| Newsletter CERT-OPMD

Les dernières campagnes de spam de Necurs utilisent des pièces joints IQY (Internet Query File)

Necurs est le plus grand botnet utilisé pour délivrer du spam au monde, il est composé de millions d’ordinateurs infectés dans le monde entier.
Necurs a maintenant adopté une nouvelle tactique pour éviter la détection, les pirates utilisent désormais des fichiers texte avec un format spécifique : des fichiers IQY. Ils permettent aux utilisateurs d’importer des données de sources externes dans des documents Excel et Windows les exécute automatiquement à l’intérieur d’Excel.
« La nouvelle vague d’échantillons de spam a des pièces jointes IQY. Le sujet du mail et la pièce jointe contiennent des termes qui font référence aux promotions, offres et remises, susceptibles de le masquer en tant que type d’informations ouvert dans Excel.  » rapport Trend Micro

Vous trouverez dans l’article ci-joint les mitigations possibles à mettre en place.

https://blog.trendmicro.com/trendlabs-security-intelligence/necurs-poses-a-new-challenge-using-internet-query-file/ [EN]

RANCOR : Un groupe de cyberespionnage récemment découvert, derrière des attaques en Asie du Sud-Est

Selon les experts de PaloAlto Network (Unit 42), le groupe d’APT RANCOR a ciblé des entités politiques à Singapour, au Cambodge et en Thaïlande, et probablement dans d’autres pays, en utilisant deux souches de logiciels malveillants jusqu’alors inconnues. Les deux familles de logiciels malveillants sont identifiées comme DDKONG et PLAINTEE.

Les pirates utilisent les messages d’hameçonnage à l’aide de documents militarisés contenant des informations extraites d’articles de presse sur des nouvelles et des événements politiques. Ces documents leurres sont hébergés sur des sites Web légitimes, tels que le site Web du gouvernement du Cambodge, et Facebook.

« Tout au long de 2017 et 2018, l’Unité 42 a suivi et observé une série d’attaques hautement ciblées concentrées en Asie du Sud-Est, en s’appuyant sur nos recherches sur le cheval de Troie KHRAT.  » peut-on lire sur le rapport de PaloAlto Networks.

 

https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/  [EN]

Une vulnérabilité WordPress non-corrigée pourrait permettre la prise de contrôle du site ainsi qu’une exécution de code malveillant

La vulnérabilité pourrait être exploitée pour prendre la main sur les sites Web exécutant le CMS et exécuter du code arbitraire.
Un pré-requis pour exploiter la vulnérabilité est que l’attaquant doit-être en possession de privilèges d’édition/suppression de fichiers multimédias. La vulnérabilité ne peut pas être exploitée lors d’attaques massives car elle nécessite un compte utilisateur.

« La vulnérabilité a été signalée il y a 7 mois à l’équipe de sécurité de WordPress, mais reste toujours non-corrigée. » peut-ont lire sur un blogpost publié par RIPS Technologies.
« Ainsi, la vulnérabilité peut être utilisée pour effectuer une escalade de privilèges depuis un compte avec un rôle faible (comme un auteur), ou par l’exploitation d’une autre vulnérabilité / mauvaise configuration, »

Un attaquant pourrait exploiter la vulnérabilité de suppression de fichier pour supprimer tout fichier de WordPress, ainsi que tout autre fichier sur le serveur tant que l’utilisateur du processus PHP a les autorisations nécessaires pour le supprimer.

https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/   [EN]

Une nouvelle variante du trojan bancaire Ursnif délivrée par le botnet Necurs frappe l'Italie.

Des chercheurs en malwares du CSE Cybsec ZLab ont découvert un lien entre le Necurs Botnet et une variante du cheval de Troie Ursnif qui a récemment frappé l’Italie.
A partir du 6 juin, une nouvelle version du trojan bancaire Ursnif a frappé les entreprises italiennes. Ce malware est bien connu de la communauté de la cybersécurité : Ursnif était le code malveillant le plus actif dans le secteur financier en 2016 et la tendance s’est poursuivie jusqu’à 2017.

Dans les campagnes précédentes, le trojan bancaire Ursnif ciblait les utilisateurs au Japon, en Amérique du Nord, en Europe et en Australie. Plus tard, les auteurs ont amélioré leur technique d’évasion pour cibler les utilisateurs du monde entier, en particulier au Japon.

Le logiciel malveillant est capable de voler les informations d’identification des utilisateurs, les informations d’identification pour le webmail local, le stockage dans le cloud, les plates-formes d’échange de crypto-monnaie et les sites de commerce électronique.

https://csecybsec.com/cse-news/cse-malware-zlab-a-new-variant-of-ursnif-banking-trojan-served-by-the-necurs-botnet-hits-italy/  [EN]
http://csecybsec.com/download/zlab/20180621_CSE_Ursnif-Necurs_report.pdf  [EN]

Des pirates exploitent la CVE-2018-7602 surnommée Drupalgeddon3 pour délivrer du cryptominer Monero.

La faille CVE-2018-7602 permet une exécution de code à distance très critique, également connu sous le nom de Drupalgeddon3, qui a été résolu par l’équipe Drupal en avril avec la sortie des versions 7.59, 8.4.8 et 8.5.3.

Le correctif de sécurité de la faille ne fonctionne que si le correctif de la vulnérabilité d’origine de Drupalgeddon2 (CVE-2018-7600) a été installé sur l’installation.

En mai, des experts en sécurité de Malwarebytes ont rapporté que des pirates informatiques exploitaient à la fois Drupalgeddon2 et Drupalgeddon3 pour délivrer des mineurs de cryptomonnaie, des outils d’administration à distance (RAT) et des arnaques au support technique.

https://securityaffairs.co/wordpress/73812/hacking/cve-2018-7602-drupal-attacks.html   [EN]

GZipDe : un downloader chiffré délivrant une backdoor Metasploit

Des experts en sécurité informatique de chez AlienVault ont repéré un nouveau malware appelé GZipDe qui a été utilisé dans une campagne de cyberespionnage.
GZipDe est un downloader utilisé par les threat actors pour délivrer d’autres charges utiles présentes sur un serveur contrôlé par des attaquants.

Le logiciel malveillant a été détecté après qu’un utilisateur en Afghanistan a uploadé un document Word sur le service VirusTotal, le document fait référence au Sommet de l’Organisation de Coopération de Shanghai.

Pour le moment, il n’est pas possible d’attribuer le code malveillant à un acteur spécifique, VirusTotal ne partage pas les informations sur la source du téléchargement et la cible de l’attaque n’a pas été divulguée, les chercheurs ont seulement pu analyser l’échantillon.

« Cela semble très ciblé », a déclaré Chris Doman, un chercheur en sécurité chez AlienVault, à Bleeping Computer. « Étant donné que le document de leurre est en anglais et téléchargé de l’Afghanistan, il peut avoir ciblé quelqu’un dans une ambassade ou un organisme similaire là-bas. »

https://www.alienvault.com/blogs/labs-research/gzipde-an-encrypted-downloader-serving-metasploit  [EN]