TTP

Le rapport publié par Renzon Cruz, Nicolas Bareil et Navin Thomas de la société Palo Alto Networks analyse les activités récentes ciblant les infrastructures télécoms, attribuées avec une haute confiance au groupe Liminal Panda. Les attaquants ont utilisé des outils sur mesure adaptés aux environnements télécoms, exploitant des protocoles courants tels que SSH, ICMP, DNS et GTP pour maintenir l’accès et établir des canaux de commande et de contrôle dissimulés. ...

Des chercheurs en sécurité ont identifié un package NPM malveillant sophistiqué généré par l’IA, ciblant les développeurs en tant que drain de portefeuille de cryptomonnaies. Le package, nommé @kodane/patch-manager, se fait passer pour un gestionnaire de cache de registre légitime mais inclut des fonctionnalités avancées pour voler des fonds de cryptomonnaies. Le malware procède à une infection en plusieurs étapes : installation via un script post-installation, établissement de la persistance à travers des processus en arrière-plan, connexion à un serveur C2 à l’adresse sweeper-monitor-production.up.railway.app, découverte de fichiers de portefeuille, et extraction des fonds vers une adresse Solana spécifique (B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK). ...

L’article publié par KrebsOnSecurity révèle une opération criminelle sophistiquée impliquant plus de 1 200 sites de jeux frauduleux. Ces sites utilisent des publicités sur les réseaux sociaux et de fausses recommandations de célébrités pour attirer les victimes. Les sites proposent des interfaces de jeu soignées avec des crédits fictifs de 2 500 $, mais exigent des dépôts de vérification qui ne sont jamais remboursés. Cette opération est une variante des arnaques de type ‘pig butchering’, optimisée pour un volume élevé plutôt que pour cibler des victimes individuelles. ...

Cet article, publié par Praetorian, met en lumière les risques de sécurité associés aux plateformes de surveillance et de journalisation internes telles que Datadog, Kibana et Sumo Logic. Il démontre comment des testeurs d’intrusion et des équipes rouges peuvent exploiter ces plateformes pour découvrir des informations sensibles et des identifiants involontairement enregistrés. L’article présente une étude de cas détaillée où l’accès à une instance Kibana non authentifiée a conduit à une compromission complète du domaine à travers une chaîne de découvertes d’identifiants. Cette chaîne inclut la découverte de GitHub PAT, l’analyse de dépôt avec Nosey Parker, la compromission de plateformes DevOps, la coercition d’authentification LDAP avec Responder, l’escalade de privilèges Active Directory via une attaque de Shadow Credentials, et finalement DCSync pour l’accès admin du domaine. ...

Cet article de Chainalysis met en lumière une campagne de scam par empoisonnement d’adresses qui cible les utilisateurs actifs de cryptomonnaies. Les attaquants génèrent des adresses similaires à celles utilisées fréquemment par les victimes et envoient de petites transactions pour contaminer l’historique des transactions. Les victimes, en copiant des adresses depuis leur historique pour des transactions futures, envoient par inadvertance des fonds vers des adresses contrôlées par les attaquants. L’analyse a révélé que cette campagne a ciblé 82,031 adresses avec un taux de réussite de seulement 0,03%. Cependant, le retour sur investissement est exceptionnel, atteignant 1,147% même après le retour de 68 millions de dollars. Les attaquants utilisent des infrastructures de kits d’outils disponibles sur les marchés du darknet pour mener ces attaques. ...

Cet article publié par Sandfly Security alerte sur une menace croissante pour les systèmes Linux : les rootkits de type LD_PRELOAD tels que Medusa. Ces rootkits interceptent les appels de bibliothèques dynamiques pour masquer des activités malveillantes, telles que des fichiers, processus et connexions réseau, aux commandes système standard. Medusa fonctionne en utilisant des mécanismes LD_PRELOAD pour prioriser les bibliothèques malveillantes par rapport aux légitimes, affectant ainsi des commandes comme ls, ps et netstat. Pour détecter ces rootkits, il est recommandé d’utiliser des binaires statiques tels que BusyBox, qui ne dépendent pas des bibliothèques dynamiques et incluent tout le code nécessaire en interne, les rendant ainsi immunisés contre l’interception des bibliothèques. ...

L’article de VulnCheck met en lumière une nouvelle méthode d’exploitation de la vulnérabilité CVE-2021-36260, une faille d’injection de commande dans les systèmes Hikvision. Cette vulnérabilité est largement exploitée par des groupes de menaces avancées tels que Flax Typhoon et Fancy Bear. Traditionnellement, cette faille est exploitée pour déposer et exécuter des binaires malveillants, mais les systèmes Hikvision ne disposent pas des outils classiques comme curl ou wget pour télécharger des fichiers distants. VulnCheck a observé une attaque utilisant une approche innovante : le montage d’un partage NFS distant pour exécuter un fichier, contournant ainsi les limitations habituelles. ...

L’article publié par Aqua Nautilus dévoile Koske, un malware Linux sophistiqué qui utilise des techniques innovantes pour contourner les défenses traditionnelles. Ce malware montre des signes de développement assisté par IA, probablement avec l’aide d’un grand modèle de langage. Koske exploite une instance JupyterLab mal configurée pour obtenir un accès initial, en téléchargeant des images JPEG malveillantes via des URL raccourcies. Ces images sont des fichiers polyglottes, contenant des charges utiles malveillantes qui sont extraites et exécutées en mémoire, échappant ainsi aux outils antivirus. ...

L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité. Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés. ...

L’article de HackRead rapporte que BreachForums, une plateforme notoire du Dark Web, a refait surface sur son domaine .onion d’origine. Cette réapparition intervient dans un contexte où les forces de l’ordre intensifient leurs efforts pour démanteler les activités illégales en ligne. BreachForums est connu pour être un espace où des données volées sont échangées, ce qui en fait une cible privilégiée pour les autorités. Sa réapparition soulève des questions importantes concernant la sécurité de la plateforme et l’identité de ses administrateurs. ...