Récapitulatif de la cybersécurité THN : principales menaces et tendances de la semaine dernière (du 16 au 22 septembre)

23 septembre 2024Ravie LakshmananCybersécurité / Cybermenace

Accrochez-vous bien, car la cybersécurité a été une véritable montagne russe la semaine dernière ! Nous avons été témoins de tout, des pirates nord-coréens qui ont proposé des « emplois de rêve » pour exposer un nouveau malware, jusqu’à un retournement de situation surprenant dans la saga Apple vs. NSO Group. Même le monde apparemment banal des noms de domaine et des configurations cloud a eu son lot de drames. Plongeons dans les détails et voyons quelles leçons nous pouvons tirer de la semaine passée.

⚡ Menace de la semaine

Le botnet Raptor Train démantelé : Le gouvernement américain a annoncé le démantèlement du botnet Raptor Train contrôlé par un acteur malveillant lié à la Chine connu sous le nom de Flax Typhoon. Le botnet était composé de plus de 260 000 appareils en juin 2024, avec des victimes réparties en Amérique du Nord, en Europe, en Asie, en Afrique, en Océanie et en Amérique du Sud. Il a également attribué l’acteur de la menace Flax Typhoon à une société cotée en bourse basée à Pékin connue sous le nom d’Integrity Technology Group.

🔔 Actualités principales

Nouveau malware du groupe Lazarus : Le groupe de cyberespionnage lié à la Corée du Nord connu sous le nom de UNC2970 (alias TEMP.Hermit) a été observé en train d’utiliser des leurres de phishing à thème professionnel pour cibler des victimes potentielles dans les secteurs de l’énergie et de l’aérospatiale et les infecter avec une porte dérobée jusqu’alors non documentée baptisée MISTPEN. L’activité est également suivie sous le nom d’Opération Dream Job.
iServer et Ghost démontés : Europol a annoncé le démantèlement d’un réseau criminel international qui utilisait une plateforme de phishing pour déverrouiller des téléphones portables volés ou perdus. En partenariat avec la police fédérale australienne (AFP), l’agence a démantelé un réseau de communications cryptées appelé Ghost qui permettait à des criminels graves et organisés de perpétrer des crimes dans le monde entier.
L’APT iranienne agit en tant que fournisseur d’accès initial : Un pirate iranien identifié sous le nom UNC1860 agit comme un facilitateur d’accès initial qui fournit un accès à distance aux réseaux ciblés en déployant diverses portes dérobées passives. Cet accès est ensuite exploité par d’autres groupes de piratage iraniens affiliés au ministère du Renseignement et de la Sécurité (MOIS).
Apple abandonne ses poursuites contre le groupe NSO : Apple a déposé une requête pour rejeter « volontairement » le procès qu’elle intente contre le fournisseur israélien de logiciels espions commerciaux NSO Group, invoquant un paysage de risques changeant qui pourrait conduire à la révélation d’informations critiques de « renseignement sur les menaces ». La plainte a été déposée en novembre 2021.
Les attaques de phishing exploitent les en-têtes HTTP : Une nouvelle vague d’attaques de phishing exploite les entrées d’actualisation des en-têtes HTTP pour fournir de fausses pages de connexion par e-mail conçues pour récupérer les identifiants des utilisateurs. Les cibles de ces campagnes incluent des entités en Corée du Sud et aux États-Unis

📰 Autour du monde cybernétique

Sandvine quitte 56 pays « non démocratiques » : Sandvine, la société à l’origine des boîtiers intermédiaires qui ont facilité L’entreprise, qui a diffusé des logiciels espions commerciaux dans le cadre d’attaques hautement ciblées, a déclaré avoir quitté 32 pays et est en train de cesser ses activités dans 24 autres pays, invoquant des menaces élevées pour les droits numériques. Début février, l’entreprise a été ajoutée à la liste des entités américaines. « L’utilisation abusive de la technologie d’inspection approfondie des paquets est un problème international qui menace des élections libres et équitables, les droits humains fondamentaux et d’autres libertés numériques que nous considérons comme inaliénables », a-t-elle déclaré. ditElle n’a pas dévoilé la liste des pays qu’elle abandonne dans le cadre de cette refonte.
Domaine .mobi acquis pour 20 $ : Des chercheurs de watchTowr Labs dépensé Il a fallu débourser seulement 20 dollars pour acquérir un domaine de serveur WHOIS hérité associé au domaine de premier niveau (TLD) .mobi et configurer un serveur WHOIS sur ce domaine. Cela a conduit à la découverte que plus de 135 000 systèmes uniques interrogeaient encore l’ancien serveur WHOIS sur une période de cinq jours se terminant le 4 septembre 2024, y compris des outils de cybersécurité et des serveurs de messagerie pour des entités gouvernementales, militaires et universitaires. L’étude a également révélé que a montré que le processus TLS/SSL pour l’ensemble du TLD .mobi avait été compromis car de nombreuses autorités de certification (CA) utilisaient encore le serveur WHOIS « malveillant » pour « déterminer les propriétaires d’un domaine et où les détails de vérification devaient être envoyés ». Google a depuis appelé pour arrêter l’utilisation des données WHOIS pour les vérifications de domaine TLS.
Les erreurs de configuration de ServiceNow entraînent une fuite de données sensibles : Des milliers d’entreprises exposent par inadvertance des secrets de leurs articles de base de connaissances internes (KB) via des erreurs de configuration de ServiceNow. AppOmni attribué le problème est dû à des « configurations obsolètes et à des contrôles d’accès mal configurés dans les bases de connaissances », ce qui indique probablement « une mauvaise compréhension systématique des contrôles d’accès à la base de connaissances ou éventuellement la réplication accidentelle d’au moins les contrôles médiocres d’une instance vers une autre via le clonage ». ServiceNow a publié des conseils sur la façon de configurer leurs instances pour empêcher l’accès non authentifié aux articles de la base de connaissances.
Correction d’une faille de Google Cloud Document AI : En parlant de mauvaises configurations, les chercheurs ont trouvé que des paramètres trop permissifs dans le service Document AI de Google Cloud pourraient être exploités par des acteurs malveillants pour pirater les buckets Cloud Storage et voler des informations sensibles. Vectra AI a décrit la vulnérabilité comme un exemple d’abus d’accès transitif.
Microsoft prévoit la fin de l’accès au noyau pour les logiciels EDR : Suite aux retombées massives de l’incident de mise à jour CrowdStrike en juillet 2024, Microsoft a mis en évidence la « posture de sécurité améliorée et les paramètres de sécurité par défaut » de Windows 11 qui permettent d’offrir davantage de capacités de sécurité aux fabricants de logiciels de sécurité en dehors de accès en mode noyauElle a également déclaré qu’elle collaborerait avec des partenaires de l’écosystème pour obtenir « une fiabilité améliorée sans sacrifier la sécurité ».

🔥 Ressources et informations sur la cybersécurité

— Webinaires à venir

Zero Trust : Armure anti-ransomware: Rejoignez notre prochain webinaire avec Emily Laufer de Zscaler pour une plongée en profondeur dans le rapport 2024 sur les ransomwares, découvrant les dernières tendances, les menaces émergentes et les stratégies de confiance zéro qui peuvent protéger votre organisation. Ne devenez pas une autre statistique – Inscrivez-vous maintenant et ripostez !
Redémarrage du SIEM : de la surcharge à la surveillance: Vous êtes submergé de données ? Votre SIEM doit vous sauver la vie, pas vous compliquer la vie. Rejoignez-nous pour découvrir comment le SIEM traditionnel a mal tourné et comment une approche moderne peut simplifier la sécurité sans sacrifier les performances. Nous nous plongerons dans les origines du SIEM, ses défis actuels et nos solutions communautaires pour éliminer le bruit et renforcer votre sécurité. Inscrivez-vous dès maintenant pour une nouvelle approche du SIEM !

— Demandez à l’expert

Q: En quoi Zero Trust diffère-t-il fondamentalement du Perimeter Defense traditionnel, et quels sont les principaux défis et avantages lors de la transition d’une organisation d’un modèle Perimeter Defense vers une architecture Zero Trust ?

UN: Zero Trust et la défense du périmètre sont deux façons de protéger les systèmes informatiques. Zero Trust, c’est comme avoir plusieurs serrures sur vos portes ET vérifier les identités dans chaque pièce, ce qui signifie qu’il ne fait confiance à personne et vérifie constamment tout et tout le monde qui essaie d’accéder à quoi que ce soit. C’est idéal pour arrêter les pirates, même s’ils parviennent à s’infiltrer, et fonctionne bien lorsque les gens travaillent à différents endroits ou utilisent des services cloud. La défense du périmètre, c’est comme avoir un mur solide autour de votre château, qui se concentre sur le maintien des méchants à l’extérieur. Mais, si quelqu’un passe au travers, il a facilement accès à tout ce qui se trouve à l’intérieur. Cette ancienne approche est confrontée aux menaces d’aujourd’hui et aux situations de travail à distance. Passer à Zero Trust, c’est comme mettre à niveau votre système de sécurité, mais cela prend du temps et de l’argent. Cela en vaut la peine car cela offre une bien meilleure protection. N’oubliez pas qu’il ne s’agit pas d’une seule chose, mais d’une toute nouvelle façon de penser la sécurité, et que vous pouvez commencer petit et développer au fil du temps. De plus, ne supprimez pas complètement le mur, il est toujours utile pour une protection de base.

— Dictionnaire du jargon de la cybersécurité

Logiciel malveillant polymorphe : Imaginez un virus sournois qui change constamment de déguisement (signature) pour tromper votre antivirus. Il est comme un caméléon, ce qui le rend difficile à attraper.
Logiciel malveillant métamorphique : Celui-ci est encore plus délicat ! Il ressemble à un métamorphe, qui ne se contente pas de changer de vêtements, mais transforme complètement son corps. Il réécrit son propre code à chaque fois qu’il infecte, ce qui le rend presque impossible à reconnaître pour un antivirus.

— Astuce de la semaine

Labyrinthe « Réfléchissez avant de cliquer » : Naviguez dans une série de points de décision basés sur des scénarios du monde réel, en choisissant l’option la plus sûre pour éviter les pièges de phishing et autres menaces en ligne.

Conclusion

« L’erreur est humaine, le pardon est divin. » – Alexander Pope. Mais dans le domaine de la cybersécurité, le pardon peut être coûteux. Tirons les leçons de ces erreurs, renforçons nos défenses et faisons du monde numérique un endroit plus sûr pour tous.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Gazouillement et LinkedIn pour lire davantage de contenu exclusif que nous publions.

ttn-fr-57

Le Karlsruher SC prolonge son contrat avec l’entraîneur Christian Eichner

Les autochtones néo-zélandais défilent devant le Parlement pour protéger leurs droits

Triumph Tiger Sport 660 2025 : plus de technologie, même prix

« Typique des régimes autoritaires. » Même sans Elon Musk, le gouvernement de Trump est déjà 34 fois plus riche que celui de Biden