Copy
View this email in your browser
NEWSLETTER HEBDOMADAIRE
26 janvier 2023

Actualités de la semaine
 

Menaces sectorielles
  • Des acteurs malveillants perturbent l'événement eSport des 24 heures du Mans

  • Une nouvelle campagne ciblerait le Moyen-Orient et l'Afrique du Nord à l'aide de leurres géopolitiques

  • Un nouveau rapport de Group-IB indique que la vente d’accès initiaux aurait doublée en un an

Individus et groupes 
  • Le MOA Gamaredon utiliserait Telegram pour cibler des organisations ukrainiennes

LinkedIn
Twitter
YouTube
Website
Si vous ne l'êtes pas encore, abonnez-vous à notre newsletter
eSport

Des acteurs malveillants perturbent l'événement eSport des 24 heures du Mans

Le 15 janvier, un incident de sécurité aurait perturbé l’événement « 24 Hours of Le Mans Virtual », au sein duquel concourent des pilotes de FIA et des professionnels de l’eSport pour gagner un prix de 250 000$. Des problèmes de serveurs auraient déconnecté Max Verstappen, double champion de Formule 1, et l’équipe RedlineSim. A la suite de cela, Verstappen, qui était premier de la course avant la déconnexion, aurait quitté la compétition et fustigé les organisateurs. D’autres compétiteurs ont annoncé avoir subi des problèmes similaires, les organisateurs de « Le Mans Virtual » confirmant avoir subi une « brèche de sécurité suspectée » affectant deux serveurs utilisés pour la compétition.

Les événements eSport sont de plus en plus populaires et des sommes importantes sont dépensées et générées en partenariats, création et organisation des compétitions, paris sportifs et publicités. Bien qu'il ne soit pas clair si l'incident évoqué est dû à une cyberattaque, la popularité de cette discipline peut attirer des acteurs malveillants cherchant à lancer des attaques DDoS contre les serveurs de jeu dans le but de demander une rançon contre l’arrêt des attaques, ou simplement causer un impact réputationnel. Ces compétitions étant diffusées en temps réel, un problème de serveur peu affecter le bon déroulement de la compétition et altérer le résultat final, provoquant l'ire de certains participants refusant de prendre part à la suite des événements, à la manière de Max Verstappen.

L'oeil d'Intrinsec

L’industrie du eSport est en plein essor. Représentant plus d’1 milliard de dollars en 2021, les revenus se divisent en sponsors, droits des médias et publicités, frais d’éditeurs, marchandises et billets, numérique et streaming. Les gains donnés aux vainqueurs de compétitions sont également de plus en plus importants, la Coupe du monde du jeu vidéo Fortnite ayant rapporté plus que Roland Garros. La popularité grandissante du eSport en termes d’audience et de spectateurs, pourrait conduire à une augmentation des cyberattaques affectant ce type d’événements.

Dans ce contexte, les menaces affectant le secteur de l’eSport sont multiples et ne se limitent pas aux attaques DDoS. Ainsi nous pouvons retrouver : la compromission de comptes de joueurs via la fuite d’identifiants sur des forums et marchés cybercriminels ; l’installation de fausses applications pouvant diffuser des malware ou récolter des informations ; les attaques par supply-chain compromettant des plateformes de distribution de jeux ou des applications d’achats en jeu (in-game purchases); le phishing ciblé ; les CVEs pouvant affecter des technologies utilisées par les serveurs hébergeant des jeux ou des tournois ; la fuite de données techniques (jeux, anti-cheat,...) comme récemment avec Rockstar Games ou Riot Games. Dans ce contexte, des modes opératoires avancés peuvent également cibler cette industrie pour des motivations financières, à l’instar d’APT41 qui a notamment ciblé le secteur des jeux vidéo afin de revendre des monnaies et objets virtuels, révélé par cet acte d'accusation datant de 2019.
 
Face à ces menaces, les individus et organisations faisant partie de l’industrie du eSport doivent mettre en place des mécanismes de cybersécurité, de la même manière que les autres secteurs économiques.

Plus d'informations ici
 

Relations internationales

Une nouvelle campagne ciblerait le Moyen-Orient et l'Afrique du Nord à l'aide de leurres géopolitiques

Trend Micro rapporte qu’un groupe cybercriminel serait à l'origine d'une campagne visant à distribuer le cheval de Troie NjRAT (ou Bladabindi) au Moyen-Orient et en Afrique du Nord depuis le milieu de l’année 2022. Afin d'arriver à leurs fins, ces cybercriminels auraient recours à des leurres liés à des questions de politiques locales et des services de clouds publics tels que « files.fm » et « failiem.lv » afin d’y héberger leurs codes malveillants.

La charge malveillante initiale prend la forme d’un fichier Microsoft Cabinet (CAB) déguisé en enregistrement audio et dont le nom est lié à une question géopolitique sensible. Ce fichier exécute un script VBS obfusqué afin de récupérer une charge utile secondaire servant à télécharger, in fine, NjRat via un script PowerShell. Le domaine utilisé pour distribuer ledit script PowerShell semble être lié à l'armée libyenne et aurait été compromis depuis 2021.

L’œil d'Intrinsec

Les appâts, ou leurres, sont des moyens très efficaces pour inciter les lecteurs à ouvrir un fichier infecté, en jouant sur les ressorts psychologies des cibles. De manière générale, ces derniers ne se limitent pas uniquement aux thèmes géopolitiques et se déclinent en fonction des sujets susceptible d’intéresser la cible. Lors de phases aigües de la crise du Covid-19, de nombreuses campagnes de phishing exploitant le thème de la pandémie ont ainsi émergées en France et de par le monde. De manière générale, les thèmes utilisés sont extrêmement variés et peuvent porter sur des achats non sollicités, des invitations professionnelles, des virements ayant échoué, l’acheminement de colis, des messages des autorités …

Dans ce contexte, les fichiers téléchargés récupérés auprès d’une source dont la fiabilité demeure incertaine devraient uniquement être téléchargés et ouverts sur une machine virtuelle ne communiquant pas avec d’autres machines du réseau. Il est également possible d’utiliser des solutions antivirus voire des plateformes tels que VirusTotal pour vérifier l’innocuité du fichier en question. Il est cependant important de rappeler que l'ensemble des fichiers fournis à VirusTotal pour analyse sont ensuite stockés dans leurs bases de données, ce qui implique d'user avec précaution de ce service lorsque l'objet de l'évaluation est confidentiel. 

Plus d'informations ici.

Cybercrime

Un nouveau rapport de Group-IB indique que la vente d’accès initiaux aurait doublée en un an
 
Group-IB, société russe de cybersécurité, a récemment publié un rapport analysant les tendances de vente d’accès initiaux au sein des forums malveillants. Les chercheurs en cybersécurité de la société auraient observé une augmentation drastique de cas de vente d’accès au cours du second semestre 2021 et premier semestre 2022 par rapport à l’année précédente. Selon eux les courtiers en accès initiaux ou initial access brokers (IAB), dont le nombre serait passé de 262 à 380 sur la période, auraient doublé leurs ventes pour totaliser 2 348 annonces repérées. Cette importante hausse du nombre d’offres aurait eu pour conséquence d’amoindrir de moitié la valeur de ces accès, dont le prix moyen se situerait aujourd’hui autour des 2 800 dollars américains. Environ 37% de ces ventes auraient concerné des accès VPN, pour 36% de RDP.
 
Non contents de proposer un nombre croissants d’accès initiaux, les IAB auraient également de plus en plus recours à des stealer afin d’obtenir des informations d’identifications, ou logs, pour les vendre au sein de diverses marketplace spécialisés. Ces logs peuvent notamment permettre d’obtenir un accès au réseau interne d’une entreprise, comme l’a démontré le groupe Lapsus$ lors de la compromission d’Uber.
 
Cette étude révèle également que le nombre de pays concernés par ces ventes d’accès aurait augmenté de 41% sur la même période, affectant 96 entités étatiques distinctes à la fin du premier semestre de 2022. Les États-Unis figurent en tête de liste, principale cible des revendeurs d’accès ; le pays est par ailleurs le premier concerné par la menace ransomware, dont le volume croissant semble corrélé à l’augmentation du nombre de ventes d’accès. Cette corrélation se retrouve jusque dans la liste des secteurs ciblés par ces ventes, les industries, institutions financières, l’immobilier et les organismes éducatifs représentant à eux seuls près de 20% des ventes d’accès répertoriées par Group-IB.
 
Œil d’Intrinsec
 
Si la méthode utilisée par Group-IB est efficace afin de déduire l’orientation du marché des cybermenaces, il est bon de rappeler que toute tentative d’analyse de tendances comporte un biais intrinsèque lié à l’échantillon étudié. Les chiffres cités en valeur absolue ne concernent que les cas de ventes détectés par la société, et non l’ensemble des ventes réalisées sur la période ; d’autant plus que bon nombre de ventes d’accès se réalisent de manière privée et sont impossibles à chiffrer.
 
Le récent rapport de l’ANSSI intitulé « Panorama de la cybermenace 2022 » confirme cependant les tendances observées par Group-IB, précisant que ces accès initiaux sont désormais réalisés de manière plus furtive par les attaquants via le choix des équipements ciblés : « la compromission d’équipements périphériques, tels que des pare-feux ou des routeurs, offre [...] de multiples avantages. Ces équipements connectés en permanence, généralement peu supervisés par les outils grand public et professionnels, fournissent aux attaquants un accès discret et persistant aux réseaux de leurs victimes. »
 
Si certaines évolutions impliquent une révision des processus de sécurité des entreprises afin de correspondre aux nouveaux critères de menace, à l’image de l’utilisation des logs ou le ciblage d’équipements peu supervisés, la nature de la menace informatique a néanmoins peu évolué au cours de l’année 2022. Son volume suit cependant une croissance stable à mesure que la cybercriminalité se démocratise au travers de sa simplification d’accès, semblant suggérer une possible augmentation des cas de compromission par ransomware au cours de l’année 2023.
 
Plus d'informations ici.

Gamaredon

Le MOA Gamaredon utiliserait Telegram pour cibler des organisations ukrainiennes

Dans un rapport publié le 19 janvier 2023, des chercheurs de BlackBerry ont observé l’utilisation de l’application russe Telegram par le mode opératoire associé en sources ouvertes à la Russie, Gamaredon, dans le cadre d’une campagne ciblant des organisations ukrainiennes.

Identifiée par les équipes de Research & Intelligence de BlackBerry en novembre 2022, cette technique repose sur la compromission initiale des victimes via un document Word malveillant exploitant une vulnérabilité permettant l’injection de code malveillant via la fonction de téléchargement à distance de template du traitement de texte (CVE-2017-0199).

La charge utile ainsi téléchargée est un script VBS, déposant un fichier VBS supplémentaire. Ce dernier cherche alors à se connecter à un compte Telegram hardcodé afin de récupérer ses instructions. Chaque compte Telegram identifié par BlackBerry déploierait périodiquement de nouvelles adresses IP de serveurs C2. Une fois la connexion établie, ces serveurs renvoient des scripts PowerShell encodés en Base64 à la cible. Ces derniers scripts sont alors utilisés pour se connecter à des comptes Telegram afin de récupérer l’adresse du serveur contenant la charge finale et in fine de télécharger celle-ci.

L’œil d’Intrinsec

Actif depuis au moins 2013, Gamaredon est surtout connu pour ses capacités à mener des campagnes d’espionnage. Le mode opératoire s’illustre par une capacité d’innovation en matière de TTPs. L’utilisation de l’infrastructure du service de messagerie Telegram lui permettrait en effet de contourner les outils traditionnels de détection et de faire évoluer son infrastructure d’attaque. La victimologie de Gamaredon reste étroitement alignée sur les intérêts stratégiques de Moscou. Selon les chercheurs du Microsoft Threat Intelligence Center (MSTIC), les opérateurs derrière Gamaredon seraient actifs depuis la Crimée. En novembre 2021, des opérateurs du FSB ont été associés à ce mode opératoire par le SBU ukrainien.

La capacité d’innovation de Gamaredon et sa volonté probable de contourner certaines défenses avaient déjà été observées en août 2022 par l’équipe CTI d’Intrinsec dans le cadre d’une campagne de ce mode opératoire utilisant un builder d’archives SFX open source ainsi qu’un outil légitime d’accès à distance.

Plus d'informations ici
 

Cette newsletter est émise par notre cellule de Threat Intelligence : le service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web).
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.
     
LinkedIn
Twitter
YouTube
Website
     
Pour plus d'information, contactez-nous !
Want to change how you receive these emails?
You can update your preferences or unsubscribe from this list.

Copyright 2023 Intrinsec - Toute reproduction interdite