DIGITAL SOLUTIONS
La météo de la cybersécurité – 3ème trimestre 2021
Les chiffres des incidents recensés par le CSIRT POST CyberForce confirment la tendance à la baisse des incidents avec une remontée en Septembre. Les chiffres du mois de Juillet et Aout correspondent au nombre d’incident le plus bas jamais recensé depuis la création de la météo de la cybersécurité. La remontée de septembre correspond à une augmentation significative du nombre de phishing au cours du mois. Le phishing représente toujours la majorité des incidents pour la période avec un taux de 68 % sur la période. Du côté des malware, la menace se métamorphose.
November 30, 2021
Chiffres
General
Les chiffres des incidents recensés par le CSIRT POST CyberForce confirment la tendance à la baisse des incidents avec une remontée en Septembre. Les chiffres du mois de Juillet et Aout correspondent au nombre d’incident le plus bas jamais recensé depuis la création de la météo de la cybersécurité. La remontée de septembre correspond à une augmentation significative du nombre de phishing au cours du mois. Le phishing représente toujours la majorité des incidents pour la période avec un taux de 68 % sur la période. Du côté des malware, la menace se métamorphose.
Phishing
En cette période, les techniques de « phishing bulk » utilisés sont principalement liés à une volonté des acteurs malveillants de récupérer des comptes emails résidentiels en « @pt.lu ». Pour ce type de phishing, le soin apporté par les acteurs malveillants est très variable allant de l’utilisation de kits imitant à la quasi perfection les pages Web à la réutilisation de kits avec un changement de logo en fonction des victimes ciblées. Dans le cas des « phishing bulk », nous observons également l’utilisation de l’application en ligne Microsoft Excel.
Nous avons observé également la présence de techniques de « spear phishing », phishing ciblé pour les entreprises avec deux orientations :
• Usurpation de page Outlook Web Access
• Utilisation de page Microsoft Azure de l’entreprise.
Lorsqu’il s’agit d’usurpation Outlook Web Access, il s’agit pour un acteur malveillant d’obtenir un accès initial au webmail d’un compte cible d’un utilisateur d’une entreprise.
Lorsqu’il s’agit d’une page Microsoft Azure, il s’agit bien souvent d’un compte utilisateur de l’entreprise, en particulier, lorsque l’entreprise a migré une partie de son infrastructure dans le cloud Azure Microsoft. Dans ce cas précis, l’acteur malveillant cherche à obtenir un accès initial à environnement cloud d’une entreprise. Des mesures permettent de se prémunir de ce type de menace tel que l’authentification double facteur ou des restrictions propres au tenant (profil) de l’entreprise.
Voici quelques captures d’écran des pages web de phishing capturés pendant la période :
- Outlook
Le soin apporté dans le design des pages web augmente leur crédibilité. La page d’authentification au Webmail est aussi utilisée comme modèle pour subtiliser des coordonnées bancaires.
Google et Cloudflare restent dans le haut du classement parmi les hôtes de phishing au fil des mois avec une progression de Microsoft à travers l’utilisation de l’application Excel en ligne pour afficher une page de phishing comme montré précédemment. Une précision concernant l’utilisation de Cloudflare par les acteurs malveillants : Cloudflare est un CDN (Content Delivery Network), c’est-à-dire, un réseau de diffusion de contenu. La diffusion du contenu Web passe par ce réseau lors d’une requête vers un site Web. Cette technique permet aux acteurs malveillants de cacher la véritable adresse IP du serveur de l’hébergeur, rendant ainsi plus difficile la tâche pour l’identification de l’hébergeur réel et donc allonge les délais de suppression de contenu malveillant.
- Google LLC (=)
- CloudFlare Inc. (=)
- Microsoft Corporation (+3)
- Dedibox Customer IP Range (New)
- Amazon Technologies Inc. (New)
- Namecheap Inc. (=)
- DigitalOcean LLC (-3)
- OVH SAS (New)
- Bitly Inc (-6)
- Domain Names Registrar Reg.ru Ltd (New)
Le CSIRT POST CyberForce suit de très près l’évolution de la menace de phishing et vous tiendra informé au cours des prochains bulletin météo de la cybersécurité.
Vishing / Call SPAM
Malgré une diminution des appels, ce trimestre a été encore marqué par des dizaines d’appels à caractères frauduleux. Les adversaires utilisent les mêmes techniques que le trimestre précédent, en se faisant passé pour le support technique de Microsoft. Les appels proviennent de numéros usurpés provenant du Royaume-Uni, d’Allemagne, de Suisse. Une nouveauté a toutefois marqué la période compte tenu de la campagne des autorités de Police début septembre. Comme les usurpations du support Microsoft, ces appels sont à caractère frauduleux et une vigilance doit être renforcée pour ne pas tomber dans le piège de ces appels.
Malicious Code
Au niveau des logiciels malveillants, nous avons pu voir apparaître une nouvelle famille visant des victimes très ciblée appelée “SQUIRRELWAFFLE”.
Ce malware est utilisé en première instance afin délivrer d’autres activités malveillantes. Il est notamment utilisé pour transmettre le cheval de Troie bancaire « Qakbot » et l’outil Cobalt Strike utilisé par les hackers éthiques dans le cadre d’audit techniques. Il se matérialise sous forme de fichier compressé en .ZIP téléchargeable par un lien présent dans un courriel. Si la victime clique sur le lien, le fichier Microsoft Excel s’ouvre et un code s’exécute téléchargeant un nouvel exécutable par lequel un protocole C2 (Commande et Contrôle à distance) est utilisé par les acteurs malveillants pour prendre le contrôle de la machine de la victime.
Ce malware est très récent, le CSIRT POST CyberForce suit son évolution et vous informera au cours de nos prochains bulletins.
Au cours de la période, nous avons également été témoins de la présence du Malware « Flubot ». Il s’agit d’un Malware se propageant sous forme de lien présent dans des SMS envoyés par des numéros usurpés et aléatoire à chaque envoi. En dehors d’une présence attestée par un SMS reçu sur des numéros luxembourgeois, il se trouve que la propagation s’effectue depuis des lignes étrangères (dans les cas étudiés, il s’agissait de lignes françaises) à travers la présence de téléphones possédant une double SIM. En effet, les SMS contenant les liens de téléchargement Flubot étant reçu sur des lignes françaises, les victimes possédant également un numéro luxembourgeois en générant du trafic data sur le réseau luxembourgeois permet à Flubot d’utiliser ce trafic pour ses activités.
DDoS
Concernant les attaques DDoS, nous constatons une baisse durant ces derniers mois. Les principales techniques utilisées sont:
• ACK Flood
• UDP inhabituelles
Au cours de la période, nous avons observé un pic de 2,9 Gbps pour les attaques volumétriques. Les clients de nos services anti-DDoS bénéficient de protection contre les ces types d’attaques.
Vulnerabilités
Au cours de la période, les vulnérabilités suivantes furent observées comme ouvertes à une possibilité d’abus :
• CVE-2021-1675 – Windows Print Spooler ou PrintNighmare
• CVE-2021-22005 – vCenter
• CVE-2021-38647 – Azure Linux
Sur les vulnérabilités, il est conseillé en cas de suspicion d’exploitation, de toujours effectuer une vérification auprès d’experts afin de confirmer ou de réfuter l’exploitation d’une vulnérabilité. Le CSIRT POST CyberForce se porte à votre service pour réaliser ces vérifications.
CVE-2021-1675 – Windows Print Spooler Remote Code Execution Vulnerability
Le spouleur d’impression du système Windows, lorsqu’il effectue de manière incorrecte des opérations privilégiées sur les fichiers peut être utilisée pour s’octroyer des droits administrateurs SYSTEM permettant d’obtenir tout pouvoir sur une machine. Cette vulnérabilité connue également sous le nom de PrintNightmare permet à un acteur malveillant d’exécuter du code arbitraire par une élévation de privilège.
vCenter CVE-2021-22005
Les serveurs vCenter contiennent une vulnérabilité qui permet d’ouvrir une session shell sur le serveur distant par le biais du téléchargement de fichier arbitraire dans le service Analytics.
Un acteur malveillant ayant un accès réseau au port 443 de vCenter Server peut exploiter ce problème pour exécuter du code sur vCenter Server en téléchargeant un fichier spécialement conçu.
Azure Linux CVE-2021-38647
Les machines virtuelles Azure Linux présentaient une faille dû à l’agent Open Management Infrastructure (OMI). Les utilisateurs n’étaient pas informés de l’installation de cet agent lors du déploiement d’une machine virtuelle Linux. Il n’y avait aucun système de gestion de mise jour sur Azure. L’exploit consiste à envoyer une requête sans en-tête d’authentification sur un des ports d’écoute de l’agent OMI. En retour l’attaquant obtenait les droits super utilisateurs sur la machine.
Un attaquant pourrait envoyer un message spécialement conçu par le biais de HTTPS au port qui écoute OMI sur un système vulnérable.
Vous rencontrez un incident de sécurité ? ou vous suspectez d’avoir été attaqué en raison d’un système vulnérable au sein de votre entreprise ? Le CSIRT POST CyberForce peut vous aider à résoudre ces incidents ou répondre aux questions que vous vous posez sur la menace Cyber.