RISKINTEL MEDIA

🚨 Le FBI et d'autres agences américaines tentent actuellement de neutraliser un botnet contrôlé par la Chine. 🦖🚝 Les chercheurs de Black Lotus Labs ont mis en lumière dans leur dernier rapport le fonctionnement d'un botnet massif surnommé « Raptor Train » et relié à une opération de cyberguerre menée par l'État chinois. 🤖 Ce botnet comprend plus de 260 000 machines appartenant à des particuliers : ☑ des routeurs (ActionTec, ASUS, DrayTek Vigor et Mikrotik notamment), ☑ des serveurs de stockage en réseau, ☑ et des caméras IP (D-Link, Hikvision, QNAP, Fujitsu et Panasonic). 💥 Ces machines sont ensuite utilisées pour cibler principalement des entités aux États-Unis et à Taïwan, dans des secteurs critiques tels que la défense, le gouvernement et les universités. 🇨🇳 Le botnet, qui est actif depuis mai 2020, est exploité par Flax Typhoon, une équipe de cyberespionnage chinoise connue. Son infrastructure de commandement et de contrôle (C2) est construite sur un backend Node.js centralisé et une application frontale multiplateforme appelée « Sparrow ». Cette plateforme permet l'exécution de commandes à distance, le transferts de fichiers et le déploiement d'attaques distribuées de déni de service (DDoS). 1️⃣ 2️⃣ 3️⃣ L'infrastructure du botnet est divisée en trois niveaux hiérarchiques, les appareils compromis étant régulièrement remplacés. Au total, les attaquants exploitent plus de 20 types d'appareils en utilisant à la fois des vulnérabilités zero-day et d'autres connues affectant par example les serveurs Atlassian Confluence et les appareils Ivanti Connect Secure. Les malwares qu'ils utilisent incluent, entre autres, un dérivé du célèbre Mirai utilisé dans de multiples attaques DDoS. 🪷⚫ En réponse à cette découverte, Black Lotus Labs a coupé les routes du trafic réseau vers les points connus de l'infrastructure du botnet. Les forces de l'ordre aux États-Unis sont, elles, à pied d’œuvre pour neutraliser le botnet. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

🚨 De nombreuses entreprises du bâtiment sont actuellement sous le coup de cyberattaques. 🦺 Les chercheurs de la société Huntress ont détecté des attaques par force brute sur des serveurs de comptabilité Foundation, une solution largement utilisée dans l’industrie du bâtiment. 👊 Les pirates informatiques utilisent ces attaques par « bruteforce » pour pénétrer les réseaux des entreprises de construction. Il s’agit de tester un grand nombre d’identifiants en espérant que les noms d’utilisateur et mots de passe configurés soient faibles. 🔓 Le logiciel Foundation comprend un serveur Microsoft SQL (MSSQL) qui peut être configuré pour être accessible au public via le port TCP 4243. C’est cette porte d’entrée qu’utilisent les cybercriminels, tentant parfois jusqu'à 35 000 combinaisons d’identifiants par heure. 💥 Une fois l'accès obtenu, ils activent la fonctionnalité MSSQL « xp_cmdshell », ce qui leur permet d'exécuter des commandes dans le système d'exploitation via des requêtes SQL. Les commandes observées incluent « ipconfig » pour récupérer les détails de la configuration réseau et « wmic » pour extraire des informations sur le matériel, le système d'exploitation et les comptes utilisateurs. ✅ Huntress recommande aux administrateurs de serveurs Foundation de changer les identifiants, d’utiliser des mots de passe forts et de s'assurer qu'ils n'exposent pas publiquement leurs serveurs MSSQL si cela n'est pas nécessaire. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

🚨Avec un abonnement à ChatGPT, vous pouvez apprendre à construire une bombe. 🧠 Un hacker nommé « Amadon » est récemment parvenu à contourner les règles de sécurité de ChatGPT en utilisant une méthode de manipulation narrative. 🛸 En demandant au chatbot de raconter un scénario de science-fiction, il a obtenu des détails sur la fabrication d'une bombe agricole à base de nitrate d'ammonium. 🧨 Selon un expert en explosifs, ces informations pourraient effectivement aboutir à la fabrication d'une bombe. Cette faille de sécurité soulève des inquiétudes quant à la capacité de ChatGPT à fournir des informations illégales ou dangereuses. 🐀 Amadon a informé OpenAI – l'entreprise derrière ChatGPT – de la faille. La compagnie a cependant refusé de récompenser le hacker éthique, affirmant qu’il fallait une approche plus large pour résoudre le problème. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

🚨 Un nouveau malware menace des services bancaires et financiers, les télécoms et des organisations gouvernementales. 🔥Baptisé « Hadooken », ce logiciel malveillant a été découvert par des chercheurs de l'entreprise Aqua Security. Ces derniers indiquent que les attaquants ciblent particulièrement les serveurs faisant tourner Oracle WebLogic du fait de l'utilisation répandue de cette application par des acteurs bancaires, financiers, commerciaux et gouvernementaux ainsi que dans le secteur des télécommunications. 🔓 Les attaquants profitent d'identifiants faibles pour s'implanter au sein des serveurs Oracle WebLogic. Une fois à l'intérieur, ils téléchargent « c » et « y », respectivement un script shell et un script Python. 📦 Tous deux installent Hadooken, « c » recherchant de surcroît des données SSH tout en se déplaçant latéralement sur le réseau pour distribuer Hadooken le plus largement possible. 🌊 Hadooken dépose et exécute ensuite un mineur de cryptomonnaie ainsi que le malware Tsunami utilisé dans des attaques DDoS. ⏳ Il met aussi en place plusieurs tâches « cron », c'est-à-dire des tâches planifiées régulièrement exécutées, leur donnant des noms et des fréquences d'exécution aléatoires. Ces « cron jobs » permettent d'assurer une persistance du malware sur les serveurs infectés. 🥷🏿 Pour tenter de passer inaperçu, Hadooken renomme les services malveillants en « -bash » ou « -java », imitant ainsi des processus légitimes. Les journaux système sont également effacés pour masquer les signes d'activité malveillante, ce qui rend la découverte et l'analyse forensique plus difficiles. 🪟 Un script PowerShell servant à télécharger le ransomware Mallox pour Windows a même été découvert à l'une des adresses IP diffusant Hadooken. Cela suggère que les acteurs malveillants ciblent à la fois les terminaux Windows et les serveurs Linux. ✅ Selon le moteur de recherche Shodan, il existe plus de 230 000 serveurs WebLogic sur le web public. Une liste complète des mesures de défense et d'atténuation est disponible dans le rapport d'Aqua Security. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

Vol de données et arrestation d'un adolescent, voici les derniers éléments sur l'attaque contre Transport for London 👇 🇬🇧 Transport for London (TfL), la société qui gère les transports publics de Londres, a dû revoir sa copie. À la suite d'une cyberattaque survenue le 1er septembre, TfL avait assuré aux clients qu'il n'y avait aucune preuve de compromission des données. Une enquête interne vient de révéler que certaines données clients avaient, en réalité, été volées. 📂 Les données compromises incluent notamment des noms, des numéros de téléphone, des adresses e-mail et des adresses postales, mais aussi des données bancaires pour le remboursement de la carte « Oyster » servant au paiement des trajets en transports en commun. 👮 La National Crime Agency (NCA) du Royaume-Uni a arrêté un adolescent de 17 ans soupçonné d'être lié à la cyberattaque. L'adolescent a été interrogé et libéré sous caution. La NCA mène l'enquête sur la cyberattaque, en étroite collaboration avec le National Cyber Security Centre et TfL. 🚨 Cet incident marque la deuxième violation de données pour TfL en 2023, après une violation en mai où le gang de ransomware Clop a volé les données d'environ 13 000 clients. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

S'il était resté parmi nous, Paul Walker – acteur mythique de la saga Fast & Furious – aurait fêté aujourd'hui son 51ème anniversaire... 👇 🚨 Pas sûr, en revanche, que les nouvelles du secteur automobile l'aient réjoui. L'industrie a récemment été en proie à deux incidents distincts qui soulèvent d'importantes inquiétudes en matière de confidentialité et de sécurité. 🗣 Tout d'abord, Ford a récemment déposé un brevet pour un système qui écoute les conversations entre les personnes à bord du véhicule, analyse des données telles que la localisation, la vitesse et le trafic, et utilise ces informations pour lancer des publicités ciblées. Le système utiliserait également des informations sur la destination et l'historique de localisation du conducteur pour déterminer le type et la durée de publicité les plus efficaces. Cette technologie soulève d'importantes inquiétudes en matière de confidentialité, d'autant plus que le brevet ne garantit pas que les données collectées seront protégées. Les utilisateurs pourraient dès lors être vulnérables à d'éventuelles violations de données. 🔌 Par ailleurs, des chercheurs en cybersécurité ont réussi à pirater des chargeurs de véhicules électriques, en exploitant des vulnérabilités au sein de logiciels et d'infrastructures de recharge. Lors de l'événement Pwn2Own Automotive 2024 à Tokyo, les chercheurs ont piraté trois chargeurs de véhicules électriques et ont découvert des vulnérabilités telles que le contournement de l'authentification par Bluetooth Low Energy (BLE) ainsi que deux failles de dépassement de tampon (buffer overflow). Ces vulnérabilités pourraient permettre aux pirates de manipuler les paramètres de charge, de signaler de manière erronée la consommation d'énergie et même de basculer vers d'autres réseaux. 🎵 It's been a long time without you my friend. ✅ Drive safe. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

🚨 La justice de l'Union Européenne vient de confirmer plus de 15 milliards d'euros de sanctions à l'encontre de Google et Apple. 🇪🇺 Hier, la Cour de justice de l'Union européenne (CJUE) a rendu deux arrêts, confirmant des sanctions contre Google et Apple pour pratiques anticoncurrentielles et aide d'État illégale. 🇮🇪 La CJUE a décidé qu'Apple devrait rembourser 13 milliards d'euros à l'Irlande pour avoir bénéficié d'avantages fiscaux indus entre 2003 et 2014. La Commission européenne avait ordonné à Apple de rembourser cette somme en 2016 dans une première décision mais le Tribunal de l'UE l'avait annulée en 2020. La CJUE a finalement tranché en faveur de la Commission européenne. 🛍️ La CJUE a également confirmé une amende de 2,4 milliards d'euros contre Google pour pratiques anticoncurrentielles. L'amende avait été infligée à Google en 2017 pour avoir favorisé son propre service de comparaison de produits, rendant ses concurrents pratiquement invisibles pour les consommateurs. La compagnie de Mountain View avait interjeté appel. 😢 Les deux groupes se sont dits « déçus » par les décisions de la CJUE. Apple a affirmé qu'elle n'avait bénéficié d'aucun traitement de faveur, tandis que Google a déclaré avoir apporté des modifications en 2017 pour se conformer à la décision de la Commission européenne, des correctifs manifestement insatisfaisants. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

Des pirates ont pénétré le réseau d'une entreprise de paiements et eu accès à 1,7 millions de numéros de cartes de crédit 🚨 💥 La passerelle de paiement canadienne Slim CD a découvert une violation de données dans ses systèmes. L'entreprise a révélé que des cybercriminels avaient eu accès à son réseau pendant plus d'un an, d'août 2023 à juin 2024, compromettant les données financières de centaines de milliers de clients. 🔎 Slim CD, qui fournit des solutions de traitement des paiements aux entreprises, a détecté une activité suspecte dans ses systèmes le 15 juin 2024. Si l'enquête a révélé que les pirates informatiques avaient infiltré son réseau depuis le 17 août 2023, l'accès non autorisé aux informations de carte de crédit était manifestement limité à une période de deux jours, entre le 14 et le 15 juin 2024. 💳 Les données exposées comprennent les noms complets, les adresses physiques, les numéros de carte de crédit et les dates d'expiration des cartes de paiement. Bien que les informations volées ne soient pas suffisantes pour effectuer d'importantes transactions frauduleuses en raison de l'absence de numéros de vérification de carte (CVV), il existe toujours un risque de fraude. 🧐 La société conseille aux personnes concernées de rester vigilantes face aux signes de fraude et aux tentatives d'usurpation d'identité, et de signaler rapidement toute activité suspecte à leurs émetteurs de cartes. Cependant, aucun service gratuit de protection contre le vol d'identité n'a été proposé aux personnes concernées. 💡 Les services de Slim CD étant principalement utilisés par des entreprises de secteurs tels que la vente au détail, l'hôtellerie et la restauration, de nombreuses personnes recevant des notifications de violation peuvent ne pas connaître l'entreprise, n'ayant jamais interagi directement avec elle. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

Des chercheurs ont mis au point une nouvelle attaque visant les ordinateurs isolés l'Internet public et d'autres réseaux. 🚨 💪 Baptisée « RAMBO » (Radiation of Air-gapped Memory Bus for Offense) par les universitaires israéliens l'ayant élaborée, cette attaque exploite le rayonnement électromagnétique émis par la mémoire vive (RAM) d'un appareil pour voler des données sensibles. 🛡 Les systèmes isolés des réseaux informatiques sont généralement utilisés dans des environnements à haute sécurité tels que les sites d'armement ou encore les centrales nucléaires. ❌ Sans protection spécifique, ils peuvent toutefois être vulnérables aux cyberattaques si des logiciels malveillants sont introduits via des supports physiques ou des attaques sur la chaîne d'approvisionnement. 😢 📡 L'attaque RAMBO consiste à implanter un logiciel malveillant sur l'ordinateur isolé pour collecter des données sensibles et les préparer à la transmission. Le logiciel malveillant manipule les opérations de lecture et écriture de la RAM pour générer des ondes électromagnétiques. Ces émissions sont ensuite interceptées par un attaquant situé à proximité. 📨 Les chercheurs ont mesuré un taux de transfert de données allant jusqu'à 1 000 bits par seconde, ce qui rend l'attaque adaptée au vol de petites quantités de données telles que du texte, des frappes au clavier et de petits fichiers. Cependant, l'attaque a des limites, notamment une portée maximale de 3 à 7 mètres en fonction de la rapidité des transmissions. Le taux d'erreur constaté par les chercheurs oscille entre 2 et 4 %. 🧠 Pour se prémunir contre RAMBO, les chercheurs recommandent plusieurs stratégies cumulatives d'atténuation : contrôles d'accès physiques stricts, brouillages interne et externe à la RAM et mise en place de cages de Faraday. Cependant, ces mesures introduisent diverses contraintes et peuvent ne pas être réalisables pour toutes les organisations. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇

Une nouvelle faille critique dans un célèbre plugin expose 6 millions de sites WordPress. L'attaque est d'une facilité déconcertante. 🚨 ⚡ Une vulnérabilité a été découverte dans LiteSpeed Cache, un plugin de mise en cache populaire utilisé par plus de 6 millions de sites WordPress dans le monde. Baptisée CVE-2024-44000, elle permet aux attaquants de prendre le contrôle d'un site en volant des cookies de session. 📰 La vulnérabilité est liée à la fonction de journalisation de débogage du plugin, qui enregistre les en-têtes des réponse HTTP, y compris les cookies de session, dans un fichier. 🍪 Un attaquant peut exploiter la faille en accédant au journal de débogage qui contient les cookies de session utilisés pour authentifier les utilisateurs. Si un attaquant peut voler ces cookies, il peut se faire passer pour un utilisateur, y compris administrateur et dans ce cas prendre le contrôle total du site. 👵 L'attaque nécessite que la fonction de débogage soit active ou bien qu'elle l'ait été auparavant et que le journal n'ait pas été supprimé depuis. De plus, l'attaquant doit pouvoir accéder à ce fichier de journal. Or, ce dernier se trouve souvent à une URL par défaut et accessible à tous. Si votre grand-mère sait se servir d'une barre de recherche, elle est capable d'exploiter cette vulnérabilité. 💡 Un correctif a été publié : le journal de débogage a été déplacé vers un dossier dédié, les noms des fichiers journaux sont maintenant aléatoires et l'option de journalisation des cookies a été supprimée. Il est recommandé aux utilisateurs de : ✅ Purger tous les fichiers « debug.log » de leurs serveurs pour supprimer les cookies de session potentiellement valides. ✅ Définir une règle .htaccess pour refuser l'accès direct aux fichiers journaux. -- P.S. : Si vous nous découvrez avec ce post, nous vous invitons à suivre notre contenu ici sur LinkedIn, ou encore sur YouTube. Tous les liens sont en commentaire 👇