Planète Warez

C’est une bonne chose en effet, sachant qu’une étude récente parle que 90% des sites web ne respectent pas leur politique de cookies, et les refuser ne sert presque à rien, donc les sécuriser au max est une très bonne idée.

https://www.tomsguide.fr/refuser-les-cookies-sur-un-site-web-ne-sert-a-rien-selon-cette-etude-accablante/

Un nouveau gang de ransomware surnommé SEXi est parvenu à compromettre l’infrastructure du fournisseur de services chilien IXMetro Powerhost ! Lors de cette attaque, les pirates ont chiffré des serveurs VMware ESXi ainsi que des sauvegardes ! Faisons le point.

PowerHost est un fournisseur de services spécialisés dans les centres de données et l’hébergement, implanté en Amérique du Sud, notamment avec sa division IXMetro présente au Chili, aux États-Unis, et en Europe.

Samedi 30 mars 2024, tôt en début de journée, IXMetro a subi une cyberattaque lors de laquelle les pirates sont parvenus à chiffrer plusieurs serveurs VMware ESXi notamment utilisés pour héberger des serveurs privés virtuels de clients (VPS). De ce fait, les services hébergés sont inaccessibles.

Les équipes d’IXMetro cherchent à restaurer les données de leurs serveurs et de leurs clients à partir de précédentes sauvegardes, mais la tâche ne s’annonce pas simple : les sauvegardes sont également chiffrées. Ricardo Rubem, le CEO de PowerHost, affirme qu’il a essayé de négocier avec les cybercriminels, car il a envisagé de payer la rançon : “J’ai négocié avec le pirate, qui a exigé un montant exorbitant de bitcoins par client : 2 BTC pour chacun, soit environ 140 millions de dollars.”, précise-t-il.

Le ransomware SEXi

Le gang de ransomware SEXi serait une menace relativement récente et cette attaque serait son premier “gros coup” !

, lorsque des fichiers sont chiffrés par ce ransomware, l’extension “.SEXi” est utilisée, et ceux-ci sont accompagnés par une note de rançon nommée “SEXi.txt”.

D’après le site BleepingComputer, ce gang mène des attaques depuis mars 2023, mais cela reste à confirmer. Ce qui est certain, c’est que les cybercriminels du groupe SEXi cible seulement les hyperviseurs VMware ESXi, ce qui en fait une menace supplémentaire pour les infrastructures de virtualisation basées sur la solution VMware by Broadcom.

Pour le moment, nous ignorons si ce gang de ransomware applique le principe de la double extorsion, car à l’heure actuelle, ce gang ne semble pas avoir de site dédié aux fuites de données.

– Source :

https://www.it-connect.fr/les-serveurs-vmware-esxi-un-hebergeur-chiffres-par-le-nouveau-ransomware-sexi/

C’est vachement pratique de pouvoir récupérer sa chambre d’hôtel après une grosse journée, simplement en passant par le terminal qui se trouve dans l’entrée de l’hôtel. On tape son nom, on paye et paf, on récupère son numéro de chambre et le code pour y accéder. Sauf que ce que vous ignorez peut-être, c’est que ce même terminal vient potentiellement d’exposer votre code d’accès à des personnes mal intentionnées…

C’est exactement ce qui s’est passé dans un hôtel IBIS Budget à Hambourg, en Allemagne. Lors d’un congrès de hackers, la société Pentagrid a remarqué une faille de sécurité pour le moins inquiétante dans le terminal de check-in. Ainsi, en entrant une série de tirets à la place du numéro, le terminal liste toutes les réservations avec leur numéro, la date d’arrivée prévue et le prix total du séjour. Puis en sélectionnant une réservation, on accède directement au numéro de chambre et au code d’accès de la porte.

Dans l’hôtel en question, pas moins de 87 réservations étaient ainsi exposées, soit près de la moitié des 180 chambres de l’établissement !

Vous imaginez le désastre si ces codes tombaient entre de mauvaises mains ? Adieu vos effets personnels, surtout dans un hôtel bas de gamme comme celui-ci qui n’est pas équipé de coffres-forts dans les chambres. Et je vous parle pas des agressions en pleine nuit ! C’est la porte ouverte à toutes les fenêtres comme dirait l’autre.

Fort heureusement, Pentagrid a immédiatement signalé cette faille à la chaîne hôtelière Accor, propriétaire des hôtels IBIS. Le problème a depuis été corrigé, mais il aura fallu quand même plusieurs échanges et relances de la part des hackers pour que des actions soient entreprises de la part d’Accor.

Mais comment une telle faille a-t-elle pu se produire ? Et bien d’après les informations fournies par Pentagrid sur leur blog, il semblerait que le terminal de check-in ait une fonction de recherche des réservations qui nécessite uniquement le numéro de réservation pour afficher le numéro de chambre et le code d’accès. Donc c’est pas un bug, c’est une feature qui a mal tournée…

Le pire dans tout ça, c’est que de base, les numéros de réservation ne sont pas une donnée très sécurisée puisqu’on les retrouve sur toute la paperasse comme les factures…etc qui peuvent ensuite être récupérées dans une poubelle par exemple. Donc n’importe qui pourrait mettre la main dessus et accéder à votre chambre.

C’est pourquoi les auteurs de cette découverte recommandent aux hôtels de mettre en place une vérification supplémentaire pour accéder aux informations de réservation, comme un code PIN qui serait communiqué séparément au client. Les terminaux devraient aussi supprimer automatiquement les réservations dès que les informations ont été imprimées ou consultées.

En attendant, si vous séjournez dans un hôtel IBIS Budget prochainement, n’allez pas vous amuser à vérifier que la faille a été corrigée sur le terminal de check-in parce que vous ne voulez pas finir en prison pour piratage (lol).

En tout cas, sachez-le, la prochaine fois que je dors à l’IBIS, je vous attendrais de pied ferme en embuscade dans mon peignoir façon biopic DSK par Liam Neeson.

– Sources :

https://www.pentagrid.ch/en/blog/ibis-hotel-check-in-terminal-keypad-code-leakage/

https://korben.info/faille-securite-terminaux-check-in-ibis-codes-acces-chambres-exposes.html

Un chercheur en sécurité a identifié un nouveau logiciel malveillant destructeur de données, nommé AcidPour, et qui cible les équipements réseau ainsi que des appareils avec un système Linux. Voici ce que l’on sait sur cette menace.

AcidPour, qui est considéré comme une variante du malware AcidRain, est, ce que l’on appelle un “data wiper”, c’est-à-dire un malware dont l’unique but est de détruire les données présentes sur l’appareil infecté. Autrement dit, le malware AcidPour est destiné à effectuer des actes de sabotages. D’ailleurs, AcidRain a été utilisé dans le cadre d’une cyberattaque contre le fournisseur de communications par satellite Viasat, ce qui avait eu un impact important sur la disponibilité des services en Ukraine et en Europe.

Le malware AcidPour quant à lui, a été identifié par Tom Hegel, chercheur en sécurité chez SentinelLabs, et il a été téléchargé depuis l’Ukraine le 16 mars 2024. Il présente plusieurs similitudes avec AcidRain, notamment au sein des chemins pris pour cible sur les machines infectées. Néanmoins, les deux malwares ont uniquement 30% de code source en commun. AcidPour pourrait être une variante beaucoup plus évoluée et puissante qu’AcidRain, grâce à la “prise en charge” de la destruction de données sur une plus grande variété d’appareils.

AcidPour est un malware destructeur de données capable de s’attaquer à des équipements réseau, notamment des routeurs, mais aussi des appareils avec une distribution Linux embarquée (Linux x86). Par exemple, il pourrait s’agir de cibler des NAS dont le système est basé sur Linux, car le malware s’intéresse aux chemins de type "/dev/dm-XX.

Sur X (ex-Twitter), Rob Joyce, directeur de la cybersécurité de la NSA, affiche une certaine inquiétude vis-à-vis de ce logiciel malveillant :

Il s’agit d’une menace à surveiller. Mon inquiétude est d’autant plus grande que cette variante est plus puissante que la variante AcidRain et qu’elle couvre davantage de types de matériel et de systèmes d’exploitation.

Enfin, sachez que SentinelLabs a partagé un échantillon de ce malware sur VirusTotal, et vous pouvez le retrouver sur cette page publique.

– Sources :

https://www.bleepingcomputer.com/news/security/new-acidpour-data-wiper-targets-linux-x86-network-devices/

https://www.it-connect.fr/acidpour-un-malware-destructeur-de-donnees-qui-cible-linux-et-les-equipements-reseau/

Faire passer vos projets par une société n’est pas dénué de risque, vous êtes déjà copieusement espionnés par les gafa de toutes les manières possibles, alors que dire d’une I.A. google, par exemple.

Le plus beau de la chose, c’est que pour faire de l’espionnage industriel, il n’y a même plus besoin de former des espions et de les infiltrer, c’est vous qui leur offrez votre travail et que par dessus le marché, vous les payez pour ça. :lol:

Tant que l’I.A. n’est pas interne à une entreprise et soigneusement verrouillée, il vaut mieux s’en passer.

Et une de plus une

Bon pour le moment c’est IBM qui sait comment faire c’est pas dans la nature

Une nouvelle faille de sécurité critique a été découverte dans une bibliothèque très populaire puisque présente dans de nombreuses distributions Linux : GNUC C (glibc). En l’exploitant, un attaquant peut obtenir un accès root sur la machine. Voici ce qu’il faut savoir.

Les chercheurs en sécurité de chez Qualys ont mis en ligne un nouveau rapport dans lequel ils évoquent la découverte de 4 vulnérabilités dans la bibliothèque GNU C.

Celle qui est particulièrement dangereuse, c’est la faille de sécurité associée à la référence CVE-2023-6246 est présente dans la fonction “__vsyslog_internal()” de la bibliothèque glibc. Cette fonction est très utilisée par les distributions Linux par l’intermédiaire de syslog et vsyslog afin d’écrire des messages dans les journaux.

Cette vulnérabilité de type “heap-based buffer overflow” permet une élévation de privilèges sur une machine locale sur laquelle un attaquant à déjà accès avec un compte utilisateur standard. Ainsi, il peut élever ses privilèges pour devenir root (“super administrateur”) sur cette machine. De nombreuses distributions populaires sont vulnérables, comme le précise le rapport de Qualys :

Les principales distributions Linux telles que Debian (versions 12 et 13), Ubuntu (23.04 et 23.10) et Fedora (37 à 39) sont confirmées comme étant vulnérables.

Pour Debian, rendez-vous sur cette page pour obtenir la liste des versions où cette vulnérabilité a été corrigée.

Il est à noter que cette vulnérabilité a été introduite dans la bibliothèque GNU C en août 2022, au sein de glibc 2.37. Par ailleurs, elle a été accidentellement intégrée dans la version 2.36 de glibc lorsque les développeurs ont intégré un correctif pour une autre vulnérabilité : CVE-2022-39046. Par ailleurs, la fonction “qsort()” de glibc contient une vulnérabilité qui affecte toutes les versions de la 1.04 (septembre 1992) à la version 2.38, qui est la plus récente.

L’occasion pour Qualys de rappeler l’importance de la sécurité des bibliothèques populaires :

Ces failles soulignent le besoin critique de mesures de sécurité strictes dans le développement de logiciels, en particulier pour les bibliothèques de base largement utilisées dans de nombreux systèmes et applications.

Ces dernières années, Qualys a fait la découverte de plusieurs failles de sécurité importantes au sein de Linux, notamment Looney Tunables et PwnKit.

– Sources

https://www.it-connect.fr/linux-acces-root-faille-critique-glibc-cve-2023-6246/

https://www.bleepingcomputer.com/news/security/new-linux-glibc-flaw-lets-attackers-get-root-on-major-distros/

Ah ben je pense qu’avec un mec manipulant très bien les IA disponibles … y’a moyen de pondre un truc chaud patate …

jusqu’où s’arrêteront-ils ???

Yep @Raccoon ce sont les nouvelles guerres. S’attaquer aux infrastructures d’un pays, comme Stuxnet en son temps qui doit être toujours dormant je ne sais ou quelque part.

Sympa comme projet

@Ashura oui je n’ai pas dit le contraire 🙂 d’ou le :

@Violence a dit dans Une exploitation agricole sur cinq victime d’une cyberattaque :

Une bonne partie en effet,

J’ai d’ailleurs un ami d’enfance qui a repris l’exploitation de vaches laitières de ses parents.
Donc pour l’avoir aidé des weekends à la traite de temps à autre, je vois très bien le boulot.

Ce n’est pas de tout repos mais il fait partie de ceux qui s’en sortent bien.

La police royale malaisienne a annoncé la saisie de BulletProftLink, célèbre plateforme de phishing-as-a-service (PhaaS) qui a fourni plus de 300 modèles de phishing

La plateforme a vu le jour en 2015, mais est devenue plus active depuis 2018 et comptait des milliers d’abonnés, certains payant pour l’accès à des lots de logs d’identification.

Les plateformes PhaaS fournissent aux cybercriminels des outils et des ressources pour effectuer des attaques de phishing via des kits et modèles «prêts à l’emploi», l’hébergement de fausses pages web, des options de personnalisation, de la récolte d’informations d’identification et des outils de reverse proxy.

La plateforme BulletProftLink a déjà été documentée. En 2020, un expert en cybersécurité Gabor Szathmari détaillait dans une série en trois parties de recherches, comment il a créé une grande confiance avec un opérateur de la plateforme, un ressortissant malaisien vivant une vie de luxe.

Un rapport Microsoft de septembre 2021, mettait en garde contre le volume élevé d’attaques de phishing que la plateforme pourrait faciliter et le grand nombre de modèles disponibles pour les acheteurs. Le service a également collecté toutes les informations d’identification que ses abonnés (1 618 à l’époque) ont volées dans des attaques de phishing.

BulletProftLink

Aidée par la police fédérale australienne et le FBI, la police malaisienne a réussi à démanteler la plateforme et à supprimer plusieurs domaines qu’elle utilisait.

La police a arrêté huit personnes le 6 novembre, dont un autodidacte qui serait le chef de l’opération. Les autorités ont également saisi des portefeuilles de cryptomonnaie contenant environ 213 000 $, des serveurs, des ordinateurs, des bijoux, des véhicules et des cartes de paiement.

Les serveurs étant confisqués, les forces de l’ordre peuvent les examiner pour identifier les utilisateurs de la plateforme, certains d’entre eux payant des frais d’abonnement de 2000$ /mois pour accéder à des lots réguliers de logs d’informations d’identification.

La société de renseignement sur la cybercriminalité Intel471 affirme qu’en avril 2023, BulletProftLink comptait 8 138 abonnés actifs avec accès à 327 modèles de pages de phishing.

– Le dashboard de BulletProftLink (Intel471)

Il s’agit d’une augmentation de cleints de l’ordre de 403% depuis le rapport de Microsoft en 2021, reflétant la popularité massive de la plate-forme dans la communauté de la cybercriminalité.

Intel 471 dit que les ressources de phishing que BulletProftLink offrait avant d’être supprimées étaient “des pages de connexion incluses pour Microsoft Office, DHL, la plateforme en ligne basée en Corée du Sud Naver et des institutions financières, notamment American Express, Bank of America, Consumer Credit Union et la Royal Bank of Canada.”

– Pages de phishing disponibles à l’achat pour les membres (Intel471)

Certaines de ces pages de phishing ont été hébergées sur des services cloud légitimes tels que Google Cloud et Microsoft Azure pour échapper aux outils de sécurité.

L’inventaire de BulletProftLink offrait également l’outil de proxy inverse Evilginx2 qui permet des attaques de phishing AITM (Adversary-In-The-Middle), qui peuvent contourner les protections d’authentification multifactorielle.

BulletProftLink était une source importante de référence pour les cybercriminels professionnels afin d’obtenir des accès privilégiées aux systèmes d’entreprises. Avec un premier pied dans leur réseau, les attaquants peuvent commencer la phase de reconnaissance et avancer vers des machines contenant des informations bien plus importantes.

– Source

https://www.bleepingcomputer.com/news/security/police-takes-down-bulletproftlink-large-scale-phishing-provider/

@Psyckofox a dit dans Les pirates iraniens lancent des attaques via malware contre le secteur technologique israélien :

Edit : pas de problème Violence, je suis 100 % ok avec toi

No hay problemas amigo @Psyckofox 😁
Sé que todo esto está cerca de tu corazón.

Ha ben je comprends mieux pourquoi ça ne fonctionnait pas hier ! Et dire qu’on m’a accusé d’avoir mal formulé ma question 🙄

Alors eux des traîtres ils vont passer un sale moment

Le groupe de piratage Sandworm parrainé par l’État Russe, a compromis onze prestataires de services de télécommunications en Ukraine entre mai et septembre 2023.

Cette information est basée sur un nouveau rapport de l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA - Computer Emergency Response Team) citant des «ressources publiques» et des informations récupérées auprès de certains fournisseurs victimes de Sandworm.

L’agence déclare que les pirates russes “ont interféré” avec les systèmes de communication de 11 opérateurs de télécommunications dans le pays, ce qui a entraîné des interruptions de service et des potentielles vols de données.

Sandworm est un groupe d’espionnage très actif lié au GRU russe (forces armées). Les assaillants se sont concentrés sur l’Ukraine tout au long de 2023, en utilisant le phishing, des malwares Android, et des data-wipers.

Cibler les opérateurs télécoms

Les attaques commencent quand Sandworm effectue des reconnaissances sur les réseaux des sociétés de télécommunications en utilisant l’outil masscan pour effectuer des analyses et scans sur le réseau de la cible.

– Exemple du script masscan (CERT-UA)

Sandworm recherche principalement des ports ouverts et des interfaces RDP ou SSH non protégées qu’ils peuvent exploiter pour pénétrer le réseau.

De plus, les attaquants utilisent des outils tels que ffuf, dirbuster, gowitness et nmap pour trouver des vulnérabilités potentielles dans les services Web qui peuvent être exploitées pour y accéder.

Des comptes VPN compromis qui n’étaient pas protégés par l’authentification multifactorielle (2FA) ont également été exploités pour accéder au réseau.

Pour rendre leurs intrusions plus furtives, Sandworm utilise Dante, socks5 et d’autres serveurs proxy pour acheminer leurs activités malveillantes via d’autres serveurs dans la région Internet ukrainienne qu’ils ont compromis auparavant, ce qui le rend moins suspect.

Le rapport détaillé du CERT-UA (très intéressant au passage) à repéré deux portes dérobées dans les systèmes ISP compromis, à savoir Poemgate et Poseidon.

Poemgate capture les informations d’identification des administrateurs qui tentent de s’authentifier dans des accès compromis, offrant aux attaquants un accès à des comptes supplémentaires qu’ils peuvent utiliser pour une infiltration plus profonde du réseau.

Poseidon est une porte dérobée Linux qui, selon l’agence ukrainienne, “comprend la gamme complète d’outils de contrôle informatique à distance.”
La persistance de Poséidon est obtenue en modifiant Cron pour ajouter des jobs compromettant le système.

– Modification binaire de CRON pour ajouter de la persistance à Poséidon (CERT-UA)

Sandworm utilise l’outil Whitecat pour supprimer les traces de l’attaque et supprimer les journaux d’accès (log).

Aux dernières étapes de l’attaque, les pirates ont été repérés en train de déployer des scripts qui provoqueraient une perturbation du service, en particulier en se concentrant sur des équipements Mikrotik, et en supprimant les backups pour rendre la récupération de données plus difficile.

– Script pour altérer les appareils Mikrotik (CERT-UA)

Le CERT-UA informe que tous les fournisseurs de services du pays doivent suivre les recommandations de leur guide pour rendre plus difficile pour les cyber-intrus d’infiltrer leurs systèmes.

– Sources

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-breached-11-ukrainian-telcos-since-may/

https://cert.gov.ua/article/6123309

Face à la montée en puissance des cyberattaques, Microsoft mise sur plus d’automatisation pour intercepter plus d’intrusion et réagir plus rapidement en cas de faille de sécurité. Il plaide aussi pour une coopération internationale renforcée.

Microsoft a connu depuis un an une multitude de failles de sécurité touchant son service cloud Azure, provoquant des critiques de la part de l’industrie sur ses pratiques en matière de transparence et remédiation. Le géant de Redmond semble avoir entendu ces plaintes et a annoncé une initiative baptisée “Secure Future” le 2 novembre 2023 qui vise à améliorer les choses.

Diviser par deux le temps de réaction face à une vulnérabilité sur le cloud

Microsoft ne le met pas particulièrement en avant dans sa communication, préférant parler de ses projets à base d’intelligence artificielle, mais il dit vouloir “diviser par deux le temps nécessaire pour corriger une vulnérabilité cloud” et compte pour cela sur des rapports plus transparents et plus cohérents concernant les cyberattaques de la part de la communauté tech.

Il va par ailleurs migrer vers un nouveau système de gestion des clés grand public et d’entreprise entièrement automatisé, doté d’une architecture conçue pour garantir que les clés restent inaccessibles même lorsque les processus sous-jacents sont compromis. Il s’appuiera aussi sur son architecture informatique confidentielle et utilisera des modules de sécurité matériels (HSM) qui stockent et protègent les clés dans le matériel et chiffrent les données au repos, en transit et pendant le calcul.

Exploiter le potentiel de l’IA

Comme évoqué plus haut, Microsoft souligne largement le potentiel de l’IA pour la sécurité. Il va étendre à ses clients les fonctionnalités d’automatisation qu’il utilise déjà au sein du Microsoft Threat Intelligence Center (MSTIC) et du Microsoft Threat Analysis Center (MTAC), ses divisions dédiées à la surveillance et à l’analyse des cybermenaces. Ces dernières suivent quotidiennement plus de 65 000 milliards de signaux et utilisent des outils d’IA pour les analyser en continu afin d’identifier les vulnérabilités et d’anticiper les cybermenaces. Cela ne se fera évidemment pas gratuitement.

Microsoft mise par ailleurs sur son “Microsoft Security Copilot”, un assistant destiné aux équipes spécialisées dans la cybersécurité dévoilé en mars dernier. Il permettrait de réagir plus rapidement en cas d’incidents, aussi bien pour en identifier l’origine que pour prendre les bonnes actions correctives.

Des avancées techniques

Microsoft travaille sur de nouvelles avancées en matière d’ingénierie logicielle fondamentale. L’entreprise assure qu’elle appliquera des processus systématiques de protection contre les cybermenaces lors du développement, des tests, du déploiement et de l’exploitation de tous les systèmes et services du groupe. De plus, elle utilisera GitHub Copilot pour auditer et tester le code source sur des scénarios de menaces avancés.

L’entreprise prévoit également le renforcement de la protection de l’identité contre les cyberattaques sophistiquées, rappelant que les menaces basées sur l’identité ont été multipliées par dix au cours de l’année écoulée. Pour ce faire, Microsoft explique qu’il appliquera un processus unifié qui vérifiera les identités et les droits d’accès de ses utilisateurs, appareils et services sur tous ses produits et plateformes.

Microsoft appelle les états à s’engager plus vigoureusement

Outre ces actions, Microsoft publie un plaidoyer qui appelle à une collaboration internationale plus poussée en matière de lutte contre les cyberattaques comme l’affirme le groupe dans son communiqué :

Tous les États devraient s’engager publiquement à ne pas créer de vulnérabilités logicielles dans les réseaux des fournisseurs d’infrastructures critiques, tels que les fournisseurs d’énergie, d’eau, de nourriture, de soins médicaux ou autres"

Il plaide par ailleurs pour un engagement plus vigoureux et affiché des nations qui amènera les pays qui franchissent ces lignes rouges à rendre davantage compte de leurs actes.

– Source

https://www.usine-digitale.fr/article/microsoft-veut-diviser-par-deux-son-temps-de-reaction-face-aux-vulnerabilites-cloud.N2190833

Je pensais que RoundCube était un vieil ersatz d’une techno utilisée par OVH, je n’aurais jamais cru que ça existait encore.

Entre les avions et les ports maritimes les hackeurs ne chôment pas en ce moment.

L’ANSSI a publié un nouveau rapport intitulé “Campagnes d’attaques du mode opératoire APT28 depuis 2021” qui revient en détail sur les techniques employées par ce groupe de cybercriminels à l’origine de nombreuses cyberattaques en France. Ce document contient également un ensemble de recommandations.

Le groupe de cybercriminels russes APT28, également appelé Fancy Bear, est à l’origine de nombreuses cyberattaques en France :

Certaines campagnes ont été dirigées contre des organisations françaises, dont des entités gouvernementales, des entreprises, des universités, ainsi que des instituts de recherche et des groupes de réflexion (think tanks)
ANSSI

L’ANSSI est intervenu sur ces incidents de sécurité afin de mener des investigations, donc ce rapport est en quelque sorte une synthèse de ce qu’ils ont appris sur APT28. “Ce document s’appuie sur des rapports techniques publiés en source ouverte et des éléments collectés durant des opérations de réponse à incident réalisées par l’ANSSI.”, précise le rapport que vous pouvez retrouver à cette adresse.

– Adresses ayant diffusé des emails exploitant la CVE-2023-23397 (ANSSI)

Le groupe APT28 a pour habitude d’effectuer sa phase de reconnaissance à l’aide de campagnes de phishing envoyées directement à partir de comptes compromis. À cela s’ajoutent des routeurs compromis, notamment de la marque Ubiquiti, utilisée pour récupérer les données exfiltrées. L’ANSSI affirme que le groupe APT28 a exploité de nombreuses vulnérabilités, y compris des failles zero-day, notamment certaines très connues. Voici quelques exemples :

La CVE-2022-30190 (Follina) dans MSDT (Microsoft Support Diagnostic Tool) Les CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 dans l’application Roundcube La CVE-2023-23397 dans Outlook : "APT28 a exploité la vulnérabilité 0-day CVE-2023-23397 affectant le produit Outlook pour Windows à partir de mars 2022 et jusqu’en juin 2023."

D’ailleurs, l’ANSSI s’est intéressé à la manière dont les attaquants exploitaient la faille de sécurité CVE-2023-23397 puisqu’ils semblent particulièrement l’apprécier.

En exploitant ces vulnérabilités et en récupérant des informations au sein de fuites de données, APT28 s’est constitué une belle infrastructure d’attaque.Par ailleurs, APT28 s’appuie sur des outils de sécurité tels que Mimikatz et reGeorg lors de ses opérations, en plus d’utiliser des fournisseurs de VPN divers et variés (Surfshark, ExpressVPN, ProtonVPN, etc.).

Enfin, le rapport contient un ensemble de 17 recommandations à appliquer pour faire face à ce type de menace. L’ANSSI aborde la sécurité des échanges par e-mail, la sécurité des données d’authentification, la sécurité des postes de travail ainsi que la sécurité de l’accès aux contenus hébergés sur Internet.

Bonne lecture !

– Source

https://www.it-connect.fr/lanssi-sest-interessee-au-groupe-apt28-a-lorigine-de-nombreuses-attaques-en-france/