MONDE — Découverte d’un nouveau rançongiciel appelé Rorschach
Le 4 avril 2024, des chercheurs de Check Point ont découvert une nouveau rançongiciel suite à une intervention auprès d’une entreprise basée aux États-Unis. Baptisé Rorschach, celui-ci a été déployé à l’aide de la technique de chargement latéral DLL via un composant signé dans Cortex XDR, le produit de détection et de réponse étendue de Palo Alto Networks. Concrètement, et toujours selon Check Point, l’attaquant a utilisé Cortex XDR Dump Service Tool (cy.exe) version 7.3.0.16740 pour télécharger le chargeur winutils.dll, ce qui a conduit au lancement de la charge utile du rançongiciel, « config.ini », dans un processus du Bloc-notes. Le fichier du chargeur dispose d’une protection anti-analyse de type UPX, tandis que la charge utile principale est protégée contre la rétro-ingénierie et la détection en virtualisant des parties du code à l’aide du logiciel VMProtect. En outre, après avoir compromis une machine, le maliciel efface quatre journaux d’événements (Application, Sécurité, Système et Windows Powershell) pour contourner les mesures de détection. En matière de chiffrement, Rorschach commencera à chiffrer les données uniquement si l’ordinateur victime est configuré avec une langue en dehors de la Communauté des États indépendants (CEI). Le schéma de chiffrement combine également les algorithmes de chiffrement curve25519 et eSTREAM hc-128 et suit la tendance du chiffrement intermittent ce qui lui confère une vitesse de traitement accrue. Des indicateurs de compromission (IoCs) sont disponibles.
– Bleeping Computer, Check Point
MONDE — Les archives WinRAR SFX peuvent exécuter PowerShell sans être détectées
Dans un rapport publié le 31 mars 2023, Crowdstrike indique que des attaquants ajoutent des fonctionnalités malveillantes aux archives auto-extractibles WinRAR qui contiennent des fichiers leurres inoffensifs, ce qui leur permet d’installer des portes dérobées sans déclencher l’agent de sécurité du système visé. Les archives auto-extractibles (SFX) créées avec des logiciels de compression tels que WinRAR ou 7-Zip sont essentiellement des exécutables qui contiennent des données archivées ainsi qu’un code permettant de décompresser les données (stub). Les fichiers SFX peuvent être protégés par un mot de passe pour empêcher tout accès non autorisé. Les attaquants ont utilisé Utilman, une application d’accessibilité qui peut être exécutée avant la connexion de l’utilisateur et qui est souvent utilisée par des attaquants pour contourner l’authentification du système. Windows Defender a détecté l’exécutable résultant comme un script malveillant repéré sous le nom de Wacatac et l’a mis en quarantaine. Cependant, Crowdstrike n’a enregistré cette réaction qu’une seule fois et n’a pas pu la reproduire.
– Crowdstrike, Bleeping computer
MONDE — La CISA met en garde contre une faille de Zimbra exploitée dans des attaques contre des pays de l’OTAN
[En complément de la revue de presse du 03/04/2022] La CISA a émis une alerte afin de corriger une faille de script intersite de Zimbra Collaboration (ZCS) exploitée par des attaquants, présumés russes, pour subtiliser des courriels. La CVE-2022-27926 (CVSS v3.1 : 6,1) a été exploitée par le groupe d’attaquants Winter Vivern (alias TA473) lors d’attaques contre les portails de messagerie Internet de plusieurs gouvernements appartenant à l’OTAN.
– CISA, NVD, Bleeping computer
ÉTATS-UNIS — Google suspend l’application de Pinduoduo suspectée d’espionner ses utilisateurs
L’application de Pinduoduo, interface de commerce en ligne, a été suspendue du PlayStore de Google en mars 2023. D’après plusieurs chercheurs l’application pourrait contourner les protocoles de sécurité des téléphones, lui permettant de surveiller les activités d’autres applications ou de modifier les paramètres de l’appareil sans consentement de l’utilisateur. De plus, il serait impossible de désinstaller l’application. D’après BankInfo Security la décision de Google aurait été justifiée par la présence d’un maliciel dans l’application. Pour rappel, la maison mère de Pinduoduo, PDD Holdings, affirme compter 800 millions de clients par mois dans le monde.
- II) ATTAQUES
ROYAUME-UNI — La société d’externalisation Capita victime d’une attaque
Le 3 avril 2023, le fournisseur britannique de services d’externalisation Capita a annoncé avoir subi une attaque contre son système d’information. Celle-ci aurait eu un impact direct sur l’accès à ses applications internes Microsoft Office 365, « bien que la majorité des services clients soient restés opérationnels ». Basée à Londres, Capita offre une large gamme de services à des clients des secteurs de la finance, de l’informatique, de la santé, de l’éducation et du gouvernement. Parmi ses clients figurent des organisations d’infrastructures essentielles au Royaume-Uni, telles que le National Health Service (NHS), l’armée britannique ou encore le ministère du Travail et des Pensions. En outre, la société a notamment affirmé que l’attaque n’avait impacté que des parties limitées du réseau et que l’enquête n’a pas révélé d’éléments indiquant que des données appartenant à ses clients, fournisseurs ou employés ont été dérobées. Capita travaillerait actuellement à la restauration complète de l’accès à Microsoft Office 365.
III) LOGICIELS MALVEILLANTS
MONDE — Découverte d’un nouveau rançongiciel appelé Rorschach
Le 4 avril 2024, des chercheurs de Check Point ont découvert une nouveau rançongiciel suite à une intervention auprès d’une entreprise basée aux États-Unis. Baptisé Rorschach, celui-ci a été déployé à l’aide de la technique de chargement latéral DLL via un composant signé dans Cortex XDR, le produit de détection et de réponse étendue de Palo Alto Networks. Concrètement, et toujours selon Check Point, l’attaquant a utilisé Cortex XDR Dump Service Tool (cy.exe) version 7.3.0.16740 pour télécharger le chargeur winutils.dll, ce qui a conduit au lancement de la charge utile du rançongiciel, « config.ini », dans un processus du Bloc-notes. Le fichier du chargeur dispose d’une protection anti-analyse de type UPX, tandis que la charge utile principale est protégée contre la rétro-ingénierie et la détection en virtualisant des parties du code à l’aide du logiciel VMProtect. En outre, après avoir compromis une machine, le maliciel efface quatre journaux d’événements (Application, Sécurité, Système et Windows Powershell) pour contourner les mesures de détection. En matière de chiffrement, Rorschach commencera à chiffrer les données uniquement si l’ordinateur victime est configuré avec une langue en dehors de la Communauté des États indépendants (CEI). Le schéma de chiffrement combine également les algorithmes de chiffrement curve25519 et eSTREAM hc-128 et suit la tendance du chiffrement intermittent ce qui lui confère une vitesse de traitement accrue. Des indicateurs de compromission (IoCs) sont disponibles.
– Bleeping Computer, Check Point
MONDE — Les archives WinRAR SFX peuvent exécuter PowerShell sans être détectées
Dans un rapport publié le 31 mars 2023, Crowdstrike indique que des attaquants ajoutent des fonctionnalités malveillantes aux archives auto-extractibles WinRAR qui contiennent des fichiers leurres inoffensifs, ce qui leur permet d’installer des portes dérobées sans déclencher l’agent de sécurité du système visé. Les archives auto-extractibles (SFX) créées avec des logiciels de compression tels que WinRAR ou 7-Zip sont essentiellement des exécutables qui contiennent des données archivées ainsi qu’un code permettant de décompresser les données (stub). Les fichiers SFX peuvent être protégés par un mot de passe pour empêcher tout accès non autorisé. Les attaquants ont utilisé Utilman, une application d’accessibilité qui peut être exécutée avant la connexion de l’utilisateur et qui est souvent utilisée par des attaquants pour contourner l’authentification du système. Windows Defender a détecté l’exécutable résultant comme un script malveillant repéré sous le nom de Wacatac et l’a mis en quarantaine. Cependant, Crowdstrike n’a enregistré cette réaction qu’une seule fois et n’a pas pu la reproduire.
– Crowdstrike, Bleeping computer
MONDE — Des opérateurs du rançongiciel ALPHV exploitent des vulnérabilités affectant le produit Veritas Backup
Le 3 avril 2023, la société Mandiant a analysé l’activité d’opérateurs du rançongiciel ALPHV qui ont exploité trois vulnérabilités dans le produit Veritas Backup afin d’obtenir un accès initial au réseau ciblé. La première faille, suivie comme CVE-2021-27876 (CVSS v3.1 : 8,1), est une vulnérabilité d’accès arbitraire aux fichiers causée par une erreur dans le schéma d’authentification SHA, ce qui permet à un attaquant d’obtenir un accès non autorisé à des points de terminaison vulnérables à distance. La seconde est la CVE-2021-27877 (CVSS v3.1 : 8,2) est permet un accès non autorisé à distance et l’exécution de commandes privilégiées à l’agent BE via l’authentification SHA. Enfin, les attaquants ont été observés en train d’exploiter la CVE-2021-27878 (CVSS v3.1 : 8,8) qui est une faille d’exécution de commande arbitraire résultant d’une erreur dans le schéma d’authentification SHA. Toujours selon les observations de Mandiant, les attaquants cherche à compromettre un serveur Windows exposé à Internet exécutant Veritas Backup Exec en utilisant le module Metasploit et permettant de maintenir un accès permanent à l’hôte. Après la compromission initiale, l’attaquant a utilisé Advanced IP Scanner et les utilitaires ADRecon pour collecter des informations sur l’environnement de la victime. Ensuite, ils ont téléchargé des outils supplémentaires sur l’hôte comme LAZAGNE, LIGOLO, WINSW, RCLONE, et finalement le chiffreur ALPHV via le service de transfert intelligent en arrière-plan (BITS). Des indicateurs de compromission (IoCs) sont disponibles.
- IV) VULNÉRABILITÉS
MONDE — La CISA met en garde contre une faille de Zimbra exploitée dans des attaques contre des pays de l’OTAN
[En complément de la revue de presse du 03/04/2022] La CISA a émis une alerte afin de corriger une faille de script intersite de Zimbra Collaboration (ZCS) exploitée par des attaquants, présumés russes, pour subtiliser des courriels. La CVE-2022-27926 (CVSS v3.1 : 6,1) a été exploitée par le groupe d’attaquants Winter Vivern (alias TA473) lors d’attaques contre les portails de messagerie Internet de plusieurs gouvernements appartenant à l’OTAN.
– CISA, NVD, Bleeping computer
MONDE — Microsoft corrige le bogue d’Azure AD qui a conduit à la manipulation des résultats de Bing.com et à la prise de contrôle de comptes
Microsoft a corrigé une erreur de configuration dans le service de gestion des identités et des accès Azure Active Directory (AAD) qui exposait plusieurs applications Microsoft, dont le portail de gestion Bing, à un accès non autorisé. La vulnérabilité a été découverte par des chercheurs de Wiz Research et signalée à l’entreprise en janvier et février 2022, à la suite de quoi le géant de la technologie a appliqué des correctifs et attribué à Wiz une prime de 40 000 dollars. Il n’y a aucune preuve que les erreurs de configuration aient été exploitées dans la nature. Les chercheurs ont détaillé une étude de cas sur l’application « Bing Trivia », qu’ils ont appelée « #BingBang », qui démontre l’impact de la mauvaise configuration sur Microsoft. Wiz Research a expliqué qu’un attaquant peut exploiter la faille pour cibler l’application Bing Trivia afin de modifier les résultats de recherche dans Bing et même manipuler le contenu de la page d’accueil dans le cadre de l’attaque « #BingBang ».
MONDE – Multiples vulnérabilités découvertes dans les produits IBM
Le 4 avril 2023, le CERT-FR a publié un avis concernant de multiples vulnérabilités découvertes dans les produits IBM. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, un déni de service, une atteinte à la confidentialité des données, une atteinte à l’intégrité des données et un contournement de la politique de sécurité. Des correctifs sont disponibles dans les bulletins de l’éditeur et la liste des systèmes affectés est recensée dans l’avis.
- VI) INFORMATIONS
ESPAGNE — La Policía Nacional place en garde à vue un attaquant réputé dangereux
La Policía Nacional a arrêté José Luis Huertas, dit Alcaseca, Mango, chimichuri, un homme de 19 ans considéré comme le plus dangereux des attaquants du pays. L’attaquant est considéré comme responsable de plusieurs cyberattaques très médiatisées et de la création d’un moteur de recherche appelé Udyat destiné à vendre en grand nombre des informations sensibles subtilisées. Une enquête de police ouverte en novembre 2022 a finalement permis d’identifier et d’arrêter l’attaquant. Au domicile de Huertas et à d’autres adresses enregistrées, les forces de l’ordre ont saisi d’importantes sommes d’argent, des documents et des ordinateurs. L’enquête a été lancée après l’intrusion dans le réseau informatique du Conseil national du pouvoir judiciaire espagnol (CGPJ). Au cours de cette attaque, un attaquant a subtilisé les données de 575 000 contribuables et a créé une base de données pour vendre ces informations à d’autres cybercriminels. Les données hébergées sur ce service illégal comprennent des informations personnelles identifiables, des numéros de compte, des numéros de banque, etc.
ÉTATS-UNIS — Google suspend l’application de Pinduoduo suspectée d’espionner ses utilisateurs
L’application de Pinduoduo, interface de commerce en ligne, a été suspendue du PlayStore de Google en mars 2023. D’après plusieurs chercheurs l’application pourrait contourner les protocoles de sécurité des téléphones, lui permettant de surveiller les activités d’autres applications ou de modifier les paramètres de l’appareil sans consentement de l’utilisateur. De plus, il serait impossible de désinstaller l’application. D’après BankInfo Security la décision de Google aurait été justifiée par la présence d’un maliciel dans l’application. Pour rappel, la maison mère de Pinduoduo, PDD Holdings, affirme compter 800 millions de clients par mois dans le monde.
ÉTATS-UNIS — Fermeture de la plateforme de l’Internet sombre Genesis Market par le FBI
Selon le média Security Affairs, le 5 avril 2023, le FBI a annoncé avoir saisi Genesis Market, une plateforme de ventes d’informations volées. Genesis Market donnait notamment accès aux comptes des services les plus populaires, notamment Amazon, eBay, Facebook, Gmail, Netflix, PayPal, Spotify et Zoom. La saisie fait partie d’une opération d’application de la loi baptisée opération Cookie Monster. La page d’accueil des domaines Genesis Market montre désormais une bannière informant les visiteurs que le FBI a exécuté un mandat de saisie. Toujours selon Security Affairs, les investigations se poursuivent pour identifier les administrateurs de la plateforme.
Pour en savoir plus : ANSSI