Arxon Force

Arxon Force Prevention des menaces Cybernétique, Consultation et Investigation des incidents

24/02/2023

L'attaque d'espionnage WIP26 cible les fournisseurs de télécommunications au Moyen-Orient.

Les chercheurs ont identifié un cluster de cyber-activités, baptisé WIP26, ciblant les fournisseurs de télécommunications au Moyen-Orient. La particularité de cet ensemble d'activités est la forte dépendance à l'infrastructure de cloud public, notamment Microsoft Azure, Microsoft 365 Mail, Google Firebase et Dropbox pour l'exfiltration de données, la diffusion de logiciels malveillants et C2.Une étude collaborative des logiciels malveillants et de l'infrastructure utilisée par WIP26 déclare qu'il s'agit d'une mission de collecte de renseignements avec des adversaires qui tentent d'utiliser le trafic réseau à partir de services cloud légitimes et de se cacher derrière. L'attaque commence par un message WhatsApp envoyé aux employés de l'organisation ciblée. Ce message contient un lien Dropbox vers un fichier d'archive, prétendant être un document sur les problèmes liés à la pauvreté au Moyen-Orient. L'archive contient ledit document et un chargeur de logiciels malveillants (PDFelement.exe) se faisant passer pour l'application PDFelement. Ce chargeur est conçu pour déposer des portes dérobées sur mesure, notamment CMD365 et CMDEmber. Les chercheurs ont détecté plusieurs échantillons CMD365 ou CMDEmber qui abusent de Google Firebase et de Microsoft 365 Mail pour C2, et exécutent les commandes reçues des attaquants sur le système compromis. CMD365 est un exécutable .NET (nommé Update.exe) qui prétend être une véritable application Postman. Il crée une tâche planifiée sur le système infecté pour assurer la persistance. De plus, il est capable d'exfiltration de données, d'élévation de privilèges, de reconnaissance et de mise en scène de logiciels malveillants supplémentaires. CMDEmber, un autre exécutable .NET (nommé Launcher.exe) se fait passer pour le navigateur Opera. Il utilise la bibliothèque Firebase open-source pour interagir avec les instances Google Firebase via des requêtes HTTP. Il vole les données du navigateur privé et les informations de reconnaissance des hôtes de grande valeur choisis. Ces données sont transmises aux instances Azure contrôlées par des cibles via des commandes PowerShell.

24/02/2023

Earth Yako APT nouvellement identifié observé ciblant des entités japonaises.

Les chercheurs ont publié une analyse détaillée d'une campagne active ciblant plusieurs entités au Japon. Surnommée Operation RestyLink ou Enelink, la campagne est en cours depuis janvier 2022, avec des changements observés dans les TTP. Le groupe Earth Yako APT a été découvert en train d'abuser de services légitimes tels que Dropbox, GitHub et Protonmail pour étendre sa campagne à l'Asie de l'Est. Les chercheurs de Trend Micro ont révélé que Earth Yako utilise un lien de harponnage pour l'accès initial. L'URL dans le courrier télécharge les fichiers compressés ou image disque contenant un fichier de raccourci malveillant pour télécharger une autre charge utile. Les attaquants ont utilisé un large éventail de logiciels malveillants et d'outils tels que MirrorKey, PlugBox, PULink et ShellBox pour infecter leurs victimes. En plus de cibler des chercheurs, des universitaires et des groupes de réflexion au Japon, un petit nombre d'organisations à Taïwan ont également été touchées par l'attaque. Plus tôt en 2022, les principales cibles du groupe étaient les parties prenantes liées à la sécurité économique, qui se sont ensuite étendues pour cibler d'autres secteurs, tels que l'énergie. Sur la base de l'arsenal et des TTP, les chercheurs affirment qu'il existe des chevauchements techniques entre Earth Yako et plusieurs groupes de menaces tels que DarkHotel, APT10 et APT29. Bien que la méthode d'accès initial de Earth Yako soit similaire à celle de DarkHotel, elle utilise la même routine de chiffrement que celle suivie par les familles de logiciels malveillants d'APT10. De plus, l'utilisation des fichiers ISO et LNK par Earth Yako ressemble aux TTP d'APT29.

24/02/2023

Apple met à jour ses avis alors que l'entreprise de sécurité divulgue une nouvelle classe de vulnérabilités.

Apple a mis à jour lundi plusieurs de ses récents avis de sécurité pour ajouter de nouvelles vulnérabilités iOS et macOS, y compris celles appartenant à une nouvelle classe de bogues. Les avis iOS 16.3 et macOS Ventura 13.2, initialement publiés en janvier ary 23, ont été mis à jour pour ajouter trois vulnérabilités. L'un d'eux est CVE-2023-23520, une condition de concurrence affectant le composant de rapport de crash, qui peut permettre à un attaquant de lire des fichiers arbitraires en tant que root. Les deux autres failles de sécurité ont un impact sur le composant "fondamental" des systèmes d'exploitation d'Apple et peuvent permettre à un attaquant "d'exécuter du code arbitraire hors de son bac à sable ou avec certains privilèges élevés", selon le géant de la technologie. Ces vulnérabilités, identifiées comme CVE-2023-23530 et CVE-2023-23531, ont été signalées à Apple par la société de détection et de réponse étendues (XDR) Trellix. Les bogues sont liés à des recherches menées par un chercheur en sécurité iOS connu sous le nom de CodeColorist en 2019 et 2020. Les techniques qu'il a décrites à l'époque semblent avoir inspiré les acteurs de la menace, qui l'ont utilisé en 2021 pour diffuser le logiciel espion Pegasus sur les iPhones. L'exploit utilisé dans ces attaques a été surnommé ForcedEntry et il a été corrigé par Apple en septembre 2021. Apple a pris des mesures pour empêcher l'exploitation, mais les chercheurs de Trellix ont découvert que les mesures d'atténuation du fournisseur pouvaient être contournées. Un attaquant qui a accès au système ciblé peut exploiter ces vulnérabilités pour vaincre l'isolation des processus sur iOS et macOS. Selon le rôle et les autorisations du processus ciblé, un pirate pourrait accéder à des informations sensibles (calendrier, carnet d'adresses, photos), installer des applications arbitraires ou espionner des utilisateurs.

24/02/2023

Activision confirme une violation de données exposant des informations sur les employés et le jeu.

Activision a confirmé avoir subi une violation de données début décembre 2022 après que des pirates ont eu accès aux systèmes internes de l'entreprise en trompant un employé avec un SMS de phishing. Le fabricant de jeux vidéo affirme que l'incident n'a pas compromis le code source du jeu ou les détails du joueur. Le 4 décembre 2022, notre équipe de sécurité de l'information a rapidement traité une tentative d'hameçonnage par SMS et l'a rapidement résolue. Après une enquête approfondie, nous avons déterminé qu'aucune donnée sensible sur les employés, code de jeu ou données de joueur n'avait été consultée, a déclaré un porte-parole de l'entreprise à BleepingComputer. Cependant, le groupe de recherche sur la sécurité vx-underground affirme que l'acteur de la menace "a exfiltré des documents sensibles sur le lieu de travail" ainsi que le calendrier de publication du contenu jusqu'au 17 novembre 2023. Des captures d'écran partagées par les chercheurs montrent que les pirates avaient eu accès au compte Slack d'un Un employé d'Activision le 2 décembre et a tenté d'inciter d'autres employés à cliquer sur des liens malveillants. La publication de jeux vidéo "Insider Gaming" a obtenu et analysé l'intégralité de la fuite, signalant que le cache contient des noms complets, des adresses e-mail, des numéros de téléphone, des salaires, des lieux de travail, et d'autres détails sur les employés. De plus, la publication affirme que l'employé piraté appartenait au service des ressources humaines et avait accès à des pans entiers de détails sensibles sur les employés.

24/02/2023

Google renforcera la sécurité d'Android grâce au renforcement du micrologiciel.

Google a commencé à travailler pour durcir la sécurité d'Android au niveau du firmware, un composant de la pile logicielle qui interagit directement avec les différents processeurs d'un système sur puce (SoC). Le plan consiste à étendre la sécurité des appareils Android au-delà du système d'exploitation, qui s'exécute sur un processeur multicœur, aux autres processeurs du SoC pour des tâches dédiées telles que la communication cellulaire, le traitement multimédia ou les modules de sécurité. Cette décision a été alimentée par des recherches en matière de sécurité qui se sont récemment concentrées sur divers composants de la pile logicielle, y compris le micrologiciel. Parmi les exemples les plus notables, citons les attaques ciblant les vulnérabilités des processeurs secondaires tels que le Wi-Fi ou les modules cellulaires qui pourraient être exploités à distance par liaison radio. d'injecter et d'exécuter du code arbitraire. Google affirme qu'en collaboration avec ses partenaires de l'écosystème Android, il travaille à améliorer la sécurité du micrologiciel qui interagit avec Android, en explorant plusieurs mécanismes de protection : des désinfectants basés sur un compilateur qui peuvent détecter les problèmes de sécurité de la mémoire permettant des failles de sécurité ou se bloque lors de la phase de compilation du code. Google mentionne BoundSan et IntSan. Atténuation des exploits : Control Flow Integrity (CFI), Kernel Control Flow Integrity (kCFI), ShadowCallStack et Stack Canaries. Fonctions de sécurité de la mémoire visant à prévenir les erreurs de mémoire telles que les dépassements de mémoire tampon, les attaques après libération de l'utilisateur et les déréférencements de pointeur nuls ; Google mentionne le mécanisme "zéro initialisé" qui met à zéro les valeurs de mémoire avant qu'un programme n'accède à l'espace alloué afin qu'il ne contienne pas de données aléatoires d'utilisations précédentes. Un problème avec l'incorporation des atténuations est qu'elles peuvent avoir un impact négatif sur les performances de les appareils, un défi encore plus difficile lorsqu'il s'agit de processeurs secondaires conçus pour un ensemble spécifique de fonctions, car ils ne disposent pas des mêmes ressources que le processeur principal alimentant le système d'exploitation Android.

24/02/2023

Exploit publié pour les failles critiques de Fortinet RCE, patch maintenant.

Les chercheurs en sécurité ont publié un exploit de preuve de concept pour une vulnérabilité de gravité critique (CVE-2022-39952) dans la suite de contrôle d'accès au réseau FortiNAC de Fortinet. Fortinet a divulgué le problème de sécurité le 16 février et a calculé un score de gravité de 9,8. Le fournisseur a averti qu'il pourrait être exploité par un attaquant non authentifié pour écrire des fichiers arbitraires sur le système et réaliser l'exécution de code à distance avec les privilèges les plus élevés. Les organisations utilisant FortiNAC 9.4.0, 9.2.0 à 9.2.5, 9.1.0 à 9.1.7 et toutes les versions des branches 8.8, 8.7, 8.6, 8.5 et 8.3 ont été invitées à appliquer en priorité les mises à jour de sécurité disponibles. Le PoC publié implique la rédaction d'un cron job à /etc/cron.d/ qui se déclenche toutes les minutes pour initier un root reverse shell à l'attaquant, lui donnant des capacités d'exécution de code à distance. Les analystes ont découvert que le correctif pour CVE-2022-39952 supprimait « keyUpload.jsp », un point de terminaison qui analyse les demandes d'un paramètre « clé », l'écrit dans un fichier de configuration, puis exécute un script bash, « configApplianceXml ». Le script bash exécute la commande 'unzip' sur le fichier nouvellement écrit, mais juste avant cela, le script appelle "cd /."Unzip permettra de placer des fichiers dans n'importe quel chemin tant qu'ils ne traversent pas le répertoire de travail actuel, explique Horizon3 . Comme le répertoire de travail est /, l'appel unzip à l'intérieur du script bash permet d'écrire n'importe quel fichier arbitraire, ont ajouté les chercheurs. Par conséquent, un attaquant peut créer une archive ZIP contenant la charge utile, en spécifiant où elle doit être extraite, puis l'envoyer au point de terminaison vulnérable à l'aide du paramètre clé. Horizon3 indique que le shell inversé devrait être prêt dans une minute. Le paramètre "key" garantit que la requête malveillante atteindra "keyUpload.jsp", qui est le point de terminaison non authentifié que Fortinet a supprimé dans les versions corrigées de FortiNAC.

24/02/2023

Les pirates ont marqué des connexions au centre de données pour certaines des plus grandes entreprises du monde.

Bloomberg, Dans un épisode qui souligne la vulnérabilité des réseaux informatiques mondiaux, les pirates ont mis la main sur les identifiants de connexion des centres de données en Asie utilisés par certaines des plus grandes entreprises du monde, une aubaine potentielle pour l'espionnage ou le sabotage, selon une société de recherche en cybersécurité. Selon Resecurity Inc., qui fournit services de cybersécurité et enquête sur les pirates. Environ 2 000 clients de GDS et STT GDC ont été concernés. Les pirates se sont connectés aux comptes d'au moins cinq d'entre eux, dont la principale plate-forme chinoise de change et de négociation de dettes et quatre autres en Inde, selon Resecurity, qui a déclaré avoir infiltré le groupe de piratage. On ne sait pas ce que - le cas échéant - les pirates ont fait avec les autres connexions. Les informations comprenaient des informations d'identification en nombre variable pour certaines des plus grandes entreprises du monde, notamment Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., et Walmart Inc., selon la société de sécurité et des centaines de pages de documents examinés par Bloomberg.

24/02/2023

Vulnérabilité R1Soft Server Backup Manager exploitée pour déployer une porte dérobée

Une vulnérabilité découverte l'année dernière dans le logiciel R1Soft Server Backup Manager de ConnectWise a été exploitée pour déployer des portes dérobées sur des centaines de serveurs. Fin octobre 2022, ConnectWise a informé les clients qu'une vulnérabilité critique corrigée dans les produits Recover et R1Soft Server Backup Manager pourrait permettre à un attaquant d'exécuter du code arbitraire ou d'accéder directement à des données confidentielles. Le fournisseur a averti à l'époque que la faille risquait fortement d'être exploitée dans la nature et a exhorté les utilisateurs à corriger leurs installations dès que possible. Quelques jours plus t**d, la société Huntress de détection et de réponse des terminaux gérés (EDR) a expliqué qu'il s'agissait en fait d'un contournement d'authentification et d'une vulnérabilité de fuite de fichiers sensibles affectant le framework ZK Java utilisé par le logiciel R1Soft. La faille dans ZK est identifiée comme CVE-2022-36537 et elle a été corrigée en mai 2022. Les chercheurs de Huntress ont démontré à l'époque comment un attaquant pouvait contourner l'authentification et télécharger un pilote de base de données JDBC dérobé pour obtenir une exécution de code arbitraire et pousser un morceau de ransomware à tous les terminaux en aval gérés par le logiciel. La société de sécurité a averti qu'il y avait à l'époque près de 5 000 serveurs R1Soft exposés à Internet et que les pirates pourraient exploiter la vulnérabilité pour pousser les ransomwares sur ces systèmes. Lors d'un récent cas de réponse à un incident, la société de cybersécurité Fox-IT a trouvé des preuves que la vulnérabilité R1Soft avait été exploitée pour obtenir un accès initial à un serveur. Les attaquants ont ensuite déployé un pilote de base de données malveillant qui leur a donné un accès par porte dérobée.

24/02/2023

Le temps nécessaire pour déployer un ransomware chute de 94 %

Les acteurs de la menace ont considérablement accéléré leur déploiement de ransomwares ces dernières années, passant d'une moyenne de plus de 60 jours par attaque en 2019 à moins de quatre jours en 2021, selon IBM. L'indice annuel X-Force Threat Intelligence de l'entreprise a été compilé à partir de milliards de points de données collectés en 2022 à partir d'appareils de réseau et de terminaux, d'engagements de réponse aux incidents, de bases de données de vulnérabilités et d'exploits, et plus encore. Il a constaté que bien que la part des incidents de ransomware soit passée de 21 % en 2021 à 17 % en 2022, les attaquants mènent leurs attaques plus rapidement que jamais - avec une réduction de 94 % du temps moyen nécessaire pour déployer un ransomware entre 2019 et 2021. La manière dommageable pour les opérateurs de rançongiciels de distribuer leur charge utile sur un réseau est de compromettre les contrôleurs de domaine. Un petit pourcentage, environ 4 %, des résultats des tests de pénétration du réseau par X-Force Red a révélé des entités présentant des erreurs de configuration dans Active Directory qui pourraient les exposer à une escalade de privilèges ou à une prise de contrôle totale du domaine », explique le rapport. « En 2022, X-Force a également observé des attaques de ransomwares plus agressives sur l'infrastructure sous-jacente, comme ESXi et Hyper-V. L'impact potentiellement élevé de ces méthodes d'attaque souligne l'importance de sécuriser correctement les contrôleurs de domaine et les hyperviseurs. La prévalence continue des rançongiciels a contribué à faire de l'extorsion l'objectif numéro un des acteurs de la menace l'année dernière.

24/02/2023

Discours de Poutine interrompu par une attaque DDoS

Une attaque présumée par déni de service distribué (DDoS) a détruit plusieurs sites Web diffusant mardi le discours sur l'état de la nation du président Poutine, selon des informations. Reuters a déclaré que les journalistes basés dans plusieurs endroits n'étaient pas en mesure d'accéder au site Web de la Société panrusse de télévision et de radiodiffusion (VGTRK) ou à la plate-forme de diffusion en direct Smotrim pendant certaines périodes du discours. Il a déclaré que le site Smotrim ne s'était tout simplement pas chargé, tandis que VGTRK affichait un message d'erreur indiquant que "des travaux techniques étaient en cours". Bien que Reuters n'ait pas été en mesure de vérifier qu'un DDoS était la cause, d'autres sources l'ont fait. L'agence de presse RIA Novosti aurait affirmé que des acteurs en ligne malveillants étaient à blâmer, tandis qu'un compte Twitter lié à l'armée informatique d'Ukraine a confirmé la même chose. "Bon travail! Nous avons lancé une attaque DDoS sur les chaînes diffusant l'adresse de Poutine à l'Assemblée fédérale : 1TV, VGTRK et Smotrim", a-t-il déclaré dans un message lié aux informations officielles sur l'incident. "Slava Ukraini." L'IT Army est un groupe hacktiviste fondé au début de la guerre après des appels du vice-Premier ministre ukrainien, Mykhailo Fedorov, à des partisans pour aider à attaquer des cibles russes. Il sélectionne ces cibles puis les fait connaître à un groupe Telegram. La relative facilité avec laquelle les hacktivistes peuvent télécharger des outils et des services DDoS à louer a rendu des campagnes comme celle-ci beaucoup plus faciles à mener, bien qu'elles perturbent rarement les cibles plus que sporadiquement. Les attaques précédentes ont perturbé le site Web d'un important portail de distribution d'alcool, la Bourse de Moscou et plusieurs banques russes.

24/02/2023

Le développeur de Call of Duty confirme une tentative de phishing mais pas une infraction

Activision a confirmé avoir subi un incident de cybersécurité en décembre 2022, mais n'a pas fourni plus de détails sur la violation de données présumée. Le développeur de Call of Duty a publié la déclaration suivante aux médias : "Le 4 décembre 2022, notre sécurité de l'information team a rapidement traité une tentative de phishing par SMS et l'a rapidement résolue. Après une enquête approfondie, nous avons déterminé qu'aucune donnée sensible des employés, code de jeu ou données de joueur n'avait été consultée. Cependant, lundi, des chercheurs en sécurité de vx-underground ont affirmé sur Twitter que l'incident de phishing avait réussi à compromettre un utilisateur privilégié sur le réseau du géant du jeu vidéo. "Ils ont exfiltré des documents sensibles sur le lieu de travail ainsi que du contenu prévu pour être publié datant du 17 novembre 2023", a-t-il ajouté. « Activision ne l'a dit à personne. Un rapport distinct d'Insider Gaming a confirmé la véracité des conclusions de vx-underground et a affirmé que le contenu violé comprenait non seulement des « plans » pour Call of Duty 2023 et Call of Duty 2024, mais également des informations sensibles sur les employés telles que les noms complets, les e-mails, les numéros de téléphone. , les salaires et les lieux de travail. Si Activision n'a pas informé les employés de cet incident, comme le prétend vx-underground, il se peut qu'il ait enfreint les règles californiennes de notification des violations, en fonction du nombre de victimes touchées par la violation. "Il convient également de noter que le ou les acteurs de la menace ont tenté d'hameçonner d'autres employés", a ajouté vx-underground dans un message Twitter séparé. « Les autres employés ne sont pas tombés dans le piège du phishing. Cependant, il semble qu'ils n'aient pas signalé l'incident de sécurité à l'équipe de sécurité de l'information d'Activision.

24/02/2023

VMware a corrigé un bogue critique dans Carbon Black App Control

VMware a publié des mises à jour de sécurité pour corriger une vulnérabilité critique, identifiée comme CVE-2023-20858, dans le produit Carbon Black App Control. VMware a corrigé une vulnérabilité d'injection critique, suivie comme (score CVSSv3 9.1), Carbon Black App Control. VMware Carbon Black App Control permet aux organisations de s'assurer que seuls les logiciels fiables et approuvés sont autorisés à s'exécuter sur leurs systèmes et terminaux critiques. Un attaquant disposant d'un accès privilégié à la console d'administration d'App Control peut déclencher le problème en fournissant une entrée spécialement conçue et en accédant au système d'exploitation du serveur sous-jacent. "VMware Carbon Black App Control contient une vulnérabilité d'injection." lit l'avis publié par le géant de la virtualisation. "Un acteur malveillant disposant d'un accès privilégié à la console d'administration App Control peut être en mesure d'utiliser une entrée spécialement conçue permettant d'accéder au système d'exploitation du serveur sous-jacent." La vulnérabilité affecte les versions 8.7.x, 8.8.x et 8.9.x d'App Control pour Windows de Microsoft. La société y a remédié avec la sortie des versions 8.9.4, 8.8.6, 8.7.8. Le chercheur en sécurité Jari Jääskelä a signalé la vulnérabilité en privé via le programme de primes de bogues de l'entreprise sur la plate-forme HackerOne. VMware indique qu'il n'existe aucune solution de contournement pour cette vulnérabilité.

Adresse

09, Rue Molière
Annaba
23000

Téléphone

+213770322311

Site Web

https://twitter.com/ArxonForce

Notifications

Soyez le premier à savoir et laissez-nous vous envoyer un courriel lorsque Arxon Force publie des nouvelles et des promotions. Votre adresse e-mail ne sera pas utilisée à d'autres fins, et vous pouvez vous désabonner à tout moment.

Contacter L'entreprise

Envoyer un message à Arxon Force:

Raccourcis

Partager

Type