas été perdu pour tout le monde.
les distributeurs de billets. Silence utilise alors des TA505 est le groupe à qui l’on doit le succès de malwares
mules pour retirer l’argent à des distributeurs. Une comme Dridex ou Locky. Il est vraisemblable qu’un seul
attaque contre la Dutch-Bangla Bank du Bangla- et même développeur soit derrière le Downloader utilisé
desh a conduit au retrait de 3 millions de dollars en par les deux groupes.
cash. L’arrestation de 6 de ses mules – des citoyens
ukrainiens – n’a pas freiné les ardeurs de Silence Arrivé tardivement sur la scène du cybercrime, Silence
pour autant. n’a pas fini de faire parler de lui...
Sources et références :
• https://www.group-ib.com/resources/threat-re-
search/silence_2.0.going_global.pdf
• https://nakedsecurity.sophos.com/2019/08/22/
the-silence-hacking-crew-grows-louder/
• https://www.bleepingcomputer.com/news/se-
curity/silence-advanced-hackers-attack-banks-
all-over-the-world/
Chose peu courante pour un groupe supposé d’ori-
gine russe, Silence s’est attaqué à des banques
russes. En février 2019, une campagne a ciblé la
Omsk IT Bank dont les comptes ont été allégés de
400.000 dollars. Silence a poussé le bouchon (de
vodka) jusqu’à falsifier des enregistrements Sender
Policy Framework (SPF) pour usurper l’identité de la
Banque centrale de Russie. SPF est utilisé pour lutter
contre les spams et le vol d’identité numérique…
Fort de ses succès Silence a étendu ses activités
au reste du monde. Trois pays d’Asie ont été parti-
culièrement ciblés : Taïwan, la Malaisie et la Corée
du Sud. L’Amérique n’a pas été épargnée ni l’Europe,
dans de moindres mesures cependant.
211 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[THREATPOST] NOUVELLE FAILLE CRITIQUE POUR EXIM
Quelques mois après la vulné- Cette vulnérabilité permet à un atta- serveurs utilisant TLS - protocole
rabilité CVE-2019-10149, le très quant local ou distant non-authen- très certainement en place dans
populaire service de messagerie tifié d’exécuter du code arbitraire nombre d’entreprises. Un Proof of
électronique Exim se voit à nou- avec des droits root. Concept existe mais ne semble pas
veau victime d’une vulnérabilité être disponible publiquement. Une
critique. Cette nouvelle faille, nom- Cette faille détourne une fonction nouvelle version (4.92.2) d’Exim est
mée - CVE-2019-15846 - impacte présente lors de l’initialisation du déjà disponible et nous recomman-
toutes les versions d’Exim jusqu’à protocole de chiffrement TLS. Cette dons à tous les utilisateurs de l’ins-
(et incluant) la version 4.92.1. dernière n’impacte donc que les taller au plus vite.
SOURCES ET RÉFÉRENCES :
https://media.cert.europa.eu/static/SecurityAdvisories/2019/CERT-EU-SA2019-019.pdf
https://threatpost.com/critical-exim-flaw-opens-millions-of-servers-to-takeover/148108/
MOTS CLEFS : EXIM, MTA, VULNÉRABILITÉ, RCE
[CYBERSCOOP] L’U.S. CYBER COMMAND MET À DISPOSITION DE NOUVEAUX SAMPLES
NORD-CORÉENS
Le 8 septembre, l’U.S. Cyber opéré par le groupe d’attaquants au gouvernement nord-coréen qu’il
Command a mis à disposition 11 nord-coréen Lazarus. n’est pas anonyme dans ses at-
échantillons de malware sur la taques cybernétiques.
plateforme d’analyse VirusTotal. Si ce dépôt d’échantillons permet
à divers chercheurs d’analyser le
Les échantillons déposés semblent comportement de ces souches, il in-
être liés au trojan «HOPLIGHT» dique aussi une volonté de signaler
SOURCES ET RÉFÉRENCES :
https://www.cyberscoop.com/cyber-command-virus-total-north-korean-malware/
MOTS CLEFS : CORÉE DU NORD, LAZARUS, VIRUSTOTAL
311 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[SIEMENS] MULTIPLES VULNÉRABILITÉS DANS LES PRODUITS SIEMENS
Le groupe allemand Siemens a Siemens recommande d’installer permettant à un attaquant, entre
publié plusieurs rapports sur des les patchs et les hot fix publiés par autres, l’exécution de code à dis-
vulnérabilités affectant des pro- Microsoft, mais pour certains pro- tance sur certains produits, ainsi que
duits de leurs différentes filiales. duits, il est fortement recommandé des vulnérabilités du type déni de
d’appliquer des correctifs supplé- service, XSS et CSRF.
Notamment, 27 appareils médicaux mentaires pour mitiger les risques
produits par la filiale ‘Healthineers’ en attendant des patchs spécifiques.
sont vulnérables à la faille ‘DejaBlue’
qui touche les systèmes Micro- Les autres rapports détaillent
soft Windows. Le communiqué de plusieurs vulnérabilités critiques
SOURCES ET RÉFÉRENCES :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-429/
https://cert-portal.siemens.com/productcert/pdf/ssa-187667.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-189842.pdf
MOTS CLEFS : SCADA, SIEMENS, SANTÉ
[JUSTICE.GOV] 281 SUSPECTS ARRÊTÉS DANS LE MONDE POUR LUTTER CONTRE
LES FRAUDES DE TYPE BUSINESS EMAIL COMPROMISE
Le ministère de la Justice des nation internationale qui a permis sé depuis quelques années. En effet,
États-Unis a annoncé l’arrestation l’arrestation de centaines de per- Le FBI estime, qu’entre 2016 et 2019,
de 281 suspects dans le monde sonnes aux États-Unis et à l’étranger plus de 166 000 cas ont été remon-
pour escroqueries et fraudes par dont une majorité (167) au Nigéria, tés mondialement, représentant
courrier électronique, une menace 18 en Turquie et 15 au Ghana. Des plus de 26 milliards de dollars de
communément appelée - Business arrestations ont également été ef- préjudices aux victimes.
Email Compromise (BEC). fectuées en France, en Italie, au
Japon, etc.
L’opération Rewired a impliqué une
nouvelle fois une véritable coordi- Ces fraudes de type BEC ont explo-
SOURCES ET RÉFÉRENCES :
https://www.justice.gov/opa/pr/281-arrested-worldwide-coordinated-international-enforcement-opera-
tion-targeting-hundreds
https://www.fbi.gov/news/stories/operation-rewired-bec-takedown-091019
MOTS CLEFS : BEC, FBI
411 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[THREATPOST] WIKIPEDIA ET DES SERVEURS DE JEUX VIDÉOS VICTIMES D’AT-
TAQUES PAR DÉNI DE SERVICES
Plusieurs serveurs de jeux vidéos visant les serveurs de Wikipédia. Le Twitch, la plateforme de streaming
ainsi que ceux de Wikipedia ont but de l’attaque selon les tweets la plus populaire parmi les joueurs
été victimes de cyberattaques de étant de “tester” leurs capacités et de jeux vidéos. Les attaquants
type Déni de Service par un acteur prouver l’authenticité du compte semblent être motivés par l’égo et
inconnu jusqu’à maintenant. Twitter. la recherche de notoriété dans le
milieu des jeux vidéo en ligne.
Le 6 septembre, le compte Twitter Les attaquants se sont ensuite tour-
‘UkDrillas’ a publié un tweet détail- nés vers les serveurs de jeux vidéo
lant une attaque de Déni de Service de la société Blizzard, ainsi que
SOURCES ET RÉFÉRENCES :
https://threatpost.com/wikipedia-world-of-warcraft-ddos-attacks/148121/
https://web.archive.org/web/20190907211519/https:/twitter.com/ukdrillas
https://pbs.twimg.com/media/ED0B5BGXkAEICS8?format=jpg&name=small
MOTS CLEFS : DDOS, GAMING
NOS DERNIERS BILLETS MEDIUM
| medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
The Pyramid of Pain ou l’échelle de la cyber-dou- MITRE ATT&CK™ : de l’importance de la
leur temporalité
En 2013, David Bianco publiait sur le concept de « Pyra- Dans le cas de la mise en oeuvre d’un scénario plus ou
mid of Pain » (PoP) que l’on peut traduire en français en moins long, l’analyste est rapidement confronté à un
« échelle de la cyber-douleur ». problème de taille : l’absence de marqueur temporel
—> Le billet complet dans le Navigator de MITRE ATT&CK™. Or, un scénario
peut se définir comme le déroulement d’un plan, d’un
processus, et est constitué d’un ensemble d’actions se
Cybersecurity skills shortage: 4 advices to better succédant avec une notion de temporalité.
deal with it
—> Le billet complet
According to a Gartner survey, 61% of companies are
struggling to hire security professionals. In an area of low
unemployment where the need for qualified workers is
constantly growing, companies are fighting to discover
and keep the experts they need to ensure the achieve-
ment of strategic goals.
—> Le billet complet
511 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE APP & FEED SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
6Vous pouvez aussi lire
