Par le personnel de CyberWire
Ingénierie sociale via call center.
Microsoft suit une campagne BazaCall active, rapporte ZDNet. Palo Alto Networks a décrit le mois dernier comment BazaCall sécurise les systèmes Windows vulnérables avec le malware BazaLoader. Une note sur le nom : les tweets de Microsoft ont appelé la campagne et le malware « BazaCall » et « BazaLoader », respectivement. La plupart des autres appellent la campagne et le malware « BazarCall » et « BazarLoader ». Dans tous les cas, il s’agit de la même menace. Les opérateurs de BazarCall utilisent, en effet, un centre d’appels comme maillon majeur de leur chaîne d’ingénierie sociale. L’arnaque commence par un e-mail de phishing informant le destinataire que son abonnement d’essai gratuit à un service est sur le point d’expirer et que, à moins qu’il n’appelle un numéro pour l’annuler, il sera automatiquement inscrit et, bien sûr, facturé pour l’abonnement. Les exemples d’e-mails dont Microsoft partage des captures d’écran dans leurs tweets sont manifestement faux : ZonerPhoto et Prepear Cooking sont les deux exemples de phishbait qu’ils donnent. vous être persuadé d’appeler, l’opérateur (qui est bien sûr en attente) vous dirigera vers un site où vous êtes censé télécharger un fichier Excel que vous pouvez utiliser, selon l’opérateur, pour annuler votre abonnement ou refuser la mise à niveau vers unservice premium, ou ainsi de suite. Si vous êtes assez imprudent pour suivre les instructions de l’opérateur, vous serez dirigé vers un site qui propose un fichier Excel comme promis, mais avec des macros malveillantes conçues pour livrer la charge utile. Cette charge utile a été BazarLoader. Plus récemment, selon Microsoft, le gang a utilisé Cobalt Strike pour voler des informations d’identification (y compris la base de données Active Directory des victimes) et exfiltrer des données via rclone. La campagne est difficile à arrêter par des moyens techniques, observe Microsoft. L’e-mail initial ne contient aucun lien ni aucune pièce jointe, qui sont les éléments habituels qui déclenchent des avertissements.Livre blanc gratuit : Ransomware in ICSRansomware est devenu une menace croissante pour les organisations industrielles pour les environnements informatiques et OT. Depuis 2018, les incidents de ransomware contre les infrastructures industrielles ont augmenté de plus de 500 %. Lisez ce livre blanc pour découvrir 9 recommandations de Dragos, l’équipe de cybersécurité industrielle la plus importante et la plus expérimentée du secteur, pour protéger votre environnement contre les attaques de ransomware. Téléchargez le livre blanc ici.
Le ransomware LV est réchauffé par REvil.
Secureworks a examiné la souche de ransomware LV qui est en circulation, et ils ont conclu que LV est essentiellement un REvil réchauffé, et pas vraiment une souche distincte du tout. Comment LV en est venu à partager la même structure de code que REvil n’est pas tout à fait clair. Les propriétaires de REvil, que Secureworks appelle « Gold Southfield », et qui ont succédé aux opérateurs de GandCrab au moment de la retraite (ou de la dispersion ou du changement de marque) de ce gang au printemps 2019, l’ont peut-être vendu, l’ont fait voler ou l’ont échangé avec un partenaire criminel pour d’autres considérations. Il n’y a aucune preuve immédiate que les opérateurs de LV (que Secureworks appelle « Gold Northfield ») gèrent leur propre programme d’affiliation, mais Secureworks pense qu’il est possible qu’il en soit un en perspective.
ReverseRAT est peut-être un outil de cyberespionnage pakistanais.
Black Lotus Labs de Lumen a décrit un nouveau cheval de Troie qu’ils appellent « ReverseRat ». Le malware est déployé dans des opérations de cyberespionnage contre des cibles du gouvernement et du secteur énergétique en Asie du Sud et centrale. Son infrastructure est hébergée au Pakistan, et Black Lotus Labs attribue provisoirement la campagne au gouvernement pakistanais. ReverseRat est considéré comme inhabituellement évasif, avec de faibles taux de détection par le logiciel de surveillance. La manière dont la première étape de l’attaque est menée n’est pas tout à fait claire. Cela implique de fournir des URL malveillantes qui pointent vers des sites compromis, et Lumen suppose que les documents appâtés arrivent probablement via une forme de phishing ou de smishing. L’hameçonnage est varié, mais les documents faisant allusion à des événements ou à des organisations en Inde sont courants. Lumen a également vu des hameçons COVID-19 et des sujets susceptibles d’intéresser les personnes travaillant dans le secteur de l’énergie. La plupart des victimes se trouvaient en Inde, avec un plus petit nombre de cibles en Afghanistan.Obtenez une maîtrise en cybersécurité à temps partiel et en ligne à Georgetown.Vous cherchez à faire progresser votre carrière en cybersécurité ? Découvrez le programme d’études supérieures de l’Université de Georgetown en gestion des risques de cybersécurité. Idéal pour les professionnels en activité, notre programme offre des options flexibles pour suivre des cours en ligne, sur le campus ou en combinant les deux, de sorte que vous n’ayez pas à interrompre votre carrière pour obtenir votre diplôme. Vous quitterez le programme avec l’expertise dont vous avez besoin pour gérer efficacement les risques et faire face aux cybermenaces de plus en plus complexes d’aujourd’hui. Découvrez le programme.
Les annonces Google achetées servent Redline Stealer.
eSentire rapporte avoir trouvé des publicités Google malveillantes pour les applications de messagerie Signal et Telegram qui incitent les visiteurs à télécharger Redline Stealer, un logiciel malveillant de collecte d’informations que les criminels vendent ensuite dans divers souks du Web sombre. Ce ne sont pas seulement Signal et Telegram qui sont truqués pour diffuser du contenu malveillant. eSentire dit que d’autres ont vu une activité similaire se faisant passer pour AnyDesk ou Dropbox. Dans ce cas, les acteurs de la menace utilisent des pages de téléchargement falsifiées de manière convaincante pour les applications. Les utilisateurs qui tentent d’obtenir ces applications lors de leur visite seront « socialement conçus », comme le dit eSentire, lors du téléchargement et de l’initialisation de Redline Infostealer. eSentire note : « Bien que nous ne connaissions pas le montant total que les cybercriminels ont dépensé pour les annonces Google, nous savons que l’achat du mot-clé ‘Telegram’ peut coûter 0,40 USD par clic, tandis que le mot-clé ‘Signal’ peut coûter jusqu’à 1,40 USD. par clic. »
Problèmes de chaîne d’approvisionnement dans la base industrielle de défense des États-Unis.
est que les petites entreprises sont intrinsèquement moins susceptibles d’être bien protégées contre les cyberattaques que les plus grandes entreprises du secteur de la défense.
En fait, les deux navires sont restés à Odessa. Si les rapports AIS ont été délibérément falsifiés et par qui, ou si l’incident a impliqué un dysfonctionnement, la manière dont la fausse déclaration s’est produite reste incertaine. (Si vous n’êtes pas familier avec l’AIS, le détaillant britannique d’électronique ICOM a un aperçu utile du système sur son site.) La plupart des navires commerciaux doivent être équipés d’AIS, qui est une aide précieuse pour éviter les collisions, entre autres. Les navires de guerre transportent également généralement l’AIS, bien que pour des raisons de sécurité, ils puissent l’éteindre si nécessaire, car leurs emplacements sont souvent sensibles. Mais les marines aussi s’intéressent à la sécurité du transit : en 2017, par exemple, à la suite de deux collisions mortelles entre des navires de guerre de l’US Navy et des navires commerciaux, par exemple, l’US Navy a demandé à ses navires d’activer leur AIS dans les eaux à fort trafic. Il y en a donc plusieurs. points de la chaîne électronique auxquels les positions AIS des deux navires de guerre de l’OTAN dans la mer Noire auraient pu être truquées, mais il semble qu’Evertsen et Defender se trouvaient à Odessa, où ils appartenaient, et avaient tous les droits d’être. Encore une fois, la façon dont les emplacements ont été mal signalés reste, pour l’instant, inconnue, mais l’incident s’est produit au cours d’une opération de liberté de la mer au cours de laquelle les forces russes ont défié et harcelé un navire de guerre britannique dans les eaux internationales contestées. Defense One a un rapport sur cet incident, qui, selon lui, montre la détermination de la Russie à revendiquer les eaux autour de la péninsule de Crimée, illégalement saisies en Ukraine en 2014.Rejoignez Rick Howard et notre équipe d’experts pour une diffusion en direct. Les appels trimestriels aux analystes de CyberWire Pro sont essentiels pour tous ceux qui cherchent à améliorer leur sensibilisation à la cybersécurité. Chaque discussion est dirigée par Rick Howard et comprend deux invités, où ils discutent des événements cruciaux de cybersécurité des 90 derniers jours. Cet appel trimestriel a lieu le mercredi 30 juin à 14 h HE. Le Dr Georgianna Shea de la Fondation pour la défense des démocraties (FDD) et Benjamin Yelin du Centre UMD pour la santé et la sécurité intérieure se joindront à Rick ce trimestre. Apprendre encore plus.
Kimsuky se croyait responsable d’une brèche dans un institut de recherche nucléaire sud-coréen.
L’Institut sud-coréen de recherche sur l’énergie atomique (KAERI) a révélé à la fin de la semaine dernière que plusieurs parties non autorisées avaient obtenu l’accès aux réseaux internes du KAERI. The Record rapporte qu’une partie de l’infrastructure utilisée dans l’intrusion était attribuable au groupe nord-coréen Kimsuky. KAERI avait initialement nié que l’incident se soit produit. L’institut s’est excusé vendredi pour ses déclarations antérieures. Selon BleepingComputer, l’intrusion a eu lieu le 14 juin et l’auteur de la menace a eu accès via une faille VPN. Plus tôt ce mois-ci, Malwarebytes Lab a publié un rapport sur Kimsuky, un acteur menaçant dont on pense généralement qu’il travaille pour le Bureau général de reconnaissance de la République populaire démocratique de Corée. Malwarebytes a répertorié un grand nombre de cibles :
- le ministère des Affaires étrangères, République de Corée, 1er secrétaire,
- le ministère des Affaires étrangères, République de Corée, 2e secrétaire,
- le ministre du Commerce,
- le consul général adjoint au consulat général de Corée à Hong Kong,
- le responsable de la sécurité nucléaire de l’Agence internationale de l’énergie atomique (AIEA),
- l’Ambassadeur de l’Ambassade du Sri Lanka en République de Corée, et
- le conseiller du ministère des Affaires étrangères et du Commerce
La Norvège attribue une violation de ses réseaux gouvernementaux en 2018 à l’APT31 de la Chine.
La Norvège a attribué une violation en 2018 de son réseau informatique gouvernemental à la Chine. Plus précisément, le Service de sécurité de la police (PST) a déclaré que l’incident de cyberespionnage était l’œuvre de l’APT31. « L’enquête a révélé que l’acteur a réussi à acquérir des droits d’administrateur lui donnant accès aux systèmes informatiques centralisés utilisés par tous les bureaux de l’administration publique du pays », a déclaré le PST, ajoutant que « l’acteur a également réussi à transférer certaines données des bureaux » systèmes. Aucune découverte technique fiable n’a été faite sur les informations transférées, mais l’enquête montre qu’il y avait probablement des noms d’utilisateur et des mots de passe associés aux employés dans divers bureaux de l’administration de l’État.
La Pologne attribue un cyber incident aux services de renseignement russes.
Son ampleur et la gamme est large. Des e-mails appartenant à des députés et à des représentants du gouvernement ont été consultés, de même que certains e-mails appartenant à des membres de leur famille. L’incident ne semblait pas avoir de parti pris particulier pour ou contre un parti politique, car plusieurs partis ont été touchés. Selon BleepingComputer, les attaques touché au moins trente parlementaires, fonctionnaires et journalistes, la campagne ayant commencé en septembre dernier. The Record indique que l’Agence de sécurité intérieure de la Pologne a informé ses alliés de l’OTAN des récentes cyberattaques russes, dont l’objectif, selon des responsables polonais, a été « » frapper la société polonaise et déstabiliser le pays. » Un diplomate de l’UE au courant de l’incident a déclaré à POLITICO que « vendredi, la Pologne a remis aux États membres de l’UE, à la Commission européenne et au Conseil un document sur les détails des cyberattaques menées à Ces derniers jours. » Ce diplomate a également déclaré que « l’analyse opérationnelle et technique effectuée par les équipes nationales polonaises de réponse aux incidents de cybersécurité a confirmé que l’infrastructure et le mode opératoire utilisés lors des cyberattaques étaient les mêmes que ceux utilisés par les entités parrainées par la Russie ». – le vol a peut-être été l’œuvre du SVR russe. Les autorités polonaises attribuent la campagne à UNC1151, un acteur menaçant associé aux services de renseignement russes et généralement considéré comme responsable de la campagne Ghostwriter. Selon The Hill, les services de renseignement polonais considèrent la campagne comme faisant partie « Les conclusions de l’Agence de sécurité intérieure et du Service de contre-espionnage militaire montrent que le groupe UNC1151 est à l’origine des récentes attaques de pirates informatiques qui ont frappé la Pologne », a déclaré un porte-parole du ministre polonais coordinateur des services spéciaux. a déclaré. Développez votre marque, générez des prospects et remplissez ce sal es funnel.Chaque mois, nos programmes touchent plus d’un quart de million d’auditeurs uniques qui se soucient de la cybersécurité, y compris certains des leaders et décideurs les plus influents de l’industrie. Du Fortune 10 aux startups émergentes, nous avons des options pour vous aider à atteindre vos objectifs et à adapter votre budget. Contactez-nous dès aujourd’hui pour obtenir notre kit média et en savoir plus sur les opportunités de parrainage.
Crime et Châtiment.
un suicide apparent. Plus tôt dans la journée, un tribunal espagnol avait décidé que McAfee serait extradé vers les États-Unis, où il était accusé d’évasion fiscale. McAfee avait 75 ans.
Politiques, achats et actions des agences.
Le nouveau Centre aspire à se rapprocher des entreprises américaines. On espère que le partage d’informations sur les attaques sera mutuellement bénéfique, d’autant plus que les entreprises qui exploitent des parties d’infrastructures critiques sont de plus en plus attaquées.