Résumé de la semaine #47 (18 au 24 novembre)

Résumé de la semaine #47 (18 au 24 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par VMware pour vSphere Data Protection [1] et par Adobe pour Adobe Flash Player [2a][2b]. Ces correctifs adressent des vulnérabilités permettant d’aller jusqu’à la prise de contrôle du système.

 

Code d’exploitation

Aucun code d’exploitation n’a été publié cette semaine.

 

Informations

Phishing

Plusieurs campagnes de phishing ont été détectées durant la semaine écoulée.

Une de ces campagnes a visé les banques russes [3]. Les attaquants se sont fait passer pour la Banque Centrale de Russie afin d’installer une porte dérobée sur le système. Le style et la forme de ces emails laissent à penser que ceux-ci auraient pu accéder à certains emails légitimes de cette dernière.

Des chercheurs travaillant pour FireEye et CrowdStrike ont détecté une campagne de phishing, visant des organisations et des entreprises américaines, et qui serait menée par le groupe APT29 [4]. Les emails ont été envoyés depuis un serveur compromis appartenant à un hôpital.

Une campagne de phishing visant une société pétrolière a permis aux attaquants de dérober 900 000 euros [5]. Les attaquants ont usurpé l’identité d’un sous-traitant afin de demander un virement vers un compte qui leur appartenait. L’entreprise a découvert l’email de phishing à postériori et a déposé plainte.

Enfin, une vulnérabilité a été constatée au sein de la boite de messagerie Gmail [6]. En l’exploitant, un attaquant était en mesure de déplacer des messages dans la boite d’envoi de la victime. Cette vulnérabilité pourrait permettre de faciliter des attaques de phishing.

Malware

La division Unit 42 de Palo Alto a détecté une vague d’attaques, semblant provenir du groupe APT28 (aussi connu sous le nom de FancyBear). Ceux-ci utiliseraient un nouveau malware, baptisé Cannon, dans cette campagne [7a][7b][7c]. Ce nouveau malware inclut la persistance sur le système, la création d’un identifiant système unique, la collecte d’informations système, la capture d’instantanés et la connexion au compte de messagerie POP3 afin d’accéder aux pièces jointes. La campagne vise principalement l’Amérique du Nord et les pays de l’ancien bloc soviétique.

Fuite d’informations

Une association caritative basée au New Jersey a été victime d’une fuite de données [8]. Celle-ci concerne les données de santé de plus de 20 000 clients et donneurs de l’association KARS4KIDS, mais aussi des emails et des identifiants. La base a été sécurisée.

Instagram a annoncé que certains de ses utilisateurs avaient été victimes d’une fuite de données [9]. Un outil interne de l’entreprise, relatif à la conformité RGDP, révélait le mot de passe de l’utilisateur dans l’URL lorsqu’il était utilisé.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2018-4774
[2] CXA-2018-4752
[3] CXN-2018-4704
[4] CXN-2018-4739
[5] CXN-2018-4722
[6] CXN-2018-4702
[7] CXN-2018-4755
[8] CXN-2018-4738
[9] CXN-2018-4730


Jean-Christophe Pellat

Cert-XMCO