| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Skygofree : Analyse d’un malware Android sophistiqué

Skygofree, c’est le nom d’un nouveau cheval de Troie dédié aux smartphones et tablettes Android, qui a été découvert par l’équipe de recherche de Kaspersky. La particularité de ce malware est sa capacité à s’adapter par rapport à son environnement. Il est par exemple, capable d’activer l’enregistrement audio en fonction de la localisation du smartphone. Il exploite des vulnérabilités sur l’équipement afin d’élever ses privilèges. Le malware est aussi capable de contourner la mise en veille automatique du système afin de communiquer avec son C&C, et ce malgré que le Wi-Fi soit désactivé. En plus de l’interception classique des sms et appels comme le ferait n’importe quel malware, Skygofree abuse de la fonctionnalité “Accessibility Service” afin d’espionner les messages WhatsApp. Le malware est aussi capable de fournir un reverse shell à l’attaquant vers l’ip 54.67.109.199:30010. Ce module de reverse shell présente des similitudes avec PRISM disponible sur github.
Le malware déguisé en application servant à accélérer le débit de votre connexion est distribué via des faux sites d’opérateurs mobile. D’après les experts de Kaspersky, le malware est actif depuis 2014 et son(ses) développeur(s) aurait(aient) amélioré son code années après années. A l’heure actuelle, les seules infections détectées par Kaspersky sont localisées en Italie.

 

https://securelist.com/skygofree-following-in-the-footsteps-of-hackingteam/83603/ [EN]

https://www.kaspersky.fr/blog/skygofree-smart-trojan/9929/ [FR]

Zyklon : Le retour en force

Des chercheurs de FireEye ont découvert une nouvelle campagne du “vieux” malware Zyklon.
Zyklon est un RAT dont le code source est disponible sur Github. Il est capable de mener des attaques DDoS, de télécharger et installer des malwares additionnels sur le système, de faire du keylogging et de récupérer des mots de passes stockés dans le système (navigateur, client mail, ftp…).
Cette nouvelle campagne se propage par mail avec une pièce jointe au format zip contenant un fichier office. Ce dernier contient au moins 3 exploits de vulnérabilité impactant Microsoft Office : CVE-2017-8759, CVE-2017-11882 et Dynamic Data Exchange (DDE). L’exploitation d’une de ces 3 vulnérabilités permet de télécharger un script powershell Pause.ps1 qui sert à faire de l’injection de code pour lancer le téléchargement de la charge finale : un exécutable de type .NET. Cette souche .NET, une fois exécutée, va procéder à l’unpack du code de Zyklon.

 

https://www.fireeye.com/blog/threat-research/2018/01/microsoft-office-vulnerabilities-used-to-distribute-zyklon-malware.html [EN]

https://thehackernews.com/2018/01/microsoft-office-malware.html [EN]

Dark Caracal : Une campagne d’attaques avancées sur les équipements mobiles

Une campagne d’espionnage d’envergure mondiale ciblant les téléphones mobiles Android a été découverte grâce à un des ses serveurs de “Command and Control (C&C)” exposés accidentellement sur Internet. Cette APT nommée Dark Caracal aurait dérobé des centaines de giga de données personnelles, provenant de plus de 21 pays, depuis 2012. L’exposition de ce serveur C&C a permis de localiser des auteurs de cette campagne a Beyrouth au Liban. Ils auraient des liens avec le LGDGS (Lebanese General Directorate of General Security) qui est une agence de renseignements Libanais.
Cette attaque cible entre autre les gouvernements, les militaires, les institutions financières et les industries. Le malware véhiculé via des messages de phishing sur WhatsApp et Facebook, est multiplateforme. Il est capable de se propager sur un ordinateur lorsque ce dernier est connecté à un smartphone infecté afin d’y installer une backdoor.
Ce malware, aussi fascinant soit-il, fonctionne sans exploiter la moindre vulnérabilité, preuve qu’on peut mettre en place des attaques avancées sans dépenser une fortune pour des exploits zero day.

 

https://thehackernews.com/2018/01/dark-caracal-android-malware.html [EN]

https://blog.lookout.com/dark-caracal-mobile-apt [EN]

OnePlus : plus de 40.000 cartes bancaires subtilisées

OnePlus le célèbre fabricant de la gamme de téléphone OnePlus, dérivée d’Android, a été victime d’une attaque informatique ayant entraînée la fuite de plus de 40.000 cartes de crédits. Les informations des cartes en question n’étaient pas stockées sur les serveurs de OnePlus, elles étaient directement acheminées vers le prestataire PCI-DSS afin de gérer les transactions bancaires. Cependant les attaquants ont eu l’idée ingenieuse d’insérer un script sur la page de paiement de OnePlus, permettant ainsi de récupérer les informations des cartes bancaires (numéros CB, cryptogramme et date d’expiration) avant qu’elles ne soient envoyées vers le prestataire PCI-DSS.
L’attaque aurait eu lieu entre mi-novembre 2017 et le 11 Janvier 2018.
Des investigations sont commanditées actuellement par la compagnie OnePlus afin de mieux comprendre cette attaque. L’entreprise conseille par ailleurs aux clients victimes de cette attaque de se rapprocher de leur banque afin de se faire rembourser en cas de fraude constatée sur leur compte.

Leakedsource : arrestation de l’auteur du site pour revente illégale de données

Les autorités canadiennes ont arrêté Jordan Evan Bloom, l’auteur du site leakedsource.com, accusé d’avoir vendu des milliards de mots de passe. Le Royal Canadian Mounted Police (RCMP) avait ouvert une enquête en 2016 lorsqu’ils ont su que les serveurs du site leakedsource.com étaient hébergés au Québec. Ces derniers ont été saisis en Janvier 2017 et contenaient des milliards d’identifiants et de mots de passe amassés à travers des leaks publics mais aussi des leaks dont le processus d’acquisition reste obscure. Le site proposait aux utilisateurs de découvrir le mot de passe lié à un compte mail disponible dans leur base en contrepartie d’un abonnement. Le RCMP accuse ainsi Jordan d’avoir gagné approximativement $247.000 en vendant ces informations. Il est apparu devant la cour du tribunal de Toronto lors de son jugement du 15 Janvier. Le prochain aura lieu le 16 Février. Il encourt une peine de 10 ans de prison.

Groupe 123 : Revue des campagnes menées en 2017

Dans ce blog assez complet, les chercheurs de Talos nous présente une revue de l’activité malveillante du groupe 123 ayant ciblé plus particulièrement la Corée du Sud. On y retrouve quelques détails sur des attaques telles que “FreeMilk” et “Are you Happy?”. Durant ces attaques, le groupe 123 procède souvent par l’envoie de mail de phishing avec des documents exploitants des vulnérabilités telles que la CVE-2017-0199. Les malwares installés sont assez variés en fonction des campagnes, mais présentent beaucoup de similitudes avec le malware ROKRAT qui permet à l’attaquant de prendre le contrôle à distance de la machine infectée. La majorité des attaques effectuées en 2017 ont ciblé la Corée du Sud. D’après les différentes analyses menées par Talos, le groupe 123 serait d’origine Nord Coréenne.

 

http://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html [EN]

https://securityaffairs.co/wordpress/67895/hacking/north-korea-group-123.html [EN]

BIND : Correction d’une faille provoquant un déni de service

L’Internet Systems Consortium (ISC) a fourni cette semaine un correctif concernant une faille majeure impactant les serveurs BIND permettant de gérer les résolutions DNS. Cette faille découverte par Jayachandran Palanisamy de Cygate AB, est de type use after-free. Elle est due à un mauvais nettoyage de l’environnement d’exécution dans le contexte des requêtes récursives. La faille ne concerne que les systèmes jouant le rôle de validateurs de résolutions DNSSEC, cependant un patch a été fourni pour l’ensemble des versions de BIND. A défaut d’appliquer la mise à jour afin de se protéger contre cette vulnérabilité, l’ISC recommande de désactiver DNSSEC si vous utilisez une version vulnérable.