| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Cybercriminalité : le cerveau présumé du réseau Carbanak arrêté en Espagne

Le leader du groupe cybercriminel, auteur des malwares Carbanak et Cobalt qui ont causé près d’un milliard d’euros de perte à plus de 100 institutions financières, a été arrêté la semaine dernière à Alicante en Espagne. L’opération a été menée conjointement par la police nationale espagnole, Europol, le FBI et plusieurs autres agences privées et gouvernementales.
Le réseau de cybercriminels actif depuis 2013, ciblait particulièrement les systèmes de e-paiement et les institutions financières en leur distribuant les malwares Carbanak et Cobalt. Plus de 40 pays différents ont été touchés par ces attaques.
Ces malwares sont, pour la plupart, délivrés aux victimes via des mails de phishing ciblés. Une fois la charge activée par la victime, le malware se déploie dans le réseau jusqu’à atteindre les serveurs qui contrôlent les ATMs. Pour récupérer l’argent des ATMs, les cybercriminels utilisaient 3 méthodes :

  • Transferts via des systèmes de e-paiement
  • Récupération de l’argent liquide depuis les ATMs
  • Transferts vers des comptes de mules.

Cette arrestation confirme qu’une coopération entre les forces de l’ordre, les victimes et les spécialiste de la sécurité, peut permettre de remonter les réseaux de cybercriminels, même les mieux organisés.

https://www.europol.europa.eu/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain [En]
https://threatpost.com/alleged-mastermind-behind-carbanak-crime-gang-arrested/130831/ [EN]
http://www.lemonde.fr/pixels/article/2018/03/27/cybercasses-d-un-milliard-d-euros-dans-des-banques-le-cerveau-presume-arrete-en-espagne_5277215_4408996.html [FR]

Microsoft Meltdown : le correctif ajoute une vulnérabilité plus critique

Si vous disposez d’un système windows 7 x64 SP1 ou windows 2008R2 SP1, avec les correctifs de sécurité Meltdown de janvier ou février 2018, alors il est fortement recommandé d’appliquer le correctif de mars 2018. En effet, en voulant corriger la faille Meltdown qui permet à un processus non privilégié de lire l’espace mémoire du kernel, Microsoft a introduit une vulnérabilité aussi critique que Meltdown mais plus simple d’exploitation.
Le bit de permission dans PML4 a été fixé à la valeur User, permettant ainsi l’accès aux pages mémoire du kernel depuis un processus utilisateur.
L’exploitation réussie de cette vulnérabilité permet à un attaquant d’élever ses privilèges et donc de pouvoir exécuter du code sans restriction sur la machine. Elle est identifiée par la CVE-2018-1038 et a été rapidement corrigée par Microsoft.

http://blog.frizk.net/2018/03/total-meltdown.html [En]
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1038 [EN]

Exploit kits : revu des menaces 2018

Les exploits-kit sont des kits d’exploitation de vulnérabilités installés sur des sites web compromis et prêts à lancer automatiquement des tentatives d’exploitation sur les machines qui visitent ces sites web. Ces exploit-kits utilisent pour la plupart des exploits contre des produits comme Adobe Flash, Internet Explorer et anciennement les Java Applet.

Dans ce blog du lab Malwarebytes, on y apprend la disparition des exploits-kit tels que Sundown et Terror, mais aussi la sortie de nouveau exploits-kit tel que GreenFlash Sundown. On apprend également aussi la réapparition de l’exploit kit GrandSoft, qui malgré son réseau moins sophistiqué que les autres arrive à maintenir son activité malveillante. Il a notamment été utilisé dans la distribution du ransomware GrandCrab, du stealer AZORult et du RAT QuantLoader. RIG reste quant à lui l’exploit-kit le plus populaire. Il délivre des malwares de type bancaire, mineurs de crypto monnaies ou encore des ransomwares.

Il faut noter aussi que les exploits-kit ciblent désormais plus particulièrement les sud-coréens. GrendFlash Sundown en est un exemple parfait, qui a fait usage de la vulnérabilité 0-Day CVE-2018-4878 sur Adobe-Flash afin de cibler la Corée du Sud.

 

https://blog.malwarebytes.com/threat-analysis/2018/03/exploit-kits-winter-2018-review/ [EN]
https://malware.dontneedcoffee.com/2018/03/CVE-2018-4878.html [EN]

Drupal core : une vulnérabilité critique expose des millions de sites web

Drupalgeddon2, c’est le nom donné à la nouvelle vulnérabilité critique impactant le core du CMS Drupal. La vulnérabilité identifiée par la CVE-2018-7600 permet à un attaquant distant via plusieurs vecteurs d’attaque de compromettre complètement le site web. Les versions 6, 7.x, 8.3.x, 8.4.x, 8.5.x de drupal sont impactées. Les versions 7.58, 8.3.9, 8.4.6 et 8.5.1 corrigent cette vulnérabilité. Pour la version 6 qui n’est plus supportée, Drupal recommande de contacter le support.
Aucune information détaillant la vulnérabilité n’est à l’heure actuelle publique.

https://www.drupal.org/sa-core-2018-002 [EN]
https://nvd.nist.gov/vuln/detail/CVE-2018-7600 [EN]

Malware : analyse de QuantLoader

QuantLoader est un malware de type RAT découvert sur les forums de hacking du dark web. Il se propage via des campagnes de phishing contenant des liens ou fichiers malveillants. L’une des dernières campagne du malware utilisait des fichiers javascripts qui sont téléchargés via le protocole file:// (smb). La particularité de QuantLoader est qu’il sert uniquement d’infrastructure aux acteurs malveillants, qui s’en servent afin de distribuer d’autres malwares.

Dans cet article, les chercheurs de MalwareBytes nous présentent une analyse des campagnes d’infection ainsi que le fonctionnement interne du malware avec un focus sur les fonctions de communication réseau.

https://blog.malwarebytes.com/threat-analysis/2018/03/an-in-depth-malware-analysis-of-quantloader/ [EN]

Vulnérabilité switch Cisco : exécution de code à distance via Cisco Smart Install

Une vulnérabilité de type dépassement de tampon dans le tas a été découverte sur plusieurs gammes de switches Cisco. La vulnérabilité impacte le client Smart Install. Ce dernier permet une auto configuration des switchs à partir d’un switch master appelé Director. Un attaquant distant peut exploiter cette vulnérabilité en envoyant un paquet spécialement conçu sur le port 4786/TCP du switch afin de pouvoir exécuter du code arbitraire. La vulnérabilité réside dans la manière dont le client Smart Install gère les messages ibd_init_discovery_msg.
Cisco a procédé à la correction de la faille. Il est donc fortement conseillé de mettre à jour ses switches sachant qu’un code d’exploitation publique est disponible et que la fonctionnalité de Smart Install est activée par défaut.

https://embedi.com/blog/cisco-smart-install-remote-code-execution/ [EN]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2 [EN]

Malware : analyse de Formbook

FormBook est un malware de type SaaS, qui permet de voler des informations à partir des formulaires web ainsi que d’en collecter à partir de la machine infectée (infostealer). Il est apparu au début 2016 sur des forums de hacking et est disponible en mode software as a service pour $29/semaine ou $59/mois.
Dans cet article, des chercheurs de Stormshield nous présentent une nouvelle analyse du malware. Ils se sont concentrés sur les méthodes d’obfuscation, les techniques d’anti-debugging et d’anti-sandboxing, ainsi que la technique d’injection utilisée par le malware.

 

https://thisissecurity.stormshield.com/2018/03/29/in-depth-formbook-malware-analysis-obfuscation-and-process-injection/ [EN]