Cette semaine, ce fut un véritable incendie de benne à ordures numérique ! Les hackers disaient : « Provoquons le chaos ! » et s’est attaqué à tout, de nos navigateurs à ces caméras sophistiquées qui zooment et tournent. (Vous savez, ceux qu’ils utilisent dans les films d’espionnage ? 🕵️♀️)
Nous parlons de robots voleurs de mots de passe, d’extensions sournoises qui vous espionnent et même de ninjas piratant le cloud ! 🥷 De quoi vous donner envie de jeter votre téléphone à l’océan. (Mais ne faites pas ça, vous en avez besoin pour lire cette newsletter !)
La bonne nouvelle ? Nous avons un aperçu de tous les derniers drames. Considérez cette newsletter comme votre aide-mémoire pour survivre à l’apocalypse numérique. Nous analyserons les plus grandes menaces et vous donnerons les connaissances nécessaires pour déjouer ces satanés pirates informatiques. Allons-y!
⚡ Menace de la semaine
Les pirates nord-coréens déploient Play Ransomware : Signe d’une frontière floue entre les groupes étatiques et les acteurs de la cybercriminalité, il est apparu que l’équipe de hackers parrainée par l’État nord-coréen a appelé Andariel a probablement collaboré avec les acteurs du ransomware Play lors d’une attaque d’extorsion numérique qui a eu lieu en septembre 2024. La compromission initiale a eu lieu en mai 2024. L’incident chevauche un ensemble d’intrusions qui impliquait de cibler trois organisations différentes aux États-Unis en août 2024 dans le cadre d’un attaque probablement motivée par des raisons financières.
Améliorez vos compétences en cybersécurité avec SANS au CDI 2024 + Obtenez un bonus de 1 950 $ !
Débloquez une formation de haut niveau en cybersécurité au SANS CDI 2024, du 13 au 18 décembre à Washington, DC. Avec plus de 40 cours dirigés par des experts, vous acquerrez des compétences pratiques et un bonus de 1 950 $, comprenant un accès étendu au laboratoire et une tentative de certification GIAC lorsque vous vous formez en personne ! L’offre se termine le 11 novembre.
Boostez vos compétences maintenant !
🔔 Meilleures nouvelles
- Un acteur menaçant chinois utilise le botnet Quad7 pour pulvériser des mots de passe : Un acteur menaçant chinois suivi par Microsoft sous le nom de Storm-0940 exploite un botnet appelé Quad7 (alias CovertNetwork-1658) pour orchestrer des attaques par pulvérisation de mots de passe très évasives. Les attaques ouvrent la voie au vol d’informations d’identification de plusieurs clients Microsoft, qui sont ensuite utilisées pour infiltrer les réseaux et mener des activités post-exploitation.
- Opera a corrigé un bug qui aurait pu exposer des données sensibles : Une nouvelle attaque de navigateur nommée CrossBarking a été révélée dans le navigateur Web Opera qui compromet les interfaces de programmation d’applications (API) privées pour permettre un accès non autorisé à des données sensibles. L’attaque fonctionne en utilisant une extension de navigateur malveillante pour exécuter du code malveillant dans le contexte de sites ayant accès à ces API privées. Ces sites incluent les propres sous-domaines d’Opera ainsi que des domaines tiers tels qu’Instagram, VK et Yandex.
- Evasive Panda utilise un nouvel outil pour exfiltrer les données cloud : L’acteur malveillant lié à la Chine, connu sous le nom d’Evasive Panda, a infecté une entité gouvernementale et une organisation religieuse à Taiwan avec un nouvel ensemble d’outils post-compromis nommé CloudScout qui permet de voler des données de Google Drive, Gmail et Outlook. L’activité a été détectée entre mai 2022 et février 2023.
- L’Opération Magnus perturbe RedLine et MetaStealer : Une opération coordonnée des forces de l’ordre menée par la police nationale néerlandaise a conduit à la perturbation de l’infrastructure associée aux logiciels malveillants RedLine et MetaStealer. Ces efforts ont conduit à la fermeture de trois serveurs aux Pays-Bas et à la confiscation de deux domaines. Parallèlement, un individu anonyme a été arrêté et un Russe nommé Maxim Rudometov a été inculpé pour avoir agi en tant qu’un des développeurs et administrateurs de RedLine Stealer.
- La mise à niveau de Windows permet l’exécution de code au niveau du noyau : De nouvelles recherches ont révélé qu’un outil qui pourrait être utilisé pour restaurer un logiciel Windows à jour vers une ancienne version pourrait également être utilisé pour annuler un correctif pour un contournement du Driver Signature Enforcement (DSE) et charger des pilotes de noyau non signés, conduisant à exécution de code arbitraire à un niveau privilégié. Microsoft a déclaré qu’il développait une mise à jour de sécurité pour atténuer cette menace.
️🔥 CVE tendance
CVE-2024-50550, CVE-2024-7474, CVE-2024-7475, CVE-2024-5982, CVE-2024-10386, CVE-2023-6943, CVE-2023-2060, CVE-2024-45274, CVE-2024-45275, CVE-2024-51774
📰 Autour du cybermonde
- Failles de sécurité dans les caméras PTZ : Les acteurs de la menace tentent d’exploiter deux vulnérabilités Zero Day dans les caméras de diffusion en direct Pan-Tilt-Zoom (PTZ) utilisées dans les secteurs industriel, médical, des conférences d’affaires, du gouvernement, des lieux religieux et des salles d’audience. Les caméras concernées utilisent le micrologiciel de la caméra VHD PTZ. « Les appareils pourraient également être potentiellement enrôlés dans un botnet et utilisés pour des attaques par déni de service. » PTZOptics a publié des mises à jour du micrologiciel corrigeant ces failles.
- Plusieurs vulnérabilités dans OpenText NetIQ iManager : Près d’une douzaine de failles ont été divulgué dans OpenText NetIQ iManager, un outil de gestion d’annuaire d’entreprise, dont certains pourraient être enchaînés par un attaquant pour réaliser une exécution de code à distance de pré-authentification, ou permettre à un adversaire disposant d’informations d’identification valides d’élever ses privilèges au sein de la plate-forme et finalement d’obtenir une authentification post-authentifiée. exécution de code. Les lacunes ont été corrigées dans la version 3.2.6.0300 publiée en avril 2024.
- Phish ‘n’ Ships utilise de fausses boutiques pour voler des informations sur les cartes de crédit : Il a été découvert qu’un système de fraude « tentaculaire » baptisé Phish ‘n’ Ships générait du trafic vers un réseau de fausses boutiques en ligne en infectant des sites Web légitimes avec une charge utile malveillante responsable de la création de fausses listes de produits et de la diffusion de ces pages dans les résultats des moteurs de recherche. Les utilisateurs qui cliquent sur ces faux liens de produits sont redirigés vers un site Web malveillant sous le contrôle de l’attaquant, où il leur est demandé de saisir les informations de leur carte de crédit pour finaliser l’achat. Cette activité, en cours depuis 2019, aurait infecté plus de 1 000 sites Web et créé 121 fausses boutiques en ligne afin de tromper les consommateurs. « Les auteurs de la menace ont utilisé plusieurs vulnérabilités bien connues pour infecter une grande variété de sites Web et créer de fausses listes de produits qui se sont hissées en tête des résultats de recherche », HUMAN dit. « Le processus de paiement s’effectue ensuite via une boutique en ligne différente, qui s’intègre à l’un des quatre processeurs de paiement pour finaliser le paiement. Et même si l’argent du consommateur sera transféré à l’acteur malveillant, l’article n’arrivera jamais. » Phish ‘n’ Ships présente certains éléments en commun avec BogusBazarun autre réseau criminel de commerce électronique révélé plus tôt cette année.
- Funnull derrière les campagnes frauduleuses et les sites de jeu : Funnull, la société chinoise qui a acquis Polyfill[.]io JavaScript plus tôt cette année, a été associée à des escroqueries à l’investissement, à de fausses applications de trading et à des réseaux de jeux suspects. Le cluster d’infrastructure malveillante porte le nom de code Triad Nexus. En juillet, la société a été surprise en train d’insérer un logiciel malveillant dans polyfill.js qui redirigeait les utilisateurs vers des sites de jeux d’argent. « Avant le polyfill[.]io campagne de chaîne d’approvisionnement, ACB Group – la société mère qui possède le CDN de Funnull – avait une page Web publique à l’adresse ‘acb[.]pari’, qui est actuellement hors ligne, » Silent Push dit. « ACB Group prétend posséder Funnull[.]io et plusieurs autres marques de sports et de paris.
- Failles de sécurité corrigées dans les contrôleurs de charge AC : Les chercheurs en cybersécurité ont découvert plusieurs failles de sécurité dans le micrologiciel des contrôleurs de charge AC Phoenix Contact CHARX SEC-3100 qui pourraient permettre à un attaquant distant non authentifié de réinitialiser le mot de passe du compte de l’application utilisateur à la valeur par défaut, de télécharger des fichiers de script arbitraires, d’élever des privilèges et d’exécuter du code arbitraire dans le contexte de racine. Le
🔥 Ressources, guides et informations
🎥 Webinaire d’experts
Apprenez les tactiques d’exploitation d’identité de LUCR-3 et comment les arrêter — Rejoignez notre webinaire exclusif avec Ian Ahl pour découvrir les tactiques d’attaque avancées basées sur l’identité de LUCR-3 ciblant les environnements cloud et SaaS.
Découvrez des stratégies pratiques pour détecter et prévenir les violations, et protéger votre organisation contre ces menaces sophistiquées. Ne manquez pas cette occasion, inscrivez-vous maintenant et renforcez vos défenses.
🔧 Outils de cybersécurité
- Évaluation des risques du SAIF — Google présente le Évaluation des risques du SAIFun outil essentiel permettant aux professionnels de la cybersécurité d’améliorer les pratiques de sécurité de l’IA. Avec des listes de contrôle personnalisées pour les risques tels que l’empoisonnement des données et l’injection d’invites, cet outil traduit les cadres complexes en informations exploitables et génère des rapports instantanés sur les vulnérabilités de vos systèmes d’IA, vous aidant ainsi à résoudre des problèmes tels que la falsification de la source du modèle.
- CVEMape — Un nouvel outil convivial pour naviguer dans le monde complexe des vulnérabilités et expositions communes (CVE). Cet outil d’interface de ligne de commande (CLI) simplifie le processus d’exploration de diverses bases de données de vulnérabilités, vous permettant d’accéder et de gérer facilement les informations sur les vulnérabilités de sécurité.
🔒 Conseil de la semaine
Pratiques essentielles de sécurité mobile dont vous avez besoin — Pour garantir une sécurité mobile robuste, privilégiez l’utilisation d’applications open source qui ont été vérifiées par des experts en cybersécurité pour atténuer les menaces cachées. Utiliser des outils de surveillance du réseau tels que NetGuard ou AFWall+ pour créer des règles de pare-feu personnalisées qui limitent les applications pouvant accéder à Internet, garantissant que seules celles de confiance sont connectées. Auditez les autorisations des applications avec des outils avancés de gestion des autorisations qui révèlent les niveaux d’accès en arrière-plan et au premier plan. Configurez un résolveur DNS comme SuivantDNS ou Quad9 pour bloquer les sites malveillants et les tentatives de phishing avant qu’ils n’atteignent votre appareil. Pour une navigation sécurisée, utilisez des navigateurs axés sur la confidentialité comme Focus sur Firefox ou Courageuxqui bloque les trackers et les publicités par défaut. Surveillez les journaux d’activité des appareils avec des outils tels que Visionneuse Syslog pour identifier les processus non autorisés ou les exfiltrations potentielles de données. Utilisez des sandbox d’applications sécurisés, tels que Île ou Abripour isoler les applications qui nécessitent des autorisations risquées. Optez pour des applications qui ont subi des audits de sécurité indépendants et utilisez des VPN configurés avec WireGuard pour des connexions réseau cryptées à faible latence. Mettez régulièrement à jour votre micrologiciel pour corriger les vulnérabilités et envisagez d’utiliser un système d’exploitation mobile doté de fonctionnalités de renforcement de la sécurité, telles que GraphèneOS ou LignéeOSpour limiter votre surface d’attaque et vous prémunir contre les exploits courants.
Conclusion
Et c’est la fin des cyber-aventures de cette semaine ! Fou, non ? Mais voici un fait époustouflant : saviez-vous que toutes les 39 secondes, il y a une nouvelle cyberattaque quelque part dans le monde ? Restez vigilant ! Et si vous souhaitez devenir un véritable cyber-ninja, consultez notre site Web pour connaître les dernières nouvelles sur les hackers. A la semaine prochaine ! 👋