| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire

HeroRAT - Un RAT Android basé sur Telegram se propage dans la nature

Les chercheurs d’ESET ont découvert une nouvelle famille de RAT Android (Remote Administration Tools), qui utilise le protocole Telegram pour le commandement, le contrôle, et l’exfiltration des données liés à l’activité de ce malware.

En enquêtant sur ce qui semblait d’abord une activité accrue de la part de l’IRRAT et de TeleRAT, ils ont identifié une toute nouvelle famille de logiciels malveillants qui s’est répandue depuis au moins août 2017. En mars 2018, son code source était disponible gratuitement sur des canaux liés à des piratages sur Telegram, et par conséquent, des centaines de variantes parallèles du malware ont circulé dans la nature.

https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/  [EN]

ZeroFont Phishing - Bypass de protections O365 en manipulant la taille des polices

Selon la société de sécurité cloud Avanan, l’un des mécanismes de détection dans Office 365 implique le traitement du langage naturel pour identifier le contenu des messages généralement utilisés dans les courriers électroniques malveillants.
Par exemple, un e-mail contenant les mots “Apple” ou “Microsoft” qui ne sont pas envoyés à partir de domaines légitimes ou des messages faisant référence à des comptes d’utilisateurs, des réinitialisations de mot de passe ou des demandes financières sont signalés comme malveillants.
Les experts d’Avanan ont découvert des campagnes d’hameçonnage utilisant des courriels dans lesquels une partie du contenu était affichée avec une police de taille nulle en utilisant une balise <span style = “FONT-SIZE: 0px”>. C’est pour cette raison, ils ont appelé la technique ZeroFont. Cela a pour objectif de leurrer le système de traitement du langage de Microsoft, et donc de bypass les protections mises en place par O365.

https://www.avanan.com/resources/zerofont-phishing-attack [EN]

. C’est pour cette raison, ils ont appelé la technique ZeroFont.
Cela a pour objectif de leurrer le système de traitement du langage de Microsoft, et donc de bypass les protections mises en place par O365.

Un hacker vole 31 millions de $ à une place sud-coréenne d’échange de cryptomonnaies : Bithumb

Pour la deuxième fois en un an, la place d’échange de cryptomonnaie Bithumb a été piratée.
La bourse de crypto-monnaie sud-coréenne a confirmé que les pirates ont volé 35 milliards de wons (31,6 millions de dollars) de cryptomonnaie entre le 19 juin et le 20 juin.
En réponse à l’incident, la place d’échange a déplacé tous les fonds vers des portefeuilles froids et a temporairement suspendu les dépôts et bloqué les retraits des utilisateurs..

https://www.alienvault.com/blogs/labs-research/more-details-on-the-activex-vulnerability-recently-used-to-target-users-in-south-korea  [EN]

Symantec traque un nouveau groupe APT nommé Thrip qui ciblait les opérateurs de satellites, les sociétés de télécommunications et les entreprises de défense aux États-Unis et en Asie du Sud-Est.

Les groupes chinois d’APT sont toujours actifs : les experts de Symantec ont suivi un nouveau groupe APT nommé Thrip qui a pénétré les systèmes des opérateurs de satellites, des compagnies de télécommunications et des entreprises du secteur de la défense aux États-Unis et en Asie du Sud-Est.
Le groupe Thrip est actif depuis 2013, mais c’est la première fois que Symantec partage publiquement les détails de ses activités.
“Nous surveillons Thrip depuis 2013 lorsque nous avons découvert une campagne d’espionnage orchestrée à partir de systèmes basés en Chine. Depuis notre découverte initiale, le groupe a changé de tactique et élargi la gamme d’outils qu’il utilisait. Initialement, il s’appuyait fortement sur les logiciels malveillants personnalisés, mais dans la vague d’attaques la plus récente, qui a débuté en 2017, le groupe est passé à un mélange de logiciels malveillants personnalisés et d’outils de survie. ”
Nous vous invitons à lire l’article de Symantec, ainsi que celui de Fortinet, publié dans le cadre de CTA, la Cyber Threat Alliance..

https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets [EN]
https://www.fortinet.com/blog/threat-research/thrip-atp-attack-update.html [EN]

Chronicle, société de cybersécurité appartenant à Alphabet, a annoncé le lancement d'un nouveau service VirusTotal qui promet de réduire les faux positifs.

Le service VirusTotal Monitor permet aux développeurs de télécharger leurs fichiers d’application dans un cloud privé où ils sont analysés chaque jour à l’aide de solutions anti-programmes malveillants provenant des fournisseurs d’antivirus de VirusTotal.
Chaque fois que le service marque le fichier comme malveillant, VirusTotal le notifie au fournisseur d’antivirus et au développeur.

Bien sûr, les fichiers analysés par le service VirusTotal Monitor resteront privés et ne seront pas partagés par l’entreprise avec des tiers.
Le service implémente une interface de type Google-drive pour permettre aux développeurs de télécharger leurs fichiers et un tableau de bord pour afficher les résultats de l’analyse. Les développeurs et les sociétés d’antivirus peuvent accéder au tableau de bord.
Le service fournit également des API pour intégrer Monitor avec les outils internes aux développeurs et aux éditeurs d’antivirus.

http://blog.virustotal.com/2018/06/vtmonitor-to-mitigate-false-positives.html  [EN]

Le célèbre service de suivi des vols Flightradar24 a découvert une data breach affectant l'un de ses serveurs

La société a notifié l’incident à ses utilisateurs par e-mail et leur a demandé de changer leurs mots de passe, les mots de passe des utilisateurs concernés ont été réinitialisés.
FlightRadar24 a rapidement signalé l’incident à l’autorité suédoise chargée de la protection des données afin de se conformer au règlement général de l’UE sur la protection des données (GDPR).

Selon Flightradar24, les pirates ont peut-être accédé à des adresses électroniques et à des mots de passe associés aux comptes enregistrés avant le 16 mars 2016.
À l’heure actuelle, il n’y a aucune information sur l’algorithme de hachage qui a été utilisé pour protéger les mots de passe.

Initialement, de nombreux utilisateurs ayant reçu le message croyaient que la notification de violation de données était le résultat d’une campagne d’hameçonnage parce qu’il n’y avait pas de nouvelles officielles de Flightradar24, mais plus tard la société a admis l’incident et confirmé que les e-mails étaient légitimes.

https://securityaffairs.co/wordpress/73740/data-breach/flightradar24-data-breach.html [EN]