Bienvenue dans la série de blogs Threat Context Monthly où nous offrons un récapitulatif complet des actualités et des informations sur les menaces de cybersécurité les plus pertinentes, issues de KrakenLabs, l’équipe de renseignement sur les cybermenaces d’Outpost24. Voici ce que vous devez savoir pour le mois de septembre.

L’acteur de la menace du mois : NoName (Ransomware)

« NoName » est un groupe de ransomware apparu en 2020, mais qui a gagné en importance en 2023. Malgré la similarité des noms, il ne faut pas le confondre avec le hacktiviste pro-russe portant le même nom.

Comme vecteur d’attaque initial, le groupe utilise des attaques par force brute et exploite des vulnérabilités connues, telles que EternalBlue (CVE-2017-0144) et Zerologon (CVE-2020-1472). L’adversaire utilise différentes familles de ransomwares, telles que RansomHub, Scara et ScRansom.

NoName a notamment tenté de tirer parti de la réputation du groupe LockBit, allant jusqu’à créer un site de fuites appelé « NONAME », qui ressemble étroitement au design de celui de LockBit. Cependant, NoName se concentre principalement sur le chiffrement des données et n’exfiltre pas systématiquement les informations. À la place, ils utilisent leur site de fuites pour créer un sentiment d’urgence chez leurs victimes.

Menace en vedette : Zero-day Chromium (CVE-2024-7971)

Microsoft a récemment découvert une nouvelle campagne liée au groupe nord-coréen « Lazarus », ciblant le secteur des cryptomonnaies à des fins financières. Le groupe a exploité une vulnérabilité zero-day dans le moteur Chromium, désignée sous le code CVE-2024-7971.

Dans cette attaque, le groupe Lazarus a dirigé les victimes vers un domaine contrôlé par les attaquants, probablement en utilisant des techniques d’ingénierie sociale. Une fois l’utilisateur connecté, l’exploitation du zero-day a permis à l’adversaire d’obtenir l’exécution de code à distance (RCE), après quoi ils ont déployé un rootkit sophistiqué appelé FudModule sur les systèmes compromis. Ce malware est capable de contourner les bacs à sable des navigateurs et de manipuler la sécurité du noyau Windows en exploitant la vulnérabilité CVE-2024-38106, permettant ainsi à l’acteur malveillant de maintenir un accès à long terme aux systèmes de la cible.

Cette attaque s’inscrit dans une stratégie plus large des acteurs de la menace étatique nord-coréenne visant à financer les opérations du régime en ciblant des plateformes de cryptomonnaies vulnérables.

Les faits marquants observés par KrakenLabs

Vulnérabilités

Vulnérabilité critique : La vulnérabilité CVE-2024-40766 dans les dispositifs de pare-feu SonicWall SonicOS est exploitée par Akira et d’autres groupes de ransomware. Cela affecte les fonctionnalités SSLVPN et les pare-feux des générations 5, 6 et 7. Les attaquants ont désactivé l’authentification multi-facteurs lors des intrusions, et les agences gouvernementales sont tenues de corriger cette faille avant le 30 septembre. En savoir plus / plus / et encore plus →

0-day : L’acteur de menace parrainé par l’État chinois, « Volt Typhoon », exploite activement une vulnérabilité zero-day (CVE-2024-39717) dans les serveurs Versa Director, largement utilisés par les fournisseurs de services internet (ISP) et les fournisseurs de services gérés (MSP). Cette vulnérabilité permet aux attaquants d’escalader les privilèges et d’implanter un web shell personnalisé, leur permettant ainsi de voler des identifiants et d’infiltrer les réseaux ciblés. En savoir plus / plus / et encore plus →

Tendance

Tactique d’exfiltration de données : L’exfiltration de données est devenue une tactique courante dans les attaques par ransomware, avec des groupes comme BianLian et Rhysida utilisant Azure Storage Explorer pour voler des données sensibles. Ces acteurs détournent cet outil légitime, car Azure Blob Storage permet de gérer efficacement de grands volumes de données non structurées. En savoir plus →

Application de la loi

Action des forces de l’ordre : Les autorités françaises ont inculpé Pavel Durov, PDG et cofondateur de Telegram. Les accusations incluent la complicité dans la gestion d’une plateforme en ligne facilitant des activités illégales telles que les abus sur enfants, la vente de drogues et le piratage. Cette surveillance accrue pourrait pousser Telegram à renforcer la modération de contenu ou à coopérer davantage avec les forces de l’ordre, obligeant ainsi les cybercriminels à chercher des alternatives de communication. En savoir plus →

Menace émergente

Attaque : Une nouvelle méthode d’attaque a été identifiée, dans laquelle Amadey déploie StealC en parallèle avec un effaceur de justificatifs. Cet outil force le navigateur en mode kiosque, affichant une page de connexion Google qui empêche les victimes de fermer ou de naviguer ailleurs. La frustration pousse les victimes à entrer leurs identifiants, qui sont ensuite volés depuis le stockage des justificatifs du navigateur par StealC. En savoir plus →

Chaîne d’approvisionnement : Des chercheurs ont découvert une nouvelle technique d’attaque sur la chaîne d’approvisionnement appelée Revival Hijack, qui exploite le processus de suppression de paquets sur PyPI. Cette méthode permet potentiellement aux attaquants de réenregistrer et détourner plus de 22 000 paquets supprimés. En manipulant le système de PyPI, les acteurs malveillants peuvent republier des paquets sous le même nom après que le propriétaire d’origine les a retirés. En savoir plus →

Quoi de neuf dans Threat Context ce mois-ci ?

Acteurs de menace : Null14, Cthulhu Team, Kalashnikov, Famous Chollima, et TIDRONE.
Outils : Tickler, BingoMod, Chameleon, 7777 Botnet, D3F@ck Loader, Sedexp, AndroxGh0st, GrewApacha, Cthulhu Stealer, BulletCVE, NGate, Xeon Sender, ExploitTool, CLNTEND, Voldemort, VigilByte Stealer, RaidVortex Stealer, et CXCLNT.

Essayez Threat Compass

Vous souhaitez plus de renseignements sur les menaces ? Commencez avec Threat Compass pour recevoir les dernières informations exploitables fournies par notre équipe d’analystes internes de classe mondiale. Demandez une démonstration en direct ici.