SILENCE : ON FRAUDE - sekoia

La page est créée Yann Langlois
 
CONTINUER À LIRE
SILENCE : ON FRAUDE - sekoia
11                                                                                      13
                                                                                                                  01SEPTEMBRE
                                                                                                                     MARS 2019 2019

                                                                                                                   TLP WHITE

            SEKOIA
            THREAT INTELLIGENCE
            WEEKLY REPORT
                                                                                                                   TLP WHITE

                                                          SILENCE : ON
                                                          FRAUDE

                                                                 de données des « prospects » du groupe ainsi vali-
                                                                 dée et nettoyée, Silence envoie un message conte-
                                                                 nant un document Office malveillant ou un fichier
                                                                 .LNK. Si le destinataire a cliqué sur un lien, il sera
                                                                 sûrement susceptible d’activer quelques macros.
Le groupe Silence sévit depuis au moins trois ans                170.000 courriels de reconnaissance auraient été
et compte à son actif une bonne dizaine de cam-                  envoyés depuis octobre 2018. Le groupe disposerait
pagnes menées contre des établissements ban-                     d’une base de « contacts » d’environ 85.000 desti-
caires dans une trentaine de pays pour un « chiffre              nataires qualifiés.
d’affaires » estimé à 4,2 millions de dollars.
                                                                 Autre changement notable : l’utilisation de tech-
D’après un rapport de la société Group-IB, Silence               niques dites « fileless », c’est-à-dire ne reposant
aurait modifié son mode opératoire en 2018 en                    pas sur l’installation de fichiers sur le disque dur des
l’agrémentant d’une étape de reconnaissance.                     ordinateurs compromis. Tout se passe en mémoire.
                                                                 L’inconvénient : ces techniques ne résistent pas
Cette étape consiste à envoyer un courriel d’ap-                 toujours à un redémarrage de la machine infectée.
parence anodine à ses futures cibles. Ce courriel                L’avantage : c’est beaucoup plus furtif, ça ne laisse
contient un hyperlien ou une image dont l’ouverture              que peu de traces et ça rend ces menaces moins dé-
permet au groupe de valider l’existence d’une boîte              tectables. Silence utilise ainsi Ivoke, un téléchargeur
aux lettres électroniques. Cela évite d’envoyer des              fileless développé en PowerShell.
messages piégés à des adresses inexistantes ou à
des utilisateurs trop méfiants qui n’auraient pas cli-           Le groupe reste fidèle à ses habitudes dont celle de
qué sur l’hyperlien ni chargé l’image. Une fois la base          s’inspirer des méthodes d’autres groupes malveil-

       Le THREAT INTELLIGENCE WEEKLY REPORT                   Vous retrouverez en dernière page des détails sur nos offres
       est publié publiquement et gratuitement chaque         de Cyber Threat Intelligence. Ces publications sont réservées à
       semaine pour faciliter la compréhension des cy-        nos clients, adaptées à leur secteur d’activité et à leurs besoins
       bermenaces dans ses dimensions tant techniques         spécifiques. Pour plus d’informations : threatintel@sekoia.fr
       que géopolitiques. Abonnez-vous pour le recevoir
       automatiquement par e-mail.

                                                          1
SILENCE : ON FRAUDE - sekoia
11                  SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                         13 SEPTEMBRE 2019

                                                                                                         TLP WHITE

                                            SILENCE : ON FRAUDE

lants et d’utiliser de préférence des outils génériques       L’analyse des outils de Silence par Group-IB a mis en
bien connus souvent destinés aux pentesteurs pour             lumière des similitudes entre Silence.Downloader avec
mener leurs attaques. Les framework Empire et dns-            FlawedAmmyy.Downloader qui serait utilisé par le
cat2 sont couramment exploités par Silence pour les           groupe TA505 (groupe lui aussi spécialisé dans le cy-
mouvements latéraux.                                          bercrime financier). FlawedAmmyy est un RAT (Remote
                                                              Access Tool) dérivé d’un logiciel d’accès distant légitime,
L’objectif de Silence est de prendre la main sur les          Ammyy Admin, dont le code source a malencontreu-
systèmes de paiement par cartes bancaires ou sur              sement fuité et n’a pas été perdu pour tout le monde.
les distributeurs de billets. Silence utilise alors des       TA505 est le groupe à qui l’on doit le succès de malwares
mules pour retirer l’argent à des distributeurs. Une          comme Dridex ou Locky. Il est vraisemblable qu’un seul
attaque contre la Dutch-Bangla Bank du Bangla-                et même développeur soit derrière le Downloader utilisé
desh a conduit au retrait de 3 millions de dollars en         par les deux groupes.
cash. L’arrestation de 6 de ses mules – des citoyens
ukrainiens – n’a pas freiné les ardeurs de Silence            Arrivé tardivement sur la scène du cybercrime, Silence
pour autant.                                                  n’a pas fini de faire parler de lui...

                                                              Sources et références :

                                                                •   https://www.group-ib.com/resources/threat-re-
                                                                    search/silence_2.0.going_global.pdf

                                                                •   https://nakedsecurity.sophos.com/2019/08/22/
                                                                    the-silence-hacking-crew-grows-louder/

                                                                •   https://www.bleepingcomputer.com/news/se-
                                                                    curity/silence-advanced-hackers-attack-banks-
                                                                    all-over-the-world/

Chose peu courante pour un groupe supposé d’ori-
gine russe, Silence s’est attaqué à des banques
russes. En février 2019, une campagne a ciblé la
Omsk IT Bank dont les comptes ont été allégés de
400.000 dollars. Silence a poussé le bouchon (de
vodka) jusqu’à falsifier des enregistrements Sender
Policy Framework (SPF) pour usurper l’identité de la
Banque centrale de Russie. SPF est utilisé pour lutter
contre les spams et le vol d’identité numérique…

Fort de ses succès Silence a étendu ses activités
au reste du monde. Trois pays d’Asie ont été parti-
culièrement ciblés : Taïwan, la Malaisie et la Corée
du Sud. L’Amérique n’a pas été épargnée ni l’Europe,
dans de moindres mesures cependant.

                                                          2
11                 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                            13 SEPTEMBRE 2019

                                                                                                          TLP WHITE

             L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[THREATPOST] NOUVELLE FAILLE CRITIQUE POUR EXIM
Quelques mois après la vulné-           Cette vulnérabilité permet à un atta-   serveurs utilisant TLS - protocole
rabilité CVE-2019-10149, le très        quant local ou distant non-authen-      très certainement en place dans
populaire service de messagerie         tifié d’exécuter du code arbitraire     nombre d’entreprises. Un Proof of
électronique Exim se voit à nou-        avec des droits root.                   Concept existe mais ne semble pas
veau victime d’une vulnérabilité                                                être disponible publiquement. Une
critique. Cette nouvelle faille, nom-   Cette faille détourne une fonction      nouvelle version (4.92.2) d’Exim est
mée - CVE-2019-15846 - impacte          présente lors de l’initialisation du    déjà disponible et nous recomman-
toutes les versions d’Exim jusqu’à      protocole de chiffrement TLS. Cette     dons à tous les utilisateurs de l’ins-
(et incluant) la version 4.92.1.        dernière n’impacte donc que les         taller au plus vite.

        SOURCES ET RÉFÉRENCES :
        https://media.cert.europa.eu/static/SecurityAdvisories/2019/CERT-EU-SA2019-019.pdf
        https://threatpost.com/critical-exim-flaw-opens-millions-of-servers-to-takeover/148108/

        MOTS CLEFS : EXIM, MTA, VULNÉRABILITÉ, RCE

[CYBERSCOOP] L’U.S. CYBER COMMAND MET À DISPOSITION DE NOUVEAUX SAMPLES

NORD-CORÉENS

Le 8 septembre, l’U.S. Cyber            opéré par le groupe d’attaquants        au gouvernement nord-coréen qu’il
Command a mis à disposition 11          nord-coréen Lazarus.                    n’est pas anonyme dans ses at-
échantillons de malware sur la                                                  taques cybernétiques.
plateforme d’analyse VirusTotal.        Si ce dépôt d’échantillons permet
                                        à divers chercheurs d’analyser le
Les échantillons déposés semblent       comportement de ces souches, il in-
être liés au trojan «HOPLIGHT»          dique aussi une volonté de signaler

         SOURCES ET RÉFÉRENCES :
         https://www.cyberscoop.com/cyber-command-virus-total-north-korean-malware/

         MOTS CLEFS : CORÉE DU NORD, LAZARUS, VIRUSTOTAL

                                                         3
11                   SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                            13 SEPTEMBRE 2019

                                                                                                            TLP WHITE

              L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[SIEMENS] MULTIPLES VULNÉRABILITÉS DANS LES PRODUITS SIEMENS

Le groupe allemand Siemens a              Siemens recommande d’installer          permettant à un attaquant, entre
publié plusieurs rapports sur des         les patchs et les hot fix publiés par   autres, l’exécution de code à dis-
vulnérabilités affectant des pro-         Microsoft, mais pour certains pro-      tance sur certains produits, ainsi que
duits de leurs différentes filiales.      duits, il est fortement recommandé      des vulnérabilités du type déni de
                                          d’appliquer des correctifs supplé-      service, XSS et CSRF.
Notamment, 27 appareils médicaux          mentaires pour mitiger les risques
produits par la filiale ‘Healthineers’    en attendant des patchs spécifiques.
sont vulnérables à la faille ‘DejaBlue’
qui touche les systèmes Micro-            Les autres rapports détaillent
soft Windows. Le communiqué de            plusieurs vulnérabilités critiques

          SOURCES ET RÉFÉRENCES :
          https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-429/
          https://cert-portal.siemens.com/productcert/pdf/ssa-187667.pdf
          https://cert-portal.siemens.com/productcert/pdf/ssa-189842.pdf

          MOTS CLEFS : SCADA, SIEMENS, SANTÉ

[JUSTICE.GOV] 281 SUSPECTS ARRÊTÉS DANS LE MONDE POUR LUTTER CONTRE

LES FRAUDES DE TYPE BUSINESS EMAIL COMPROMISE

Le ministère de la Justice des            nation internationale qui a permis      sé depuis quelques années. En effet,
États-Unis a annoncé l’arrestation        l’arrestation de centaines de per-      Le FBI estime, qu’entre 2016 et 2019,
de 281 suspects dans le monde             sonnes aux États-Unis et à l’étranger   plus de 166 000 cas ont été remon-
pour escroqueries et fraudes par          dont une majorité (167) au Nigéria,     tés mondialement, représentant
courrier électronique, une menace         18 en Turquie et 15 au Ghana. Des       plus de 26 milliards de dollars de
communément appelée - Business            arrestations ont également été ef-      préjudices aux victimes.
Email Compromise (BEC).                   fectuées en France, en Italie, au
                                          Japon, etc.
L’opération Rewired a impliqué une
nouvelle fois une véritable coordi-       Ces fraudes de type BEC ont explo-

         SOURCES ET RÉFÉRENCES :
         https://www.justice.gov/opa/pr/281-arrested-worldwide-coordinated-international-enforcement-opera-
         tion-targeting-hundreds
         https://www.fbi.gov/news/stories/operation-rewired-bec-takedown-091019

         MOTS CLEFS : BEC, FBI

                                                           4
11                    SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                        13 SEPTEMBRE 2019

                                                                                                            TLP WHITE

                 L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

  [THREATPOST] WIKIPEDIA ET DES SERVEURS DE JEUX VIDÉOS VICTIMES D’AT-

  TAQUES PAR DÉNI DE SERVICES

  Plusieurs serveurs de jeux vidéos         visant les serveurs de Wikipédia. Le   Twitch, la plateforme de streaming
  ainsi que ceux de Wikipedia ont           but de l’attaque selon les tweets      la plus populaire parmi les joueurs
  été victimes de cyberattaques de          étant de “tester” leurs capacités et   de jeux vidéos. Les attaquants
  type Déni de Service par un acteur        prouver l’authenticité du compte       semblent être motivés par l’égo et
  inconnu jusqu’à maintenant.               Twitter.                               la recherche de notoriété dans le
                                                                                   milieu des jeux vidéo en ligne.
  Le 6 septembre, le compte Twitter         Les attaquants se sont ensuite tour-
  ‘UkDrillas’ a publié un tweet détail-     nés vers les serveurs de jeux vidéo
  lant une attaque de Déni de Service       de la société Blizzard, ainsi que

            SOURCES ET RÉFÉRENCES :
            https://threatpost.com/wikipedia-world-of-warcraft-ddos-attacks/148121/
            https://web.archive.org/web/20190907211519/https:/twitter.com/ukdrillas
            https://pbs.twimg.com/media/ED0B5BGXkAEICS8?format=jpg&name=small
            MOTS CLEFS : DDOS, GAMING

                                  NOS DERNIERS BILLETS MEDIUM
                                  | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |

  The Pyramid of Pain ou l’échelle de la cyber-dou-                  MITRE ATT&CK™ : de l’importance de la
leur                                                               temporalité

En 2013, David Bianco publiait sur le concept de « Pyra-           Dans le cas de la mise en oeuvre d’un scénario plus ou
mid of Pain » (PoP) que l’on peut traduire en français en          moins long, l’analyste est rapidement confronté à un
« échelle de la cyber-douleur ».                                   problème de taille : l’absence de marqueur temporel
—> Le billet complet                                               dans le Navigator de MITRE ATT&CK™. Or, un scénario
                                                                   peut se définir comme le déroulement d’un plan, d’un
                                                                   processus, et est constitué d’un ensemble d’actions se
  Cybersecurity skills shortage: 4 advices to better               succédant avec une notion de temporalité.
deal with it
                                                                   —> Le billet complet
According to a Gartner survey, 61% of companies are
struggling to hire security professionals. In an area of low
unemployment where the need for qualified workers is
constantly growing, companies are fighting to discover
and keep the experts they need to ensure the achieve-
ment of strategic goals.

—> Le billet complet

                                                               5
11                    SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                               13 SEPTEMBRE 2019

                                                                                                                 TLP WHITE

                                INTELLIGENCE-DRIVEN CYBERSECURITY

POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.

                    cert@sekoia.fr
                  +33 (0) 805 692 142

SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes.                              VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
                                                                            TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et                     DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40                     FENSE.
et du SBF120.
                                                                            SEKOIA.IO, une solution SaaS pour la détection et la
                                                                            réponse aux incidents de sécurité à un nouveau rythme.
                                                                            SEKOIA.IO exploite une CTI exclusive, des technologies
                                                                            innovantes d’orchestration et d’automatisation et repose
                                                                            sur une infrastructure scalable pour répondre au désé-
                                                                            quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE,                                                     et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE

SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
   • conseil & accompagnement,                                  A PROPOS DE SEKOIA
   • formation,                                                 Pure player et acteur français majeur de la cybersécuri-
   • veille et rapport sur les cybermenaces :                   té, SEKOIA accompagne au quotidien grands comptes,
                                                                institutions et entreprises innovantes pour les conseiller
        SEKOIA THREAT INTELLIGENCE BRIEFING REPORT              sur leur stratégie, les préparer et leur offrir support et
                                                                assistance dans l’exercice de leurs métiers comme dans
        SEKOIA THREAT INTELLIGENCE FLASH REPORT                 les phases les plus critiques d’exposition aux menaces.

        SEKOIA THREAT INTELLIGENCE SPECIAL REPORT               Découvrez une structure,
                                                                un modèle et une stratégie innovante
   • base de renseignements cyber :                             dans le secteur de la cybersécurité.

   SEKOIA THREAT INTELLIGENCE APP & FEED                                                                           SEKOIA — PARIS
                                                                                                                             18-20,
                                                                                                             Place de la Madeleine,
                                                                                                                        75008 Paris

                                                                                                               SEKOIA — RENNES
                                                                                                                               1137A
                                                                                                        Avenue des Champs Blancs
                                                                                                          35510 CESSON-SÉVIGNÉ
                                                                                                                                   —
                                                                                                               Tél. +33 1 44 43 54 13
                                                                                                                                   —

         sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
         medium.com/cyberthreatintel | medium.com/sekoia-io-blog

                                                            6
Vous pouvez aussi lire