Nouvelles Du Monde

L’acteur chinois de la menace utilise un rançongiciel comme distraction. Les scalpers vendent des rendez-vous pour les services gouvernementaux israéliens. Lyceum utilise des hameçons sur le thème des drones. L’importance croissante du chargeur Bumblebee sur les marchés C2C.

L’acteur chinois de la menace utilise un rançongiciel comme distraction. Les scalpers vendent des rendez-vous pour les services gouvernementaux israéliens. Lyceum utilise des hameçons sur le thème des drones. L’importance croissante du chargeur Bumblebee sur les marchés C2C.

En un coup d’œil.

  • L’acteur chinois de la menace utilise un rançongiciel comme distraction.
  • Les scalpers vendent des rendez-vous pour les services gouvernementaux israéliens.
  • Lyceum utilise des hameçons sur le thème des drones.
  • L’importance croissante du chargeur Bumblebee sur les marchés C2C.

L’acteur chinois de la menace utilise un rançongiciel comme distraction.

Les chercheurs de Secureworks sont suivi un acteur chinois parrainé par l’État appelé “BRONZE STARLIGHT” qui utilise un rançongiciel comme couverture pendant qu’il vole la propriété intellectuelle. L’acteur de la menace déploie diverses souches de rançongiciels, notamment LockFile, AtomSilo, Rook, Night Sky et Pandora. Secureworks note que “les ransomwares pourraient empêcher les intervenants d’identifier la véritable intention des acteurs de la menace et réduire la probabilité d’attribuer l’activité malveillante à un groupe de menace chinois parrainé par le gouvernement”.

Les chercheurs déclarent: “À la mi-avril, un total de 21 victimes avaient été répertoriées sur les sites de fuite AtomSilo, Rook, Night Sky et Pandora. Les chercheurs de la CTU estiment qu’environ 75% intéresseraient les groupes parrainés par le gouvernement chinois. axé sur l’espionnage basé sur les emplacements géographiques des victimes et les secteurs verticaux de l’industrie. Les victimes comprennent des sociétés pharmaceutiques au Brésil et aux États-Unis, une organisation de médias basée aux États-Unis avec des bureaux en Chine et à Hong Kong, des concepteurs et fabricants de composants électroniques en Lituanie et au Japon, un cabinet d’avocats aux États-Unis et une division aérospatiale et de défense d’un conglomérat indien.Les cinq victimes qui n’étaient probablement pas ciblées pour l’espionnage comprennent deux sociétés immobilières dans les Amériques, deux petites institutions financières aux États-Unis et une petite entreprise de design d’intérieur en Europe.”

Lire aussi  BioWare a terminé le développement de la version alpha de Dragon Age : Dreadwolf - Gaming - Actualités

Les scalpers vendent des rendez-vous pour les services gouvernementaux israéliens.

Akamaï dit un groupe de scalpers a créé un bot pour récolter les rendez-vous de renouvellement de passeport pour les citoyens israéliens. Le gouvernement israélien fait actuellement face à un arriéré de plus de 700 000 citoyens demandant le renouvellement de leur passeport à la suite de la pandémie, et un groupe de développeurs a récemment publié un bot légitime de prise de rendez-vous appelé « GamkenBot » pour rationaliser ce processus. Peu de temps après, les scalpeurs ont lancé leur propre bot qui vendait des rendez-vous pour divers services gouvernementaux israéliens :

“Le 10 mai, peu de temps après le lancement de GamkenBot, le groupe de rendez-vous MyVisit a été lancé sur une chaîne Telegram. Apparemment, le ministère de l’Intérieur n’est pas le seul bureau gouvernemental à s’appuyer sur le système de rendez-vous de MyVisit. Et donc, le groupe Telegram propose des rendez-vous non seulement pour le renouvellement des passeports, mais aussi pour les rendez-vous pour l’Autorité de la population, la Société d’électricité d’Israël, l’assurance nationale, la poste israélienne, le ministère des Transports, etc.. Les administrateurs prétendent être un groupe de développeurs dont le bot scanne et prend instantanément les rendez-vous ouverts , qui sont ensuite disponibles à l’achat. Des remises sont même prévues pour les acheteurs de 2 rendez-vous ou plus.”

Lire aussi  La France va assister le Monténégro, victime d’une cyberattaque

Bien que ce bot soit apparemment utilisé à des fins financières, Akamai ajoute que la même tactique pourrait également poser un risque pour la sécurité nationale :

« Malheureusement, les implications ne se limitent pas à embobiner directement les citoyens pour les programmes gouvernementaux de base. Cela pourrait ouvrir la porte à toute entité hostile ou chaotique pour fermer non seulement la ligne de passeport du ministère de l’Intérieur, mais aussi l’enregistrement des chauffeurs de camion et de bus. au Ministère des Transports, toute visite à la Compagnie Nationale d’Assurance ou d’Électricité, etc. Et si cette liste s’élargissait pour inclure les rendez-vous chez le médecin ou les procédures hospitalières ? »

Lyceum utilise des hameçons sur le thème des drones.

ClearSky a découvert nouveau logiciel malveillant utilisé par l’acteur menaçant iranien SiameseKitten (également connu sous le nom de Lyceum ou Hexane) :

“Le fichier est téléchargé à partir d’un domaine enregistré le 6 juin et il communique avec un serveur de commande et de contrôle jusque-là inconnu dont l’adresse IP est adjacente à celle du domaine. Cela indique qu’un attaquant contrôle au moins deux adresses IP sur la même plage. Le fichier téléchargé est un reverse shell qui imite une mise à jour d’Adobe. Le groupe a déjà utilisé cette méthode. Le reverse shell est déposé par un fichier parent signé avec un faux certificat Microsoft, accompagné d’un document PDF leurre et d’un exécutable conçu pour établir la persistance. . Il semble y avoir une utilisation partagée de faux certificats Microsoft par divers groupes iraniens, comme Phosphorus a déjà été observé en utilisant la même méthode. De plus, le document PDF leurre concerne des attaques de drones menées en Iran, ressemblant à un document similaire précédemment utilisé par Chaton siamois.”

Lire aussi  Le film » – Page d'accueil de Superman

Bumblebee monte sur le marché C2C.

L’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, ce matin publié un rapport sur le chargeur Bumblebee. Les chercheurs le caractérisent comme “un chargeur de logiciels malveillants récemment développé” et affirment qu’il “est rapidement devenu un élément clé dans un large éventail d’attaques de cybercriminalité et semble avoir remplacé un certain nombre d’anciens chargeurs, ce qui suggère que c’est le travail d’acteurs établis et que la transition vers Bumblebee était pré-planifiée.” La rapidité avec laquelle Bumblebee a atteint une position centrale sur les marchés criminels à criminels indique non seulement l’efficacité relative du marché C2C, mais la mesure dans laquelle il en est venu à ressembler au fonctionnement des marchés légitimes. “Les liens de Bumblebee avec un certain nombre d’opérations de rançongiciels de haut niveau suggèrent qu’il se trouve désormais à l’épicentre de l’écosystème de la cybercriminalité”, conclut l’équipe Symantec Threat Hunter. “Toute organisation qui découvre une infection Bumblebee sur son réseau doit traiter cet incident avec une priorité élevée car il pourrait être la voie vers plusieurs menaces dangereuses de ransomware.” Leur étude comprend une longue série d’indicateurs de compromis.

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bourse Bundesliga Chine Culture Des sports Divertissement Divertissement entreprise Football funny fyp Guerre International Israël Journal sud-allemand la criminalité La publicité MLB monde musique Médias nba NFL NOUS nouvelles politique Pomme publicité Russie Santé santé Science Sciences et technologies Société sport Sports technologie Ukraine vidéo Économie États Unis économie