SILENCE : ON FRAUDE - sekoia
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
11 13 01SEPTEMBRE MARS 2019 2019 TLP WHITE SEKOIA THREAT INTELLIGENCE WEEKLY REPORT TLP WHITE SILENCE : ON FRAUDE de données des « prospects » du groupe ainsi vali- dée et nettoyée, Silence envoie un message conte- nant un document Office malveillant ou un fichier .LNK. Si le destinataire a cliqué sur un lien, il sera sûrement susceptible d’activer quelques macros. Le groupe Silence sévit depuis au moins trois ans 170.000 courriels de reconnaissance auraient été et compte à son actif une bonne dizaine de cam- envoyés depuis octobre 2018. Le groupe disposerait pagnes menées contre des établissements ban- d’une base de « contacts » d’environ 85.000 desti- caires dans une trentaine de pays pour un « chiffre nataires qualifiés. d’affaires » estimé à 4,2 millions de dollars. Autre changement notable : l’utilisation de tech- D’après un rapport de la société Group-IB, Silence niques dites « fileless », c’est-à-dire ne reposant aurait modifié son mode opératoire en 2018 en pas sur l’installation de fichiers sur le disque dur des l’agrémentant d’une étape de reconnaissance. ordinateurs compromis. Tout se passe en mémoire. L’inconvénient : ces techniques ne résistent pas Cette étape consiste à envoyer un courriel d’ap- toujours à un redémarrage de la machine infectée. parence anodine à ses futures cibles. Ce courriel L’avantage : c’est beaucoup plus furtif, ça ne laisse contient un hyperlien ou une image dont l’ouverture que peu de traces et ça rend ces menaces moins dé- permet au groupe de valider l’existence d’une boîte tectables. Silence utilise ainsi Ivoke, un téléchargeur aux lettres électroniques. Cela évite d’envoyer des fileless développé en PowerShell. messages piégés à des adresses inexistantes ou à des utilisateurs trop méfiants qui n’auraient pas cli- Le groupe reste fidèle à ses habitudes dont celle de qué sur l’hyperlien ni chargé l’image. Une fois la base s’inspirer des méthodes d’autres groupes malveil- Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr que géopolitiques. Abonnez-vous pour le recevoir automatiquement par e-mail. 1
11 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019 TLP WHITE SILENCE : ON FRAUDE lants et d’utiliser de préférence des outils génériques L’analyse des outils de Silence par Group-IB a mis en bien connus souvent destinés aux pentesteurs pour lumière des similitudes entre Silence.Downloader avec mener leurs attaques. Les framework Empire et dns- FlawedAmmyy.Downloader qui serait utilisé par le cat2 sont couramment exploités par Silence pour les groupe TA505 (groupe lui aussi spécialisé dans le cy- mouvements latéraux. bercrime financier). FlawedAmmyy est un RAT (Remote Access Tool) dérivé d’un logiciel d’accès distant légitime, L’objectif de Silence est de prendre la main sur les Ammyy Admin, dont le code source a malencontreu- systèmes de paiement par cartes bancaires ou sur sement fuité et n’a pas été perdu pour tout le monde. les distributeurs de billets. Silence utilise alors des TA505 est le groupe à qui l’on doit le succès de malwares mules pour retirer l’argent à des distributeurs. Une comme Dridex ou Locky. Il est vraisemblable qu’un seul attaque contre la Dutch-Bangla Bank du Bangla- et même développeur soit derrière le Downloader utilisé desh a conduit au retrait de 3 millions de dollars en par les deux groupes. cash. L’arrestation de 6 de ses mules – des citoyens ukrainiens – n’a pas freiné les ardeurs de Silence Arrivé tardivement sur la scène du cybercrime, Silence pour autant. n’a pas fini de faire parler de lui... Sources et références : • https://www.group-ib.com/resources/threat-re- search/silence_2.0.going_global.pdf • https://nakedsecurity.sophos.com/2019/08/22/ the-silence-hacking-crew-grows-louder/ • https://www.bleepingcomputer.com/news/se- curity/silence-advanced-hackers-attack-banks- all-over-the-world/ Chose peu courante pour un groupe supposé d’ori- gine russe, Silence s’est attaqué à des banques russes. En février 2019, une campagne a ciblé la Omsk IT Bank dont les comptes ont été allégés de 400.000 dollars. Silence a poussé le bouchon (de vodka) jusqu’à falsifier des enregistrements Sender Policy Framework (SPF) pour usurper l’identité de la Banque centrale de Russie. SPF est utilisé pour lutter contre les spams et le vol d’identité numérique… Fort de ses succès Silence a étendu ses activités au reste du monde. Trois pays d’Asie ont été parti- culièrement ciblés : Taïwan, la Malaisie et la Corée du Sud. L’Amérique n’a pas été épargnée ni l’Europe, dans de moindres mesures cependant. 2
11 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [THREATPOST] NOUVELLE FAILLE CRITIQUE POUR EXIM Quelques mois après la vulné- Cette vulnérabilité permet à un atta- serveurs utilisant TLS - protocole rabilité CVE-2019-10149, le très quant local ou distant non-authen- très certainement en place dans populaire service de messagerie tifié d’exécuter du code arbitraire nombre d’entreprises. Un Proof of électronique Exim se voit à nou- avec des droits root. Concept existe mais ne semble pas veau victime d’une vulnérabilité être disponible publiquement. Une critique. Cette nouvelle faille, nom- Cette faille détourne une fonction nouvelle version (4.92.2) d’Exim est mée - CVE-2019-15846 - impacte présente lors de l’initialisation du déjà disponible et nous recomman- toutes les versions d’Exim jusqu’à protocole de chiffrement TLS. Cette dons à tous les utilisateurs de l’ins- (et incluant) la version 4.92.1. dernière n’impacte donc que les taller au plus vite. SOURCES ET RÉFÉRENCES : https://media.cert.europa.eu/static/SecurityAdvisories/2019/CERT-EU-SA2019-019.pdf https://threatpost.com/critical-exim-flaw-opens-millions-of-servers-to-takeover/148108/ MOTS CLEFS : EXIM, MTA, VULNÉRABILITÉ, RCE [CYBERSCOOP] L’U.S. CYBER COMMAND MET À DISPOSITION DE NOUVEAUX SAMPLES NORD-CORÉENS Le 8 septembre, l’U.S. Cyber opéré par le groupe d’attaquants au gouvernement nord-coréen qu’il Command a mis à disposition 11 nord-coréen Lazarus. n’est pas anonyme dans ses at- échantillons de malware sur la taques cybernétiques. plateforme d’analyse VirusTotal. Si ce dépôt d’échantillons permet à divers chercheurs d’analyser le Les échantillons déposés semblent comportement de ces souches, il in- être liés au trojan «HOPLIGHT» dique aussi une volonté de signaler SOURCES ET RÉFÉRENCES : https://www.cyberscoop.com/cyber-command-virus-total-north-korean-malware/ MOTS CLEFS : CORÉE DU NORD, LAZARUS, VIRUSTOTAL 3
11 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [SIEMENS] MULTIPLES VULNÉRABILITÉS DANS LES PRODUITS SIEMENS Le groupe allemand Siemens a Siemens recommande d’installer permettant à un attaquant, entre publié plusieurs rapports sur des les patchs et les hot fix publiés par autres, l’exécution de code à dis- vulnérabilités affectant des pro- Microsoft, mais pour certains pro- tance sur certains produits, ainsi que duits de leurs différentes filiales. duits, il est fortement recommandé des vulnérabilités du type déni de d’appliquer des correctifs supplé- service, XSS et CSRF. Notamment, 27 appareils médicaux mentaires pour mitiger les risques produits par la filiale ‘Healthineers’ en attendant des patchs spécifiques. sont vulnérables à la faille ‘DejaBlue’ qui touche les systèmes Micro- Les autres rapports détaillent soft Windows. Le communiqué de plusieurs vulnérabilités critiques SOURCES ET RÉFÉRENCES : https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-429/ https://cert-portal.siemens.com/productcert/pdf/ssa-187667.pdf https://cert-portal.siemens.com/productcert/pdf/ssa-189842.pdf MOTS CLEFS : SCADA, SIEMENS, SANTÉ [JUSTICE.GOV] 281 SUSPECTS ARRÊTÉS DANS LE MONDE POUR LUTTER CONTRE LES FRAUDES DE TYPE BUSINESS EMAIL COMPROMISE Le ministère de la Justice des nation internationale qui a permis sé depuis quelques années. En effet, États-Unis a annoncé l’arrestation l’arrestation de centaines de per- Le FBI estime, qu’entre 2016 et 2019, de 281 suspects dans le monde sonnes aux États-Unis et à l’étranger plus de 166 000 cas ont été remon- pour escroqueries et fraudes par dont une majorité (167) au Nigéria, tés mondialement, représentant courrier électronique, une menace 18 en Turquie et 15 au Ghana. Des plus de 26 milliards de dollars de communément appelée - Business arrestations ont également été ef- préjudices aux victimes. Email Compromise (BEC). fectuées en France, en Italie, au Japon, etc. L’opération Rewired a impliqué une nouvelle fois une véritable coordi- Ces fraudes de type BEC ont explo- SOURCES ET RÉFÉRENCES : https://www.justice.gov/opa/pr/281-arrested-worldwide-coordinated-international-enforcement-opera- tion-targeting-hundreds https://www.fbi.gov/news/stories/operation-rewired-bec-takedown-091019 MOTS CLEFS : BEC, FBI 4
11 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [THREATPOST] WIKIPEDIA ET DES SERVEURS DE JEUX VIDÉOS VICTIMES D’AT- TAQUES PAR DÉNI DE SERVICES Plusieurs serveurs de jeux vidéos visant les serveurs de Wikipédia. Le Twitch, la plateforme de streaming ainsi que ceux de Wikipedia ont but de l’attaque selon les tweets la plus populaire parmi les joueurs été victimes de cyberattaques de étant de “tester” leurs capacités et de jeux vidéos. Les attaquants type Déni de Service par un acteur prouver l’authenticité du compte semblent être motivés par l’égo et inconnu jusqu’à maintenant. Twitter. la recherche de notoriété dans le milieu des jeux vidéo en ligne. Le 6 septembre, le compte Twitter Les attaquants se sont ensuite tour- ‘UkDrillas’ a publié un tweet détail- nés vers les serveurs de jeux vidéo lant une attaque de Déni de Service de la société Blizzard, ainsi que SOURCES ET RÉFÉRENCES : https://threatpost.com/wikipedia-world-of-warcraft-ddos-attacks/148121/ https://web.archive.org/web/20190907211519/https:/twitter.com/ukdrillas https://pbs.twimg.com/media/ED0B5BGXkAEICS8?format=jpg&name=small MOTS CLEFS : DDOS, GAMING NOS DERNIERS BILLETS MEDIUM | medium.com/cyberthreatintel | medium.com/sekoia-io-blog | The Pyramid of Pain ou l’échelle de la cyber-dou- MITRE ATT&CK™ : de l’importance de la leur temporalité En 2013, David Bianco publiait sur le concept de « Pyra- Dans le cas de la mise en oeuvre d’un scénario plus ou mid of Pain » (PoP) que l’on peut traduire en français en moins long, l’analyste est rapidement confronté à un « échelle de la cyber-douleur ». problème de taille : l’absence de marqueur temporel —> Le billet complet dans le Navigator de MITRE ATT&CK™. Or, un scénario peut se définir comme le déroulement d’un plan, d’un processus, et est constitué d’un ensemble d’actions se Cybersecurity skills shortage: 4 advices to better succédant avec une notion de temporalité. deal with it —> Le billet complet According to a Gartner survey, 61% of companies are struggling to hire security professionals. In an area of low unemployment where the need for qualified workers is constantly growing, companies are fighting to discover and keep the experts they need to ensure the achieve- ment of strategic goals. —> Le billet complet 5
11 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 13 SEPTEMBRE 2019 TLP WHITE INTELLIGENCE-DRIVEN CYBERSECURITY POUR SIGNALER UN INCIDENT Si vous êtes victime d’une attaque, si vous avez un doute ou si vous désirez revenir et investiguer sur un incident de sécurité, prenez contact avec le CERT SEKOIA. cert@sekoia.fr +33 (0) 805 692 142 SEKOIA accompagne les premières sociétés du CAC40 dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA- TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ- offre ses services à des OIV et autres acteurs du CAC40 FENSE. et du SBF120. SEKOIA.IO, une solution SaaS pour la détection et la réponse aux incidents de sécurité à un nouveau rythme. SEKOIA.IO exploite une CTI exclusive, des technologies innovantes d’orchestration et d’automatisation et repose sur une infrastructure scalable pour répondre au désé- quilibre croissant existant entre les équipes de défense LA THREAT INTELLIGENCE, et les attaquants. PIERRE ANGULAIRE DE LA LUTTE INFORMATIQUE DEFENSIVE SEKOIA dispose d’une offre complète en matière de Cyber Threat Intelligence : • conseil & accompagnement, A PROPOS DE SEKOIA • formation, Pure player et acteur français majeur de la cybersécuri- • veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes, institutions et entreprises innovantes pour les conseiller SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et assistance dans l’exercice de leurs métiers comme dans SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces. SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure, un modèle et une stratégie innovante • base de renseignements cyber : dans le secteur de la cybersécurité. SEKOIA THREAT INTELLIGENCE APP & FEED SEKOIA — PARIS 18-20, Place de la Madeleine, 75008 Paris SEKOIA — RENNES 1137A Avenue des Champs Blancs 35510 CESSON-SÉVIGNÉ — Tél. +33 1 44 43 54 13 — sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr medium.com/cyberthreatintel | medium.com/sekoia-io-blog 6
Vous pouvez aussi lire