Ingénierie sociale via call center. La Pologne attribue un cyber incident aux services de renseignement russes.

Par le personnel de CyberWire

Ingénierie sociale via call center.

Microsoft suit une campagne BazaCall active, rapporte ZDNet. Palo Alto Networks a décrit le mois dernier comment BazaCall sécurise les systèmes Windows vulnérables avec le malware BazaLoader.

Une note sur le nom : les tweets de Microsoft ont appelé la campagne et le malware « BazaCall » et « BazaLoader », respectivement. La plupart des autres appellent la campagne et le malware « BazarCall » et « BazarLoader ». Dans tous les cas, il s’agit de la même menace.

Les opérateurs de BazarCall utilisent, en effet, un centre d’appels comme maillon majeur de leur chaîne d’ingénierie sociale. L’arnaque commence par un e-mail de phishing informant le destinataire que son abonnement d’essai gratuit à un service est sur le point d’expirer et que, à moins qu’il n’appelle un numéro pour l’annuler, il sera automatiquement inscrit et, bien sûr, facturé pour l’abonnement. Les exemples d’e-mails dont Microsoft partage des captures d’écran dans leurs tweets sont manifestement faux : ZonerPhoto et Prepear Cooking sont les deux exemples de phishbait qu’ils donnent.

vous être persuadé d’appeler, l’opérateur (qui est bien sûr en attente) vous dirigera vers un site où vous êtes censé télécharger un fichier Excel que vous pouvez utiliser, selon l’opérateur, pour annuler votre abonnement ou refuser la mise à niveau vers unservice premium, ou ainsi de suite. Si vous êtes assez imprudent pour suivre les instructions de l’opérateur, vous serez dirigé vers un site qui propose un fichier Excel comme promis, mais avec des macros malveillantes conçues pour livrer la charge utile. Cette charge utile a été BazarLoader.

Plus récemment, selon Microsoft, le gang a utilisé Cobalt Strike pour voler des informations d’identification (y compris la base de données Active Directory des victimes) et exfiltrer des données via rclone. La campagne est difficile à arrêter par des moyens techniques, observe Microsoft. L’e-mail initial ne contient aucun lien ni aucune pièce jointe, qui sont les éléments habituels qui déclenchent des avertissements.

Livre blanc gratuit : Ransomware in ICSRansomware est devenu une menace croissante pour les organisations industrielles pour les environnements informatiques et OT. Depuis 2018, les incidents de ransomware contre les infrastructures industrielles ont augmenté de plus de 500 %. Lisez ce livre blanc pour découvrir 9 recommandations de Dragos, l’équipe de cybersécurité industrielle la plus importante et la plus expérimentée du secteur, pour protéger votre environnement contre les attaques de ransomware.

Téléchargez le livre blanc ici.

Le ransomware LV est réchauffé par REvil.

Secureworks a examiné la souche de ransomware LV qui est en circulation, et ils ont conclu que LV est essentiellement un REvil réchauffé, et pas vraiment une souche distincte du tout.

Comment LV en est venu à partager la même structure de code que REvil n’est pas tout à fait clair. Les propriétaires de REvil, que Secureworks appelle « Gold Southfield », et qui ont succédé aux opérateurs de GandCrab au moment de la retraite (ou de la dispersion ou du changement de marque) de ce gang au printemps 2019, l’ont peut-être vendu, l’ont fait voler ou l’ont échangé avec un partenaire criminel pour d’autres considérations. Il n’y a aucune preuve immédiate que les opérateurs de LV (que Secureworks appelle « Gold Northfield ») gèrent leur propre programme d’affiliation, mais Secureworks pense qu’il est possible qu’il en soit un en perspective.

ReverseRAT est peut-être un outil de cyberespionnage pakistanais.

Black Lotus Labs de Lumen a décrit un nouveau cheval de Troie qu’ils appellent « ReverseRat ». Le malware est déployé dans des opérations de cyberespionnage contre des cibles du gouvernement et du secteur énergétique en Asie du Sud et centrale.

Son infrastructure est hébergée au Pakistan, et Black Lotus Labs attribue provisoirement la campagne au gouvernement pakistanais. ReverseRat est considéré comme inhabituellement évasif, avec de faibles taux de détection par le logiciel de surveillance. La manière dont la première étape de l’attaque est menée n’est pas tout à fait claire.

Cela implique de fournir des URL malveillantes qui pointent vers des sites compromis, et Lumen suppose que les documents appâtés arrivent probablement via une forme de phishing ou de smishing. L’hameçonnage est varié, mais les documents faisant allusion à des événements ou à des organisations en Inde sont courants. Lumen a également vu des hameçons COVID-19 et des sujets susceptibles d’intéresser les personnes travaillant dans le secteur de l’énergie.

La plupart des victimes se trouvaient en Inde, avec un plus petit nombre de cibles en Afghanistan.Obtenez une maîtrise en cybersécurité à temps partiel et en ligne à Georgetown.Vous cherchez à faire progresser votre carrière en cybersécurité ? Découvrez le programme d’études supérieures de l’Université de Georgetown en gestion des risques de cybersécurité.

Idéal pour les professionnels en activité, notre programme offre des options flexibles pour suivre des cours en ligne, sur le campus ou en combinant les deux, de sorte que vous n’ayez pas à interrompre votre carrière pour obtenir votre diplôme. Vous quitterez le programme avec l’expertise dont vous avez besoin pour gérer efficacement les risques et faire face aux cybermenaces de plus en plus complexes d’aujourd’hui. Découvrez le programme.

Les annonces Google achetées servent Redline Stealer.

eSentire rapporte avoir trouvé des publicités Google malveillantes pour les applications de messagerie Signal et Telegram qui incitent les visiteurs à télécharger Redline Stealer, un logiciel malveillant de collecte d’informations que les criminels vendent ensuite dans divers souks du Web sombre. Ce ne sont pas seulement Signal et Telegram qui sont truqués pour diffuser du contenu malveillant.

eSentire dit que d’autres ont vu une activité similaire se faisant passer pour AnyDesk ou Dropbox. Dans ce cas, les acteurs de la menace utilisent des pages de téléchargement falsifiées de manière convaincante pour les applications. Les utilisateurs qui tentent d’obtenir ces applications lors de leur visite seront « socialement conçus », comme le dit eSentire, lors du téléchargement et de l’initialisation de Redline Infostealer.

eSentire note : « Bien que nous ne connaissions pas le montant total que les cybercriminels ont dépensé pour les annonces Google, nous savons que l’achat du mot-clé ‘Telegram’ peut coûter 0,40 USD par clic, tandis que le mot-clé ‘Signal’ peut coûter jusqu’à 1,40 USD. par clic. »

Problèmes de chaîne d’approvisionnement dans la base industrielle de défense des États-Unis.

Les incidents de Colonial Pipeline et de ransomware JBS ont soulevé des inquiétudes concernant deux secteurs d’infrastructure critiques, et des rapports récents ont suggéré que le secteur de l’eau et des eaux usées a également été attaqué plus souvent qu’on ne le pensait. Ce matin, BlueVoyant a publié une étude de la base industrielle de défense américaine qui conclut que ce secteur présente également des vulnérabilités importantes, en particulier parmi ses petites entreprises. La moitié des trois cents petites et moyennes entreprises étudiées se sont révélées extrêmement vulnérables aux ransomwares ; 28 % n’ont pas répondu aux exigences du CMMC.

Si l’une de ces entreprises est infectée, il existe un risque de perturbation des chaînes d’approvisionnement dans lesquelles l’entreprise figure. Il est également possible que le ransomware se propage de la victime initiale aux partenaires, aux maîtres d’œuvre et aux sous-traitants. L’hypothèse sur laquelle les attaquants (qu’il s’agisse de criminels, d’espions, de corsaires ou de saboteurs) semblent susceptibles de travailler, écrit le Washington Post ce matin, est que les petites entreprises sont intrinsèquement moins susceptibles d’être bien protégées contre les cyberattaques que les plus grandes entreprises du secteur de la défense.

Rapport de position de faux navire de guerre.

Deux navires de guerre de l’OTAN, le navire néerlandais Evertsen et le HMS Defender de la Royal Navy, opérant dans la mer Noire et visitant le port ukrainien d’Odessa, auraient été à tort déplacés vers des eaux contestées à proximité du port revendiqué par la Russie de Sébastopol. L’USNI News rapporte qu’il semble que les signaux du système d’identification automatique (AIS) aient été falsifiés pour donner l’impression que les navires de guerre s’étaient engagés dans ce qui aurait effectivement été une provocation.

En fait, les deux navires sont restés à Odessa. Si les rapports AIS ont été délibérément falsifiés et par qui, ou si l’incident a impliqué un dysfonctionnement, la manière dont la fausse déclaration s’est produite reste incertaine. (Si vous n’êtes pas familier avec l’AIS, le détaillant britannique d’électronique ICOM a un aperçu utile du système sur son site.

) La plupart des navires commerciaux doivent être équipés d’AIS, qui est une aide précieuse pour éviter les collisions, entre autres. Les navires de guerre transportent également généralement l’AIS, bien que pour des raisons de sécurité, ils puissent l’éteindre si nécessaire, car leurs emplacements sont souvent sensibles. Mais les marines aussi s’intéressent à la sécurité du transit : en 2017, par exemple, à la suite de deux collisions mortelles entre des navires de guerre de l’US Navy et des navires commerciaux, par exemple, l’US Navy a demandé à ses navires d’activer leur AIS dans les eaux à fort trafic.

Il y en a donc plusieurs. points de la chaîne électronique auxquels les positions AIS des deux navires de guerre de l’OTAN dans la mer Noire auraient pu être truquées, mais il semble qu’Evertsen et Defender se trouvaient à Odessa, où ils appartenaient, et avaient tous les droits d’être. Encore une fois, la façon dont les emplacements ont été mal signalés reste, pour l’instant, inconnue, mais l’incident s’est produit au cours d’une opération de liberté de la mer au cours de laquelle les forces russes ont défié et harcelé un navire de guerre britannique dans les eaux internationales contestées.

Defense One a un rapport sur cet incident, qui, selon lui, montre la détermination de la Russie à revendiquer les eaux autour de la péninsule de Crimée, illégalement saisies en Ukraine en 2014.Rejoignez Rick Howard et notre équipe d’experts pour une diffusion en direct. Les appels trimestriels aux analystes de CyberWire Pro sont essentiels pour tous ceux qui cherchent à améliorer leur sensibilisation à la cybersécurité.

Chaque discussion est dirigée par Rick Howard et comprend deux invités, où ils discutent des événements cruciaux de cybersécurité des 90 derniers jours. Cet appel trimestriel a lieu le mercredi 30 juin à 14 h HE. Le Dr Georgianna Shea de la Fondation pour la défense des démocraties (FDD) et Benjamin Yelin du Centre UMD pour la santé et la sécurité intérieure se joindront à Rick ce trimestre.

Apprendre encore plus.

Kimsuky se croyait responsable d’une brèche dans un institut de recherche nucléaire sud-coréen.

L’Institut sud-coréen de recherche sur l’énergie atomique (KAERI) a révélé à la fin de la semaine dernière que plusieurs parties non autorisées avaient obtenu l’accès aux réseaux internes du KAERI.

The Record rapporte qu’une partie de l’infrastructure utilisée dans l’intrusion était attribuable au groupe nord-coréen Kimsuky. KAERI avait initialement nié que l’incident se soit produit. L’institut s’est excusé vendredi pour ses déclarations antérieures.

Selon BleepingComputer, l’intrusion a eu lieu le 14 juin et l’auteur de la menace a eu accès via une faille VPN. Plus tôt ce mois-ci, Malwarebytes Lab a publié un rapport sur Kimsuky, un acteur menaçant dont on pense généralement qu’il travaille pour le Bureau général de reconnaissance de la République populaire démocratique de Corée. Malwarebytes a répertorié un grand nombre de cibles :

  • le ministère des Affaires étrangères, République de Corée, 1er secrétaire,
  • le ministère des Affaires étrangères, République de Corée, 2e secrétaire,
  • le ministre du Commerce,
  • le consul général adjoint au consulat général de Corée à Hong Kong,
  • le responsable de la sécurité nucléaire de l’Agence internationale de l’énergie atomique (AIEA),
  • l’Ambassadeur de l’Ambassade du Sri Lanka en République de Corée, et
  • le conseiller du ministère des Affaires étrangères et du Commerce

La Norvège attribue une violation de ses réseaux gouvernementaux en 2018 à l’APT31 de la Chine.

La Norvège a attribué une violation en 2018 de son réseau informatique gouvernemental à la Chine. Plus précisément, le Service de sécurité de la police (PST) a déclaré que l’incident de cyberespionnage était l’œuvre de l’APT31. « L’enquête a révélé que l’acteur a réussi à acquérir des droits d’administrateur lui donnant accès aux systèmes informatiques centralisés utilisés par tous les bureaux de l’administration publique du pays », a déclaré le PST, ajoutant que « l’acteur a également réussi à transférer certaines données des bureaux » systèmes.

Aucune découverte technique fiable n’a été faite sur les informations transférées, mais l’enquête montre qu’il y avait probablement des noms d’utilisateur et des mots de passe associés aux employés dans divers bureaux de l’administration de l’État.

La Pologne attribue un cyber incident aux services de renseignement russes.

Varsovie affirme que sa récente cyberattaque était l’œuvre de Moscou, ou du moins l’œuvre d’acteurs de la menace travaillant depuis la Russie.

Des membres supérieurs du gouvernement polonais se sont rencontrés la semaine dernière pour une discussion à huis clos sur un incident de piratage de courrier électronique. Vendredi, le vice-Premier ministre Jaroslaw Kaczynski a déclaré, comme Reuters le cite : « L’analyse de nos services et des services secrets de nos alliés nous permet d’affirmer clairement que la cyberattaque a été menée depuis le territoire de la Fédération de Russie. Son ampleur et la gamme est large.

Des e-mails appartenant à des députés et à des représentants du gouvernement ont été consultés, de même que certains e-mails appartenant à des membres de leur famille. L’incident ne semblait pas avoir de parti pris particulier pour ou contre un parti politique, car plusieurs partis ont été touchés. Selon BleepingComputer, les attaques touché au moins trente parlementaires, fonctionnaires et journalistes, la campagne ayant commencé en septembre dernier.

The Record indique que l’Agence de sécurité intérieure de la Pologne a informé ses alliés de l’OTAN des récentes cyberattaques russes, dont l’objectif, selon des responsables polonais, a été « » frapper la société polonaise et déstabiliser le pays. » Un diplomate de l’UE au courant de l’incident a déclaré à POLITICO que « vendredi, la Pologne a remis aux États membres de l’UE, à la Commission européenne et au Conseil un document sur les détails des cyberattaques menées à Ces derniers jours. » Ce diplomate a également déclaré que « l’analyse opérationnelle et technique effectuée par les équipes nationales polonaises de réponse aux incidents de cybersécurité a confirmé que l’infrastructure et le mode opératoire utilisés lors des cyberattaques étaient les mêmes que ceux utilisés par les entités parrainées par la Russie ».

– le vol a peut-être été l’œuvre du SVR russe. Les autorités polonaises attribuent la campagne à UNC1151, un acteur menaçant associé aux services de renseignement russes et généralement considéré comme responsable de la campagne Ghostwriter. Selon The Hill, les services de renseignement polonais considèrent la campagne comme faisant partie « Les conclusions de l’Agence de sécurité intérieure et du Service de contre-espionnage militaire montrent que le groupe UNC1151 est à l’origine des récentes attaques de pirates informatiques qui ont frappé la Pologne », a déclaré un porte-parole du ministre polonais coordinateur des services spéciaux.

a déclaré. Développez votre marque, générez des prospects et remplissez ce sal es funnel.Chaque mois, nos programmes touchent plus d’un quart de million d’auditeurs uniques qui se soucient de la cybersécurité, y compris certains des leaders et décideurs les plus influents de l’industrie.

Du Fortune 10 aux startups émergentes, nous avons des options pour vous aider à atteindre vos objectifs et à adapter votre budget. Contactez-nous dès aujourd’hui pour obtenir notre kit média et en savoir plus sur les opportunités de parrainage.

Crime et Châtiment.

SecurityWeek rapporte que les autorités françaises ont inculpé quatre anciens et actuels dirigeants de Nexa Technology, une société d’interception anciennement connue sous le nom d’Amesys, pour complicité de torture perpétrée par l’Égypte et le régime libyen de feu Mouammar Kadhafi. Les chefs d’inculpation sont « complicité d’actes de torture » et « complicité d’actes de torture et de disparitions forcées ». Amesys avait vendu des outils d’inspection approfondie des paquets à la Libye du colonel Kadhafi, et les accusations allèguent que le gouvernement libyen les a utilisés pour la surveillance et l’arrestation de personnalités de l’opposition qui ont ensuite été torturées.

Après son changement de marque sous le nom de Nexa, la société est accusée d’avoir vendu une version du logiciel « Cerebro » d’Amesys, capable de traquer les messages et les appels en temps réel, au gouvernement égyptien, qui l’aurait utilisé de manière tout aussi répressive. Le problème réside dans la sélection du client. Le ministère américain de la Justice a saisi mardi trente-trois sites Internet utilisés par l’Union islamique de la radio et de la télévision iranienne et trois autres gérés par Kataib Hezbollah.

Alignés sur le gouvernement iranien, les médias opéraient en violation des sanctions américaines contre des groupes terroristes désignés. Les domaines saisis par Justice appartenaient à une société américaine. D’autres sites basés à l’étranger dépassaient la portée du mandat.

L’infraction immédiate, notez-le, concerne les violations des sanctions, et non l’engagement dans la propagande ou la désinformation. L’ambivalence de la politique et de la réglementation américaines officielles peut compliquer les réponses des victimes aux attaques de ransomware. Alors que le FBI décourage le paiement d’une rançon, de tels paiements peuvent être déductibles des impôts, rapporte AP.

Reuters rapporte que le pionnier de l’antivirus commercial John McAfee est décédé mercredi dans une prison de Barcelone, un suicide apparent. Plus tôt dans la journée, un tribunal espagnol avait décidé que McAfee serait extradé vers les États-Unis, où il était accusé d’évasion fiscale. McAfee avait 75 ans.

Politiques, achats et actions des agences.

The Economist considère cette convergence de la cybercriminalité et du piratage informatique comme une caractéristique déterminante du vol de banque de nouvelle génération. Que ce soit sous la forme de corsaires, comme les observateurs l’ont vu dans les activités des gangs russes de ransomware, ou dans la tolérance étatique de la cybercriminalité, une lecture plus charitable des activités des gangs russes, ou encore dans le vol direct par les États eux-mêmes, comme on le voit dans les opérations du groupe Lazarus de la Corée du Nord, la relation peut être étroite, complexe et niable.

Le communiqué de l’OTAN publié la semaine dernière après son sommet de Bruxelles (et deux jours avant la réunion de mercredi entre le président russe Poutine et le président américain Biden) traitait du cyber conflit. L’Alliance atlantique a commencé par réitérer son attachement à l’article 5, l’accord collectif de défense en vertu duquel une attaque contre un membre est considérée comme une attaque contre tous. Il a également appelé le rythme croissant des opérations hybrides russes, notamment les cyberopérations, la désinformation et la tolérance de la cybercriminalité.

En cas de cyberattaque, le Conseil de l’Atlantique Nord déciderait au cas par cas s’il convient d’invoquer l’article 5. Les rapports sociaux que le sous-secrétaire adjoint américain à la Défense pour la cyberpolitique Mieke Eoyang a déclaré au sous-comité sénatorial des forces armées sur Cyber ​​qui, malgré les complications impliquant le droit international, l’histoire de la suppression du piratage contient des leçons précieuses pour faire face aux attaques de ransomware actuelles. Elle semble avoir en tête les pirates barbaresques, tolérés et encouragés par les autorités tripolitaines, et non les combattants légaux qui ont navigué en vertu de lettres de marque et de représailles.

Reuters rapporte que la NSA américaine a ouvert un Cybersecurity Collaboration Center. Le nouveau Centre aspire à se rapprocher des entreprises américaines. On espère que le partage d’informations sur les attaques sera mutuellement bénéfique, d’autant plus que les entreprises qui exploitent des parties d’infrastructures critiques sont de plus en plus attaquées.

Tags: