| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire

Trik Spam Botnet : Lead de 43 millions d’adresses

Plus de 43 millions d’adresses e-mail ont été divulguées par un serveur de C&C d’un botnet de spam, a déclaré un chercheur en sécurité à Bleeping Computer.
Le serveur ayant leaké est apparu pendant le suivi d’une campagne d’un analyste en threat intelligence de chez Vertek Corporation. La campagne délivre des logiciels malveillants type trojan, qui en stage 2 infectait l’utilisateur final avec GrandCrab, un ransomware.
Le chercheur de Vertek a remarqué que les malwares Trik et GrandCrab téléchargeaient des fichiers malveillants et notamment des charges utiles à partir d’un serveur situé sur une adresse IP russe. Grâce à un défaut de configuration de ce serveur, le chercheur en sécurité a pu accéder librement aux données en accédant à l’IP directement, et ainsi télécharger ce leak de données.

https://www.bleepingcomputer.com/news/security/trik-spam-botnet-leaks-43-million-email-addresses/  [EN]

PyRoMineIoT se propage via l’exploit EternalRomance et cible les devices IoT en Iran et Arabie Saoudite.

PyRoMineIoT est une nouvelle souche de mineur de crypto-monnaie découverte par Fortinet, qui utilise l’exploit d’exécution de code à distance EternalRomance lié à la NSA pour se propager. Le malware utilise aussi certaines machines infectées pour scanner les périphériques IoT vulnérables.
PyRoMineIoT est assez semblable à un autre mineur de crypto-monnaie surnommé PyRoMine qui a été repéré il y a quelques semaines. Ses infections ont augmenté rapidement depuis avril, la plupart à Singapour, en Inde, à Taïwan, en Côte d’Ivoire et en Australie.
Selon Fortinet, le mineur plus ancien a été amélioré avec quelques obfuscations, la dernière variante PyRoMine est hébergée sur la même adresse IP 212[.]83[.]190[.]122, et les deux variantes tirent parti de l’implémentation EternalRomance trouvée sur le site Web Exploit Database.
PyRoMineIoT est livré à partir d’un site Web déguisé en mises à jour de sécurité pour les navigateurs Web Chrome, Firefox et Internet Explorer.

https://www.fortinet.com/blog/threat-research/pyromineiot–nsa-exploit–monero-xmr–miner—-iot-device-scanne.html  [EN]

Le groupe APT Lazarus lié à la Corée du Nord serait derrière les récentes attaques zero-day ActiveX

D’après les chercheurs d’AlienVault, récemment, une zero-day ActiveX a été découverte sur le site web d’un Think Tank sud-coréen qui se concentre sur la sécurité nationale. Alors que les contrôles ActiveX sont désactivés sur la plupart des systèmes, ils sont toujours activés sur la plupart des machines sud-coréennes en raison des mandats du gouvernement sud-coréen.
Ces attaques ont été attribuées à Lazarus, un groupe qui serait lié à la Corée du Nord.

https://www.alienvault.com/blogs/labs-research/more-details-on-the-activex-vulnerability-recently-used-to-target-users-in-south-korea  [EN]

VMware a détecté une vulnérabilité critique d'exécution de code à distance dans les applications AirWatch Agent pour Android et Windows Mobile.

L’agent est installé par les utilisateurs sur un appareil mobile afin de permettre à AirWatch de gérer celui-ci.
La vulnérabilité, enregistrée sous le nom CVE-2018-6968, « peut permettre la création et l’exécution non autorisées de fichiers dans le sandbox de l’Agent et d’autres répertoires accessibles au public tels que ceux de la carte SD par un administrateur malveillant. »
« En raison d’une faille d’autorisation dans la fonctionnalité File Manager, en temps réel pour les appareils Android et Windows Mobile et Registry Manager pour les appareils Windows Mobile, il est possible pour un attaquant distant de connaître les périphériques inscrits dans une instance AirWatch. à partir d’un périphérique et d’exécuter à distance des commandes sur le périphérique pour modifier ou définir les valeurs de clé de Registre pour les périphériques Windows Mobile configurés pour utiliser AirWatch Cloud Messaging (AWCM). » décrit l’avis publié par VMware.

https://support.workspaceone.com/articles/360005681594 [EN]
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6968 [EN]

Les autorités américaines ont annoncé l'arrestation de 74 personnes dans le cadre d'une opération internationale dénommée «opération WireWire» visant les escroqueries BEC.

Lundi, les autorités américaines ont annoncé l’arrestation de 74 personnes dans le cadre d’une opération internationale d’application de la loi dénommée «opération WireWire» visant les escroqueries par e-mail (BEC).
Les autorités ont mené l’enquête pendant plus de six mois, 42 suspects ont été arrêtés aux États-Unis, 29 au Nigeria, le reste au Canada, à Maurice et en Pologne.
Les forces de l’ordre ont saisi environ 2,4 millions de dollars et ont pu récupérer environ 14 millions de dollars de virements frauduleux.
«L’opération WireWire – qui comprenait également le Department of Homeland Security, le Département du Trésor et le US Postal Inspection Service – a duré six mois et a abouti à plus de deux semaines d’intensification des opérations des forces de l’ordre ce qui a conduit à 74 arrestations au total, dont 42 aux États-Unis, 29 au Nigeria et trois au Canada, à Maurice et en Pologne », peut-on lire dans la note de presse publiée par le ministère de la Justice et le FBI.
« L’opération a également entraîné la saisie de près de 2,4 millions de dollars et la perturbation et le recouvrement d’environ 14 millions de dollars en virements électroniques frauduleux. »

https://securityaffairs.co/wordpress/73446/cyber-crime/operation-wirewire-bec.html  [EN]

Des pirates ont utilisé des attaques en plusieurs étapes visant les centres de service russes

Des chercheurs en sécurité de chez Fortinet ont récemment repéré une série de cyberattaques ciblant des centres de services russes offrant des services de maintenance et de soutien pour divers produits électroniques.
Les experts ont souligné que les pirates ont mené des attaques en plusieurs étapes, mais ont exclu la participation d’un acteur étatique ou gouvernemental.
Les attaquants ont utilisé des messages d’hameçonnage à l’aide de documents Office explosifs exploitant la faille vieille de 17 ans de Microsoft Office CVE-2017-11882 qui a été corrigée par les mises à jour de Microsoft en octobre.
Les premières attaques ont été observées à la fin du mois de mars lorsque des pirates ont envoyé des courriels d’hameçonnage à une société de services qui répare des appareils électroniques de Samsung.
Les messages étaient écrits en russe et contenaient un fichier nommé « Symptom_and_repair_code_list.xlsx »..

https://www.fortinet.com/blog/threat-research/non-russion-matryoshka-russian-service-centers-under-attack.html  [EN]
https://securityaffairs.co/wordpress/73440/cyber-crime/russian-service-centers-attacks.html [EN]
https://securityaffairs.co/wordpress/65588/hacking/cve-2017-11882.html  [EN]