COVID-19 : VEILLE CYBERSÉCURITÉ #19 – 10 septembre 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur  le mineur de cryptomonnaie LEMON_DUCK

Attaque : LEMON_DUCK est distribué dans des campagnes de phishing utilisant des leurres COVID-19
Procédé : Phishing
Cible : Entreprises
Date de publication : 25/08/2020
Lien(s) :
https://news.sophos.com/en-us/2020/08/25/lemon_duck-cryptominer-targets-cloud-apps-=linux/
https://nvd.nist.gov/vuln/detail/CVE-2007-2447
https://nvd.nist.gov/vuln/detail/CVE-2017-8464
https://nvd.nist.gov/vuln/detail/CVE-2017-8570
https://nvd.nist.gov/vuln/detail/CVE-2017-0144

Description 

Les attaquants profitent de l’épidémie mondiale de COVID-19 pour réaliser une campagne de phishing via courriel. Le contenu a principalement pour thème le coronavirus et dispose d’une pièce jointe (document Microsoft Word) malveillante. Lorsque les victimes ouvrent la pièce jointe, une charge malveillante est déployée sur le système via la CVE-2017-8570.

Windows

Dans un premier temps, à la manière d’un ver, LEMON_DUCK va récupérer la liste des contacts Outlook et leur envoyer un e-mail piégé se présentant de la même manière que celui initialement envoyé (le sujet et le contenu sont générés automatiquement par le code du malware).

Une fois la cible infectée, si cette dernière est vulnérable à CVE-2020-0796 (SMBGHOST), le malware va corriger la faille, notamment pour éviter que d’autres attaquants ne puissent l’utiliser.

Le malware génère ensuite des adresses IP aléatoires et les scanne sur le réseau interne. Il s’intéresse aux ports 445/TCP (SMB), 1433/TCP (MS-SQL server), ou 65529/TCP, recherchant une machine vulnérable à CVE-2017-0144 (ETERNAL BLUE), à CVE-2020-0796 (SMBGHOST), ou alors possédant un service MS-SQL, pour réaliser un brute-force sur l’authentification.

Le malware créé également des raccourcis de type «.lnk » (CVE-2017-8464) et des DLL malveillantes sur les médias amovibles connectés et les disques réseaux accessibles. Ces différentes techniques ont pour but de se propager sur le réseau interne.

Dans un second temps, le malware déploie un mineur de cryptomonnaie en mémoire, ne laissant pas de traces sur le système de fichiers.

Linux

Depuis quelques semaines, le malware a la capacité de se propager sur des systèmes Linux.

Pour cela, il va scanner le réseau interne à la recherche du service SSH (port 22/TCP) ouvert et effectue une attaque par dictionnaire sur le compte root. En cas de réussite, le malware ajoute une persistance sur le système via une tâche planifiée (cron). Il essaye ensuite de se propager sur d’autres serveurs internes en analysant les « known hosts » du système et en réitérant sa procédure.

Pour finir, le malware recherche des traces de mineurs de cryptomonnaies en exécution afin de les arrêter pour être le seul à être exécuté sur la machine.

Autres systèmes

Le malware dispose également d’un module permettant la détection de clusters de serveurs Hadoop à travers un scan du service accessible sur le port 8088/TCP. Il essaye ensuite de créer une nouvelle instance d’application via une requête « POST » spécialement conçue. Si aucune authentification n’est requise, alors le malware peut exécuter du code malveillant dans l’instance.

De même, le malware recherche un serveur REDIS via un scan du port 6379/TCP. Si ce dernier n’est pas configuré correctement, il injecte du code malveillant dans la base de données et créé une persistance via une tache planifiée.

Les développeurs du malware sont très actifs et déploient régulièrement de nouvelles versions. Cela leur permet notamment de contourner certaines techniques de détection mais aussi d’embarquer de nouveaux outils.

 

Menaces

Attaque : Des cybercriminels visent les employés en télétravail dans des campagnes de phishing par téléphone (vishing)
Procédé : Social Engineering/Vishing
Cible : Entités privées
Date de publication : 20/08/2020
Description : Alors que la pandémie de COVID-19 a démocratisé le télétravail, des cybercriminels ont collecté des informations sur les employés des entreprises visées avant de les appeler directement en usurpant l’identité de leurs collègues ou d’un technicien du support informatique. Ils les ont ensuite convaincus de renseigner leurs identifiants de connexion au VPN de l’entreprise directement ou par le biais d’une fausse page de connexion. Une fois ces informations acquises, les cybercriminels peuvent mener de nouvelles attaques.  
Lien(s) :
https://assets.documentcloud.org/documents/7041919/Cyber-Criminals-Take-Advantage-of-Increased.pdf

 

Attaque : Un groupe hospitalier américain victime du ransomware REvil
Procédé : Ransomware/Divulgation de données  
Cible : Valley Health Systems
Date de publication : 27/08/2020
Description : Lors d’une opération de surveillance, les chercheurs de Cybleinc ont constaté que les opérateurs du ransomware REvil avaient divulgué sur Internet des informations confidentielles sur des patients telles que des rapports d’analyse médicale et des fichiers médicaux. Les cybercriminels ont menacé de publier d’autres données si le groupe hospitalier ne payait pas une rançon. En cette période de COVID-19, les attaques contre les centres médicaux se multiplient, à l’image du United Memorial Medical Center de Houston, récemment victime du ransomware Maze.
Lien(s) :
https://cybleinc.com/2020/08/27/revil-allegedly-targets-another-healthcare-organization/
https://www.databreaches.net/already-in-the-midst-of-a-crisis-a-houston-hospital-was-attacked-by-ransomware/

 

Attaque : Le groupe Transparent Tribe à l’origine d’une copie malveillante de l’application de traçage numérique indienne
Procédé : Phishing/Application malveillante
Cible : Grand public/Personnel militaire en Inde
Date de publication : 26/08/2020
Description : Par le biais de campagnes de phishing sur les réseaux sociaux et par SMS, les cybercriminels ont distribué un fichier APK imitant l’application de traçage des contacts « Aarogya Setu » et diffusant une version modifiée du malware AhMyth. Ce dernier permet d’espionner l’appareil compromis en accédant à ses fichiers, ses échanges de SMS, sa localisation, son microphone et comprend de nouvelles fonctionnalités facilitant l’extraction de données.
Lien(s) : https://securelist.com/transparent-tribe-part-2/98233/

 

Attaque : Une campagne de phishing exploite le COVID-19 pour diffuser le RAT Agent Tesla
Procédé : Phishing/malware
Cible : Entreprises diverses
Date de publication : 27/08/2020
Description : Au vu des nouvelles réglementations sanitaires concernant le port du masque généralisé en entreprise, des cybercriminels ont mené des campagnes de phishing prétendant fournir des masques et des thermomètres frontaux pour distribuer le RAT Agent Tesla. Les cybercriminels ont usurpé l’identité de fabricants de produits chimiques et d’entreprises d’import/export dans des e-mails contenant une pièce jointe nommée « Supplier-Face Mask Forehead Thermometer.pdf.gz », qui est en réalité un exécutable compressé. Une fois que la victime l’ouvre, le malware s’exécute sur la machine infectée.
Lien(s) :
https://www.area1security.com/blog/facemask-phishing-agent-tesla-malware/

 

Attaque : L’ANSSI alerte sur des campagnes de phishing exploitant notamment le COVID-19 pour diffuser le cheval de Troie Emotet
Procédé : Phishing
Cible : Entités publiques et privées
Date de publication : 07/09/2020
Description : Distribué via des campagnes de phishing exploitant notamment le COVID-19, Emotet permet aux cybercriminels de récupérer les mots de passe et le contenu des boîtes mail. Ces derniers exploitent alors ces informations pour créer de nouvelles campagnes de spear-phishing ou mettre en place une technique de détournement des fils de discussion des e-mails afin de propager le malware au sein du réseau infecté. 
Lien(s) : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/

 

Fraudes

Attaque : Des cybercriminels se font passer pour l’Assurance Maladie française et escroquent des assurés
Procédé : Phishing
Surface/Application : Plateforme « ameli.fr » et dispositif « Contact Covid »
Date de publication : 18/08/2020
Description :  L’Assurance Maladie française a mis en place le dispositif « Contact Covid » pour éviter la propagation du virus et permettre aux enquêteurs sanitaires de contacter les personnes testées positives. L’Assurance Maladie a donc récemment averti les assurés que des cybercriminels pourraient tirer profit de ce dispositif, usurper l’identité des enquêteurs et les escroquer en leur demandant des informations personnelles et bancaires au prétexte de l’envoi d’un kit ou d’un test de dépistage.
Lien(s) :
https://www.ameli.fr/assure/actualites/contact-covid-lassurance-maladie-met-en-garde-contre-les-appels-frauduleux

 

Autres actualités

Pays : International  
Sujet : Apple et Google intègrent les notifications d’exposition au COVID-19 directement sur les smartphones
Date de publication : 02/09/2020
Description : Dans les dernières versions des systèmes d’exploitation Android et iOS (13.7), les utilisateurs pourront désormais recevoir les notifications d’exposition au COVID-19 sans télécharger les applications de traçage numérique développées par les différents États. Cette fonctionnalité n’est pour l’instant disponible que pour IPhone dans un nombre limité d’États américains.
Lien(s) :
https://developer.apple.com/documentation/exposurenotification/supporting_exposure_notifications_express
https://techcrunch.com/2020/09/01/apple-launches-system-level-covid-19-exposure-notification-express-with-ios-13-7-google-to-follow-later-this-month/

 

Pays : Japon
Sujet : Japan Airlines expérimente des bornes d’enregistrement sans contact à l’aéroport Haneda de Tokyo
Date de publication : 29/08/2020
Description : Afin de réduire la propagation du virus, Japan Airlines teste de nouvelles machines d’enregistrement sans contact et en libre-service. Équipées de capteurs de mouvement et d’une technologie infrarouge qui captent le mouvement du doigt à 3cm de l’écran, ces bornes permettent aux utilisateurs de ne pas toucher l’écran. Elles sont actuellement à l’essai jusqu’au 15 septembre 2020.
Lien(s) : https://mainichi.jp/english/articles/20200829/p2g/00m/0bu/052000c

 

Pays : France
Sujet : La CNIL clôt la mise en demeure adressée au ministère des Solidarités et de la Santé concernant le traitement des données personnelles par l’application StopCovid
Date de publication : 04/09/2020
Description : La CNIL estime que l’application est conforme avec le RGPD après avoir corrigé plusieurs manquements relatifs au traitement des données personnelles. En effet, l’application filtre désormais l’historique des contacts directement sur le téléphone, le système reCaptcha de Google a été abandonné et le ministère a complété les mentions d’informations fournies aux utilisateurs, les clauses de son contrat de sous-traitance avec INRIA et l’analyse d’impact relative à la protection des données.
Lien(s) :
https://www.cnil.fr/fr/application-stopcovid-cloture-de-la-mise-en-demeure-lencontre-du-ministere-solidarites-sante

 

Pays : International  
Sujet : Fitbit sera bientôt capable de détecter le COVID-19 : résultats des premières conclusions de l’étude « Fitbit COVID-19 »
Date de publication : 19/08/2020
Description : En mai dernier, l’équipe de recherche de Fitbit a créé un algorithme permettant de détecter les signes physiologiques du COVID-19 et a mené une expérience sur 100 000 utilisateurs aux États-Unis et au Canada lors de laquelle plus de 1000 cas positifs ont été détectés. L’étude suggère que Fitbit est notamment capable d’analyser des changements des fréquences respiratoires et cardiaques quand le patient est atteint. La suite des recherches se concentrera sur le signalement des effets de la maladie avant l’apparition de symptômes plus visibles.
Lien(s) : https://blog.fitbit.com/early-findings-covid-19-study/

 

Retrouvez notre précédent bulletin de VEILLE CYBERSÉCURITÉ !