Sommaire
Par
le personnel de CyberWire
En un coup d'œil.
LuminousMoth cible les Philippines et le Myanmar.
Microsoft et Citizen Lab suivent le fournisseur de logiciels espions.
Mises à jour de Trickbot.
LuminousMoth cible les Philippines et le Myanmar.
Les chercheurs de Kaspersky sont
suivi
une "campagne à grande échelle et très active" lancée par un acteur chinois présumé, principalement actif contre des cibles aux Philippines, avec quelques cibles au Myanmar. Les chercheurs ont observé des chevauchements avec l'acteur chinois de la menace Mustang Panda, et ils soulignent la capacité du malware à se propager via des clés USB :
"Une analyse plus approfondie a révélé que l'acteur sous-jacent, que nous avons surnommé LuminousMoth, montre une affinité avec le groupe HoneyMyte, également connu sous le nom de Mustang Panda. Cela est évident à la fois dans les connexions d'infrastructure réseau et dans l'utilisation de TTP similaires pour déployer le Cobalt Strike Beacon comme une charge utile. En fait, nos collègues de
ESET
et
Avast
a récemment évalué que HoneyMyte était actif dans la même région. La proximité dans le temps et l'occurrence commune au Myanmar des deux campagnes pourraient suggérer que divers TTP de HoneyMyte pourraient avoir été empruntés pour l'activité de LuminousMoth.
"Plus particulièrement, cependant, nous avons observé la capacité du coupable à se propager à d'autres hôtes via l'utilisation de clés USB. Dans certains cas, cela a été suivi du déploiement d'une version signée, mais fausse de l'application populaire Zoom, qui était en fait malware permettant aux attaquants d'exfiltrer des fichiers des systèmes compromis. Le volume considérable des attaques soulève la question de savoir si cela est causé par une réplication rapide via des périphériques amovibles ou par un vecteur d'infection inconnu, tel qu'un point d'eau ou une attaque de chaîne d'approvisionnement ."
Microsoft et Citizen Lab suivent le fournisseur de logiciels espions.
Microsoft, en collaboration avec des chercheurs du Citizen Lab de l'Université de Toronto, a été
suivi
l'activité d'un acteur menaçant surnommé « SOURGUM », qui, selon Redmond, est un « acteur offensif du secteur privé basé en Israël ». Laboratoire Citoyen
dit
l'acteur de la menace est une société basée à Tel-Aviv appelée "Candiru" qui vend des logiciels espions aux clients du gouvernement. Microsoft note que le logiciel espion a ciblé des victimes dans le monde :
"Microsoft a identifié plus de 100 victimes du logiciel malveillant de SOURGUM, et ces victimes sont aussi diversifiées géographiquement qu'on pourrait s'y attendre lorsque l'on pense que diverses agences gouvernementales sélectionnent les cibles. Environ la moitié des victimes ont été trouvées dans l'Autorité palestinienne, la plupart des autres victimes situées en Israël, en Iran, au Liban, au Yémen, en Espagne (Catalogne), au Royaume-Uni, en Turquie, en Arménie et à Singapour. Pour être clair, l'identification des victimes du malware dans un pays ne signifie pas nécessairement qu'une agence dans ce pays est un client de SOURGUM, car le ciblage international est courant."
Microsoft ajoute que le logiciel espion est distribué par des liens envoyés via des applications de messagerie et qu'il a utilisé deux exploits Windows désormais corrigés pour obtenir une élévation des privilèges :
« SOURGUM semble utiliser une chaîne d'exploits de navigateur et Windows, y compris 0-day, pour installer des logiciels malveillants sur les boîtes des victimes. Les exploits de navigateur semblent être servis via des URL à usage unique envoyées à des cibles sur des applications de messagerie telles que WhatsApp.
"Au cours de l'enquête, Microsoft a découvert deux exploits Windows 0-day pour les vulnérabilités suivies comme CVE-2021-31979 et CVE-2021-33771, qui ont tous deux été corrigés dans les mises à jour de sécurité de juillet 2021. Ces vulnérabilités permettent une élévation des privilèges, donnant un l'attaquant la possibilité d'échapper aux bacs à sable du navigateur et d'obtenir l'exécution du code du noyau. Si les clients ont pris la mise à jour de sécurité de juillet 2021, ils sont protégés contre ces exploits. "
Mises à jour de Trickbot.
Les chercheurs de Bitdefender ont
trouvé
que Trickbot utilise désormais une nouvelle version de son module Virtual Network Computing (VNC) :
« À compter du 12 mai 2021, nos systèmes de surveillance ont commencé à récupérer une version mise à jour du module vncDll utilisé par Trickbot contre certaines cibles de premier plan. Ce module est connu sous le nom de tvncDll et est utilisé pour la surveillance et la collecte de renseignements. Il semble être encore en cours de développement, car le groupe a un calendrier de mises à jour fréquent, ajoutant régulièrement de nouvelles fonctionnalités et des corrections de bugs."
Et Cofense
décrit
une récente campagne d'hameçonnage Trickbot qui cible « les entreprises des secteurs de la vente au détail, des matériaux de construction, de la fabrication, des assurances et de la construction » :
"TrickBot cherche maintenant à réaliser un tour du chapeau sur les SEG (passerelles de messagerie sécurisées) en utilisant trois nouveaux composants dans sa chaîne d'infection. Cette campagne fournit des fichiers DOCX qui exploitent la vulnérabilité CVE-2017-0199. Il est conseillé aux employés de ne jamais activer les macros lorsque ils ouvrent des documents Office, mais ce CVE exploite un lien intégré qui appellera immédiatement une charge utile DOT, en contournant les contrôles de sécurité normaux. Ce nouveau fichier comprend un script VBS qui téléchargera l'exécutable final.
Lecture sélectionnée
TrickBot | Les macros Office, VBS et CVE mettent en évidence les débuts de TrickBot
(
Cofense
) TrickBot cherche maintenant à réaliser un tour du chapeau sur les SEG (passerelles de messagerie sécurisées) en utilisant 3 nouveaux composants dans sa chaîne d'infection. Apprendre encore plus.
Des milliers d'artistes et de clients exposés à la violation de données de la plate-forme de gestion des œuvres d'art en ligne
(
WizCase
) L'équipe de hackers éthiques de WizCase, dirigée par Ata Hakçıl, a découvert une faille majeure dans la plate-forme de vente au détail d'art en ligne Artwork Archive. Cette violation a compromis les noms, prénoms, adresses e-mail, adresses physiques et autres informations sensibles des utilisateurs. Des milliers d'artistes, de collectionneurs et leurs clients sont restés vulnérables. Pas besoin de mot de passe ni de login...
Rapport sur le phishing de marque Q2 2021 : Microsoft continue de régner
(
Logiciel de point de contrôle
) Check Point Research publie le rapport sur le phishing de marque du deuxième trimestre, mettant en évidence les principales marques que les pirates informatiques ont imitées pour tenter d'inciter les gens à abandonner
Malware le plus recherché de juin 2021 : Trickbot reste au top
(
Logiciel de point de contrôle
) Check Point Research rapporte que Trickbot, souvent utilisé dans les premières étapes des attaques de ransomware, est le malware le plus répandu pour le deuxième mois
Accrocher Candiru : un autre fournisseur de logiciels espions mercenaires se fait remarquer
(
Le laboratoire citoyen
) Candiru est une société secrète basée en Israël qui vend des logiciels espions exclusivement aux gouvernements. Grâce à l'analyse Internet, nous avons identifié plus de 750 sites Web liés à l'infrastructure de logiciels espions de Candiru. Nous avons trouvé de nombreux domaines se faisant passer pour des organisations de défense des droits telles qu'Amnesty International, le mouvement Black Lives Matter, ainsi que des sociétés de médias et d'autres entités sur le thème de la société civile.
Protéger les clients d'un acteur offensif du secteur privé à l'aide d'exploits 0-day et de logiciels malveillants DevilsTongue
(
Blog sur la sécurité Microsoft
) Le Microsoft Threat Intelligence Center (MSTIC) aux côtés du Microsoft Security Response Center (MSRC) a découvert un acteur offensif du secteur privé, ou PSOA, que nous appelons SOURGUM en possession d'exploits Windows 0-day désormais corrigés (CVE- 2021-31979 et CVE-2021-33771).
L'activité de Trickbot augmente ; nouveau module VNC sur le radar
(
Bitdefender
) Trickbot existe depuis fin 2016, lorsqu'il est apparu sous la forme d'un banquier et d'une application de vol d'identifiants. S'inspirant de Dyre (ou Dyreza), Trickbot se compose d'un écosystème de modules d'extension et de composants d'aide. Le groupe Trickbot, qui a infecté des millions d'ordinateurs dans le monde, a récemment joué un rôle actif dans la diffusion des ransomwares.
Éviter les bacs à sable avec un seul bit - le drapeau piège
(
Unité42
) L'unité 42 a découvert un seul bit spécifique (Trap Flag) dans le registre du processeur Intel qui peut être abusé par des logiciels malveillants pour échapper à la détection du bac à sable.
Remcos RAT livré via Visual Basic
(
Laboratoires Malwarebytes
) Nous examinons une campagne de distribution de logiciels malveillants via malspam impliquant le cheval de Troie d'accès à distance Remcos.