COVID-19 : VEILLE CYBERSÉCURITÉ #15 – 21 juillet 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le chargeur et la porte dérobée Bazar 

Attaque : Un nouveau chargeur et une porte dérobée Bazar profite de la pandémie du COVID-19 pour déployer des logiciels malveillants et voler des données sensibles
Procédé : Campagne de phishing
Cible : Entités privées aux Etats-Unis et en Europe dont le secteur médical et industriel
Date de publication : 16/07/2020
Lien(s) :
https://www.cybereason.com/blog/a-bazar-of-tricks-following-team9s-development-cycles

Description :

Bazar (aussi connu sous le nom de Team9) est une nouvelle famille de logiciels malveillants qui a fait son apparition en avril 2020 et qui n’a cessé d’évoluer depuis. Ce logiciel malveillant est probablement un successeur de TrickBot comme Anchor. Bazar étant en développement actif, les campagnes disparaissent pour réapparaitre plus tard avec une nouvelle version du logiciel malveillant.

Bazar exploite la plateforme de messagerie Twilio SendGrid et échappe aux logiciels de sécurité traditionnels en abusant de la confiance des autorités de certification, tout comme les précédents chargeurs Trickbot. Ce chargeur, cependant, utilise des domaines EmerDNS (.bazar, d’où le nom) pour le serveur de commande et de contrôle (C&C) et est fortement obfusqué. Il utilise également des techniques d’anti-analyse pour contrecarrer les analyses automatiques et manuelles, de plus il charge la porte dérobée chiffrée uniquement en mémoire.

Mode opératoire :

Bazar est déployé au travers de campagne d’hameçonnage ayant pour sujet le COVID-19, les plaintes de clients ou des rapports sur les salaires d’employés. Là où les campagnes plus courantes utilisent des pièces jointes malveillantes pour lancer des macros Microsoft Office, les mails de Bazar contiennent des liens vers des aperçus de documents Google Docs.

Lorsque l’utilisateur accède au Google Doc, il est encouragé à télécharger le fichier. Afin de pousser l’utilisateur à télécharger le document, la page stipule que l’aperçu n’est pas disponible.

Le fichier téléchargé est un exécutable à double-extension (tels que PreviewReport.DOC.exe ou Preview.PDF.exe) utilisant respectivement les icones Word et PDF. Comme Windows n’affiche pas les extensions de fichiers par défaut, la plupart des utilisateurs verront “PreviewReport.DOC” ou “Preview.PDF” et les ouvriront en pensant qu’il s’agit de documents Word et PDF légitimes.

Après qu’une victime ait lancé le fichier téléchargé, le chargeur se met en veille pendant une courte période, puis se connecte aux serveurs de commande et de contrôle pour s’enregistrer et télécharger la charge malveillante.

Bazar est ensuite utilisé pour déployer des logiciels malveillants supplémentaires, des logiciels de rançon, et finalement voler des données sensibles aux organisations.

 

Menaces

Attaque : Le groupe APT29 est accusé d’avoir volé des informations confidentielles sur le COVID-19 à des universités et des centres de recherches aux Etats-Unis, au Royaume-Uni et au Canada
Procédé : Logiciels malveillants « WellMess » et « WellMail »
Cible : Universités et centres de recherches
Date de publication : 16/07/2020
Description : Selon les agences de sécurité des trois pays, le groupe d’attaquants APT29, lié aux services secrets russes, aurait tenté de s’introduire dans le réseau informatique des universités et des centres des recherches travaillant sur des vaccins contre le COVID-19. Également appelé « Cozy Bear », le groupe a utilisé des logiciels malveillants personnalisés pour cibler les VPN et a mené des campagnes de phishing pour obtenir des mots de passe. Les IOCs sont disponibles en annexe à la publication du NCSC.
Lien(s) :
https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development

 

Fraudes

Attaque : Des cybercriminels imitent « impôts.gouv » dans une campagne de phishing qui utilise une bourse de déconfinement comme leurre
Procédé : Phishing/Usurpation d’identité
Surface/Application : Messagerie
Date de publication : 06/07/2020
Description : Les attaquants ont usurpé l’identité de la Direction générale des Finances publiques pour voler des données confidentielles. Après l’envoi d’un SMS provenant de « ImpotFrance » contenant un faux numéro de référence de dossier, les victimes sont incitées à cliquer sur un lien Bitly amenant vers un site web frauduleux. Une fois ouvert, un formulaire s’affiche pour effectuer une demande de bourse. Les victimes sont invitées à renseigner leurs informations personnelles puis leurs coordonnées bancaires.
Lien(s) :
https://cyberguerre.numerama.com/6031-bourse-de-deconfinement-ne-cliquez-pas-sur-ce-phishing-par-sms-qui-se-fait-passer-pour-les-impots.html#

 

Attaque : Des cybercriminels imitent la Commission Fédérale du commerce des États-Unis (FTC) dans une campagne de phishing sur le thème du COVID-19
Procédé : Phishing
Surface/Application : Messagerie
Date de publication : 30/06/2020
Description : Les e-mails frauduleux prétendent verser une aide financière dans le contexte de la crise sanitaire pour inciter les victimes à fournir leurs informations bancaires. La FTC renvoie vers une page d’information sur la prévention du phishing et rappelle à cette occasion qu’elle ne demande jamais ce type d’information par e-mail, SMS ou par le biais des réseaux sociaux.
Lien(s) :
https://www.consumer.ftc.gov/blog/2020/06/fake-emails-about-fake-money-fake-covid-19-fund

 

Attaque : Une campagne de phishing imite des notifications Zoom pour voler les identifiants de connexion à Microsoft Office 365
Procédé : Campagne de phishing
Surface/Application : Microsoft Office 365
Date de publication : 08/07/2020
Description : Cette campagne de phishing usurpe l’identité des notifications automatisées de Zoom pour voler des informations d’identification Microsoft Office 365. Les attaquants ont incité les victimes à cliquer sur un lien frauduleux afin de pouvoir réactiver leur compte Zoom. Ce lien les redirige vers une fausse page de connexion Microsoft hébergée sur un autre domaine.
Lien(s) :
https://abnormalsecurity.com/blog/abnormal-attack-stories-spoofed-zoom-attack/

 

Attaque : Une campagne de phishing usurpe l’identité du Internal Revenue Service (IRS) des États-Unis pour voler des identifiants de connexion Microsoft
Procédé : Phishing
Surface/Application : Messagerie
Date de publication : 09/07/2020
Description : Les e-mails frauduleux prétendent que leurs cibles peuvent obtenir un allègement fiscal grâce au COVID-19 pour les inciter à ouvrir une pièce jointe HTML redirigeant vers un faux site de connexion à Microsoft. Une fois les informations d’authentification des victimes obtenues, un script PHP les renvoie aux cybercriminels.
Lien(s) :
https://cofense.com/new-covid19-microsoft-phish-abuse-185-act-steal-credentials/

 

Ressources utiles

Type de ressource : LinkedIn propose des cours gratuits pour développer ses compétences digitales face à l’impact économique du COVID-19  
Cible : Grand public/Entités publiques et privées
Date de publication : 30/06/2020
Description : Dans le cadre de la Global Skill Initiative lancée par Microsoft, LinkedIn partage des formations gratuites aux 10 emplois les plus recherchés par les recruteurs sur leur plateforme. Concernant les compétences digitales, des formations à des emplois au sein des directions des systèmes d’information (DSI) et de développeur logiciel sont proposées. En complément, le réseau social propose des formations à l’emploi des outils de collaboration à distance tels que Microsoft Teams, Google Drive ou Excel Online.
Lien(s) :
https://blog.linkedin.com/2020/june/30/helping-25-million-job-seekers-get-back-to-work

 

Type de ressources : La Task Force nationale de lutte contre les fraudes et escroqueries publie un guide de prévention sur le déconfinement et sur les menaces liées au
COVID-19
Cible : Entreprises/particuliers
Date de publication : 02/07/2020
Description : Les services de l’État français et les autorités de contrôle se sont associés pour créer une Task Force de lutte contre les fraudes et les escroqueries dans le contexte du COVID-19. Afin d’assurer une reprise d’activité sereine des entreprises, ce guide permet d’identifier les principales fraudes liées à la crise sanitaire. On peut notamment y trouver des fiches préventives sur les différents types de campagnes de phishing et sur les réglementations des gels hydroalcooliques.
Lien(s) :
https://www.economie.gouv.fr/dgccrf/la-task-force-nationale-de-lutte-contre-les-fraudes-et-escroqueries-se-mobilise-et-propose

 

Type de ressources : Face à la généralisation du télétravail, la NSA fournit un guide pour sécuriser les VPN de sécurité IPsec
Cible : Administrateurs réseau/Secteur fédéral et privé
Date de publication : 01/07/2020
Description : Ce guide propose des directives spécifiques pour sécuriser les réseaux privés en soulignant l’importance d’utiliser une cryptographie forte. Il présente également des documents techniques plus détaillés qui fournissent aux administrateurs réseau des exemples de configuration pour les principaux équipements du marché.
Lien(s) :
https://twitter.com/NSACyber/status/1278707519658041345

 

Type de ressources : Le Centre national pour la cybersécurité du Royaume-Uni (NCSC) lance un exercice pour aider les entreprises à sécuriser le télétravail
Cible : Entités privées
Date de publication : 13/07/2020
Description : Ce nouvel exercice, intitulé « Home and Remote Working », vise à aider les entreprises à tester leur résilience aux cyberattaques dans le cadre du télétravail. Il se concentre sur trois thématiques : sécuriser l’accès des employés au réseau d’entreprise, adopter les services nécessaires pour une collaboration à distance sécurisée et gérer un incident informatique à distance. Cet exercice est intégré à l’outil « Exercice in a Box Toolkit » du NCSC, qui aide les entreprises à tester leur réponse à une cyberattaque. 
Lien(s) :
https://www.ncsc.gov.uk/news/businesses-helped-keep-home-workers-secure-with-cyber-exercise

 

Autres actualités 

Pays :  France
Sujet : La CNIL publie les résultats de ses contrôles de l’application Stop Covid
Date de publication : 20/07/2020
Description : La Commission estime que la dernière version de l’application respecte pour l’essentiel le RGPD et la loi Informatique et Libertés. Elle relève néanmoins certains manquements concernant la publication d’informations sur le fonctionnement de l’application, les obligations des sous-traitants ainsi que les résultats de l’analyse d’impact relative à la protection des données réalisée par le ministère des Solidarités et de la Santé. En conséquence, la CNIL a mis ce dernier en demeure d’y remédier.
Lien(s) :
https://www.cnil.fr/fr/application-stopcovid-la-cnil-tire-les-consequences-de-ses-controles

 

Pays : International
Sujet : Microsoft a pris le contrôle de domaines utilisés dans des campagnes de phishing sur le thème du COVID-19
Date de publication : 07/07/2020
Description : Le 30 juin dernier, Microsoft a engagé une action en justice pour prendre le contrôle de six domaines utilisés dans des campagnes de phishing. Actives depuis décembre 2019, les attaques de compromission de messagerie d’entreprise (BEC) se sont rapidement appuyées sur la crise du COVID-19. Ces campagnes de phishing qui visent directement les comptes de messagerie, redirigent les employés vers des sites frauduleux imitant la page de connexion d’Office 365 pour qu’ils puissent effectuer des transactions commerciales au nom de l’entreprise au bénéfice des cybercriminels.
Lien(s) :
https://blogs.microsoft.com/on-the-issues/2020/07/07/digital-crimes-unit-covid-19-cybercrime/
http://www.documentcloud.org/documents/6982601-Microsoft-civil-complaint-against-COVID-19.html

 

Pays : États-Unis
Sujet : Le U.S. Secret Service annonce la création d’une Task Force de lutte contre les fraudes numériques
Date de publication : 09/07/2020
Description : Issue de la fusion des Task Forces de lutte contre les crimes électroniques et celles dédiées à la lutte contre les crimes financiers, la nouvelle « Cyber Fraud Task Force » (CFTF) vise à prévenir, détecter et limiter les crimes financiers en ligne. Le Secret Service précise que la CFTF améliorera le partage des ressources entre ses services, une méthode qui a démontré son efficacité dans la lutte contre les fraudes numériques exploitant le COVID-19. 
Lien(s) :
https://www.secretservice.gov/data/press/releases/2020/20-JUL/Secret-Service-Cyber-Fraud-Task-Force-Press-Release.pdf

 

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :