DIGITAL SOLUTIONS
La météo de la cybersécurité – 1er trimestre 2021
Cette première météo de l’année nous présente des tendances bien différentes. Le phishing est tours la 1ère cause d’incidents de sécurité mais le trimestre a été marqué par la présence de vulnérabilités activement exploitées par des groupes de hackers comme l’émergence de codes malicieux.
May 12, 2021
Remerciements à Mickaël LE MENACH et Eric CHASSARD du CSIRT POST CyberForce pour l’édition de cette météo.
Phishing
Nous avons vu au cours des mois précédents que les campagnes de phishing arrivaient par pics. Cependant, au cours du trimestre, la tendance fut à la baisse en proportion comme en nombre par rapport à Q4 2020.
Certains kits de phishing utilisés par des acteurs malveillants ont été réutilisés pour récupérer des identifiants de cartes bancaires.
Le CSIRT POST CyberForce, avec la contribution de la communauté des CERTs luxembourgeois (www.cert.lu), a pu retrouver les numéros de cartes des victimes et les signaler pour éviter toute exploitation par des acteurs malveillants.
Une tendance est à observer quant aux phishings relatifs aux services de Cloud professionnels tel que Microsoft. Ces phishings ont pour objectif de récupérer les identifiants des utilisateurs afin de se connecter à l’environnement des entreprises cibles.
Top 10 des hébergeurs du trimestre :
1. | Google LLC
2. | Facebook
3. | CloudFlare Inc.
4. | A100 ROW GmbH
5. | DigitalOcean LLC
6. | Fastly
7. | Bitly Inc
8. | OVH SAS
9. | Microsoft Corporation
10. | Eonix Corporation
Une nouveauté concerne Facebook avec des phishings diffusés sur le réseau social sur base de faux profils et de fausses publicités. Bien qu’une politique de modération existe sur Facebook, nous vous demandons la plus grande vigilance lors de l’utilisation des réseaux sociaux pouvant héberger des contenus malicieux.
Vulnerabilités
Ce trimestre peut être renommé le trimestre des vulnérabilités critiques activement exploitées avec plusieurs fournisseurs d’applications exposés impactés (dont F5 Networks ou Pulse Secure). Le cas de Microsoft Exchange Server est particulier. En effet, cette application a été la source de vulnérabilités critiques dévoilées par Microsoft permettant, pour toute application exposée sur Internet, de faire l’objet d’une possible exécution de code à distance, permettant un accès au serveur et sa possible exploitation.
Ces vulnérabilités ont été exploitées massivement par un groupe de hackers nommé HAFNIUM pour perpétrer des actes d’exfiltration de données dans un cadre de cyber-espionnage.
De nombreux faux positifs ont été décelés en raison des activités de scan sur Internet pour déterminer les serveurs vulnérables soit pour une exploitation possible, soit pour alerter les victimes potentielles à travers des scans réalisés par la communauté des CERTs/CSIRT (cert.lu).
Le CSIRT POST CyberForce rappelle que la menace est réelle et bien présente au Luxembourg. Nous vous recommandons, si vous êtes concerné par ces cas, de bien vérifier si vous disposez des versions corrigées contre ces vulnérabilités.
Le CSIRT POST CyberForce est à votre service en cas d’attaque ou de suspicion d’attaque sur votre environnement : www.post.lu/csirt
Plus d’informations sont disponibles sur les vulnérabilités Microsoft Exchange Server :
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26855
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26857
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26858
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-27065
Codes malicieux
Ce trimestre a également été marqué par une plus grande présence de codes malicieux par rapport aux mois précédents. Parmi les exemples, un variant de la famille de malware Remcos a été utilisé pour effectuer du contrôle à distance (Command and Control C2). Malgré les techniques actuelles de détection et de remédiation de code malicieux par email, via des antivirus pouvant analyser le comportement du code malicieux véhiculé, le caractère malicieux de ces derniers est particulièrement difficile à détecter. Ceci en raison des techniques utilisées par les acteurs malveillants comme par exemple la dissimulation de code dans des fichiers zip cryptés et protégés par mot de passe dont la victime potentielle est invitée à ouvrir avec un mot de passe fourni dans un autre email.
En règle générale, ces codes sont dissimulés dans des fichiers de type Microsoft Office en pièce jointe d’un email ou via un lien de téléchargement.
D’autres malwares tels qu’Agent Tesla ou Nanocore ont aussi été observés avec pour objectif, pour le premier, d’agir comme un keylogger, c’est-à-dire de récupérer, en cas d’infection, vos données sur le clavier ainsi que celles issues du presse-papier (copier-coller).
Procédés utilisés par ces malwares :
Agent Tesla
https://app.any.run/tasks/1e04a5d2-2549-4af1-b03a-d93d0f367b15/
https://app.any.run/tasks/1675a321-f158-4914-886f-55e6d2c13514/
Remcos
https://app.any.run/tasks/39142e07-e3e0-4062-b82c-c68068204e41/
Nanocore
https://app.any.run/tasks/f580cbd6-fa8c-458b-b22f-a49c4840e61a/
Intrusions
De nombreuses intrusions ont mis à l’épreuve nos équipes du CSIRT POST CyberForce. Nous avons constaté la présence au Luxembourg de “bots”. Autrement dit, de logiciels malveillants exécutés depuis un serveur pour attaquer d’autres serveurs pour s’y installer, dans le cas où la compromission est réussie pour à nouveau s’attaquer à d’autres serveurs.
Ce trimestre, nous avons constaté la présence d’un bot exploitant des vulnérabilités sur des plugins non mis à jour de sites web basés sur WordPress. Ces évènements nous rappellent l’importance d’appliquer les correctifs de sécurité à tous les niveaux, qu’il s’agisse de l’application cœur comme de ses plugins.
Des intrusions sur d’autres applications ont également été observées à travers des techniques dites de “Credential Stuffing” consistant à l’utilisation d’un dictionnaire de mots de passe, bien souvent issu de fuites de données, pour pouvoir espérer obtenir un accès. Un bon renouvellement de mot de passe sur l’application cible suffit bien souvent à endiguer ce phénomène. De plus, pour sécuriser vos accès, n’utilisez pas le même mot de passe sur l’ensemble des applications que vous utilisez.
Masquerade
Nous avons recensé de nouvelles tentatives de fraude au président, toujours avec le schéma classique d’usurpation d’un dirigeant d’entreprise. La cible ? Un collaborateur de l’entreprise retrouvé à l’aide des réseaux sociaux professionnels. D’un point de vue utilisateur, il est important de ne pas répondre à ce type de demandes, que la source soit par téléphone ou par email. Nous vous recommandons également de le signaler à votre fournisseur de sécurité ou au CSIRT POST CyberForce en cas de souscription à nos services CyberSOS.
Nous avons également observé une recrudescence des pages Facebook usurpant l’identité d’entreprises. Ces usurpations ont pour but de propager du phishing en vue de dérober des identifiants de cartes bancaires ou de récupérer des données personnelles en vue de perpétrer d’autres attaques futures. Au cas où vous seriez témoin de tels agissements, n’hésitez pas à contacter l’entreprise victime pour signaler ces fausses pages.
DoS/DDoS
La tendance aux attaques de type DDoS reste stable bien que la menace soit toujours présente. En termes d’attaque de grande ampleur, nous avons recensé un pic de 16,2 Gbps pour les attaques volumétriques. Les techniques utilisées sont principalement du DNS Amplification, UDP Flood, ACK Flood et QUIC Flood. Ces attaques nous rappellent l’importance d’une réaction rapide pour endiguer les dommages potentiels sur vos infrastructures. POST Telecom dispose de solutions de DDoS Mitigation pour vous protéger contre ces attaques.
Fraude Telecom (Unauthorized Use of Resource)
En matière de fraude sur les équipements téléphoniques d’entreprise (PBX), nous avons été témoins de la détermination de plus en plus vive des acteurs malveillants pour perpétrer leur fraude. En effet, ces derniers s’attaquent désormais à des vulnérabilités de configuration présentes sur les équipements là ou d’ordinaire, il s’agissait de trouver un équipement peu sécurisé pour perpétrer une fraude. La menace étant particulièrement active, il est important de tester et mettre à l’épreuve la sécurité de ses infrastructures téléphoniques pour déceler ces éventuelles vulnérabilités de configuration.
Il est également important de détecter rapidement et répondre à ce type de menace lorsque le risque survient. Nos équipes peuvent vous aider à faire ces tests de sécurité offensive et/ou de mettre en place les détections pour protéger votre ligne contre ces fraudes téléphoniques.