COVID-19 : VEILLE CYBERSÉCURITÉ #24 – 19 novembre 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur les méthodologies d’accroches : les campagnes “FakeUpdates”

Attaque : Diverses campagnes de distribution de malware se déguisent sous la forme de fausses mises à jour, en particulier de l’outil Microsoft Teams
Procédé : Liens sponsorisés malveillants
Cible : Utilisateurs de Microsoft Teams
Date de publication : 09/11/2020
Lien(s) :
https://www.bleepingcomputer.com/news/security/fake-microsoft-teams-updates-lead-to-cobalt-strike-deployment/

Description

Les fournisseurs d’outils de collaboration ne sont pas les seuls à surfer sur la vague du télétravail : les groupes d’attaquants savent tirer parti de l’explosion de l’utilisation des plateformes collaboratives causée par la pandémie de COVID-19.

Depuis 2019, une augmentation significative des “accroches” par fausse mise à jour a été constatée. Ces logiciels malfaisants entraînaient souvent l’installation d’un ransomware comme DoppelPaymer ou WastedLocker, avec pour objectif d’en tirer un revenu financier.

Aujourd’hui ces attaquants ne visent plus uniquement un gain financier et continuent d’utiliser la technique des fausses mises à jour avec des objectifs de plus en plus variés. 

Mode opératoire

Récemment un groupe d’attaquants a acheté un emplacement sponsorisé privilégié afin de distribuer une fausse mise à jour de l’outil de collaboration Microsoft Teams, dont l’utilisation a très fortement augmenté depuis le début du confinement.

Lorsque la future victime clique sur le lien, celle-ci est invitée à télécharger un morceau de logiciel malfaisant qui installe en même temps le programme légitime de Microsoft Teams sur la station de travail, de manière furtive.

Microsoft, à l’origine de la détection de cette campagne, rapporte que les activités de ces groupes d’attaquants sont désormais de plus en plus variées : des logiciels basiques de vol d’informations sensibles (mots de passe, cartes de paiement, etc.), des ransomware, mais également des programmes plus élaborés comme des implants pour le framework d’attaque Cobalt Strike. Ces derniers permettent aux attaquants de réaliser des mouvements latéraux ouvrant la porte à des attaques en profondeur au sein des systèmes d’information.

Finalement ces moyens variés entraînent des dommages à des degrés divers, permettant aux attaquants de compromettre durablement les organisations (espionnage industriel, destruction, etc.). Néanmoins, ils sont encore souvent suivis de ransomware, une indication forte que cette méthode est malheureusement encore parmi les plus rentables.

Recommandations 

Microsoft propose les méthodes de protection habituelles, comme l’utilisation d’un navigateur permettant de bloquer l’accès à des sites Web ayant été marqués comme douteux (hébergement de malware, d’arnaques, etc.), autant que d’appliquer les bonnes pratiques que l’on peut retrouver dans le guide d’hygiène de sécurité informatique de l’ANSSI : limiter les droits d’administration sur les postes de travail, imposer une complexité élevée pour les mots de passe d’administration, etc.

D’autres protections peuvent être mises en place, bénéficiant notamment des technologies cloud : le blocage heuristique des exécutables n’ayant jamais été vus ou ne disposant pas d’une bonne réputation.

Enfin, bloquer le téléchargement d’exécutables à partir de code JavaScript et VBScript peut également être une protection complémentaire efficace.

 

Menaces

Attaque : Des cybercriminels exploitent l’incertitude des résultats des élections américaines pour diffuser le cheval de Troie bancaire QBot
Procédé : Campagne de malspam
Cible : Électeurs américains
Date de publication : 04/11/2020
Description : En pleine pandémie de COVID-19, la hausse des votes par correspondance a été constatée pendant ces élections. Les cybercriminels ont profité du doute des électeurs concernant ce processus de vote pour livrer des pièces jointes malveillantes zip et distribuer le cheval de Troie QBot. Les victimes sont incitées à ouvrir un document Excel intitulé « ingérence électorale » pour donner leur avis. Une fois ouvert et approuvé, le fichier frauduleux DocuSign télécharge la charge malveillante sur la machine afin de voler des données et récupérer des adresses e-mails pour mener d’autres campagnes de phishing.
Lien(s) :
https://blog.malwarebytes.com/cybercrime/2020/11/qbot-delivered-via-malspam-campaign-exploiting-us-election-uncertainties/

 

Attaque : Des cybercriminels font croire à leurs cibles qu’elles sont licenciées pour installer les chargeurs de malware Bazar et Buer
Procédé : Campagne de spear-phishing
Cible : Employés du secteur privé
Date de publication : 09/11/2020
Description : Les e-mails frauduleux usurpent l’identité de responsables au sein des entreprises ciblées pour faire croire à leurs victimes qu’elles ont été licenciées en raison de l’impact financier de la pandémie de COVID-19. Ces dernières sont alors incitées à accéder à une page web qui les invite à télécharger un document. Une fois cela fait, les chargeurs Buer ou Bazar s’installent sur l’appareil ciblé, permettant aux cybercriminels de déployer d’autres malware et d’exfiltrer des données sensibles.
Lien(s) :
https://www.area1security.com/blog/trickbot-spear-phishing-drops-bazar-buer-malware/

 

Attaque : La firme pharmaceutique Miltenyi Biotec touchée par le ransomware Mount Locker
Procédé : Divulgation de données et paralysie des systèmes
Cible : Systèmes d’information de Miltenyi Biotec
Date de publication : 13/11/2020
Description : Impliquée dans la recherche d’un vaccin contre le COVID-19, Miltenyi Biotec a annoncé avoir été victime d’un ransomware affectant son système informatique et le traitement de ses commandes le mois dernier. Après avoir revendiqué l’attaque, le groupe à l’origine du ransomware a divulgué 5% des 150 Go de données volées sur son propre site web. La société de recherche biomédicale n’a pas indiqué le montant de la rançon mais a annoncé avoir pris toutes les mesures nécessaires depuis.
Lien(s) :
https://www.bleepingcomputer.com/news/security/biotech-research-firm-miltenyi-biotec-hit-by-ransomware-data-leaked/

 

Attaque : Le Centre de Cybersécurité australien (ACSC) alerte sur la hausse des activités cybercriminelles ciblant le secteur de la Santé et distribuant le RAT (Remote Access Tool) SDBBot
Procédé : Inconnu à l’heure actuelle
Cible : Établissements de santé en Australie
Date de publication : 12/11/2020
Description : Une fois installé sur l’appareil de la victime, SDBBot permet aux cybercriminels de se déplacer latéralement dans le système infecté pour exfiltrer des données sensibles ou confidentielles vers un serveur de commande et de contrôle (C2). Il est également utilisé pour déployer d’autres malware ou ransomware tels que Clop. SDBBot est principalement opéré par le groupe de cybercriminels TA505, dont les motivations étaient essentiellement lucratives jusqu’à présent.
Lien(s) :
https://www.cyber.gov.au/acsc/view-all-content/alerts/sdbbot-targeting-health-sector
https://www.zdnet.com/article/australian-government-warns-of-possible-ransomware-attacks-on-health-sector/

 

Attaque : Microsoft accuse des cybercriminels russes et nord-coréens de cibler des sociétés pharmaceutiques impliquées dans la recherche d’un vaccin contre le COVID-19
Procédé : Force brute/Phishing/Spear-Phishing
Cible : Firmes pharmaceutiques en France, Inde, Corée du Sud, Canada et États-Unis
Date de publication : 13/11/2020
Description :  Sept firmes auraient récemment été visées par trois groupes de cybercriminels : les nord-coréens Cerium et Zinc (aussi appelé Lazarus) ainsi que le groupe russe Strontium (aussi appelé Fancy Bear). Afin d’obtenir les identifications de connexion aux réseaux des organisations ciblées, Strontium mènerait des attaques par force brute quand les groupes nord-coréens opéreraient des campagnes de phishing et de spear-phishing exploitant notamment des leurres sur le thème du COVID-19.
Lien(s) :
https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/

 

Fraudes

Attaque : Des cybercriminels prétendent distribuer une nouvelle aide financière aux États-Unis pendant la pandémie de COVID-19 pour voler des informations à leurs victimes
Procédé : Campagne de phishing
Surface/Application : SMS
Date de publication : 04/11/2020
Description : Dans un communiqué de presse, l’Internal Revenue Service (IRS) et les agences fiscales fédérales ont invité les contribuables recevant l’aide financière de l’IRS à faire preuve de prudence contre de nouvelles campagnes de phishing. Les cybercriminels exploitent cette aide financière pour inciter les victimes à procéder à un paiement sur un site web frauduleux ressemblant à celui de l’IRS.gov. L’IRS a finalement rappelé qu’elle n’envoie pas de SMS ni d’e-mails non sollicités.
Lien(s) :
https://www.irs.gov/newsroom/security-summit-partners-warn-taxpayers-of-new-covid-related-text-scam

 

Attaque : Le gouvernement britannique s’accorde avec les réseaux sociaux pour lutter contre la désinformation concernant les vaccins contre le COVID-19
Procédé : Désinformation
Surface/Application : Réseaux sociaux
Date de publication : 08/11/2020
Description : Parmi les mesures mises en place, Twitter, Google et Facebook se sont engagés à traiter les contenus signalés par le gouvernement plus rapidement et à en endiguer la diffusion. Ils ont également convenu de travailler plus étroitement avec les agences de santé publique pour promouvoir des informations factuelles concernant la sécurité et la qualité des vaccins en développement.
Lien(s) :
https://www.gov.uk/government/news/social-media-giants-agree-package-of-measures-with-uk-government-to-tackle-vaccine-disinformation

 

Autres actualités

Pays : France
Sujet : Le nombre de résultats « bruts » sous-évalués en raison d’un défaut de remontée des données des tests au COVID-19
Date de publication : 05/11/2020
Description : Plus de 300 000 tests, positifs ou négatifs, n’ont pas pu être transmis à Santé Publique France (SPN) lors d’un comptage quotidien. Ces comptages, qui s’effectuent tous les mercredis, n’ont donc pas indiqué les bons chiffres sur les semaines des 19 et 26 octobre 2020 en raison de problèmes techniques liés à la volumétrie des tests. Ces résultats auraient tous été retrouvés et intégrés au système au cours de la 2ème semaine. SPN a finalement évoqué un chiffre de cas positifs minimal et non consolidé.
Lien(s) :
https://www.leparisien.fr/societe/covid-19-des-indicateurs-de-tests-sous-evalues-a-cause-de-bugs-dans-la-remontee-des-donnees-06-11-2020-8406911.php
https://www.santepubliquefrance.fr/maladies-et-traumatismes/maladies-et-infections-respiratoires/infection-a-coronavirus/documents/bulletin-national/covid-19-point-epidemiologique-du-5-novembre-2020

 

Pays : France
Sujet :
Auditionné par le Sénat, le Directeur général de l’ANSSI Guillaume Poupard présente un point de situation sur le paysage des menaces informatiques en France
Date de publication : 04/11/2020
Description : Parmi les sujets abordés, M. Poupard a notamment estimé que la pandémie de COVID-19 n’avait pas eu d’impact significatif sur la hausse des menaces informatiques. Selon lui, on assisterait davantage à un phénomène d’opportunisme de la petite escroquerie en ligne qui a basculé temporairement vers l’exploitation de leurres sur le thème du COVID-19. Il a néanmoins précisé que la démocratisation du télétravail augmentait le risque de brèches dans les systèmes d’information.
Lien(s) :
http://videos.senat.fr/video.1797742_5fa25ae07cf94.plf-2021—audition-conjointe-de-m-stephane-bouillon-sgdsn-et-de-m-guillaume-poupard-directeur-?timecode=2911000

 

Pays : Espagne
Sujet : Une vulnérabilité dans l’application de traçage de contacts Radar COVID permettait d’obtenir l’identité des cas positifs au COVID-19
Date de publication : 13/11/2020
Description : Cette vulnérabilité découle du fait que les connexions de l’application au serveur ne sont effectuées que par les utilisateurs positifs au COVID-19. De ce fait, une tierce partie capable de surveiller le trafic entre l’application et le serveur (VPN, FAI, opérateur mobile) ou tout observateur ayant accès au même réseau (Wi-Fi public par exemple) pourrait les identifier. Cette vulnérabilité a été corrigée depuis lors par l’injection de trafic factice généré par tous les utilisateurs de l’application.
Lien(s) : https://nvd.nist.gov/vuln/detail/CVE-2020-26230
https://github.com/RadarCOVID/radar-covid-backend-dp3t-server/security/advisories/GHSA-w7jx-37×3-w2jx

 

Pays : Etats-Unis
Sujet : Suite aux accusations concernant la faible sécurité de l’application de visioconférence Zoom, la Federal Trade Commission (FTC) exige des améliorations
Date de publication : 09/11/2020
Description : La FTC a annoncé qu’un accord avec Zoom oblige l’entreprise à mettre en place un programme de sécurité de l’information plus robuste. Cet accord survient après une plainte de la Commission qui stipule notamment que Zoom a induit ses utilisateurs en erreur en prétendant utiliser un chiffrement AES 256 bits pour sécuriser les appels vidéo et les communications. Zoom a donc été contraint d’établir un programme de sécurité plus complet pour protéger sa base d’utilisateurs.
Lien(s) :
https://www.prnewswire.com/news-releases/ftc-requires-zoom-to-enhance-its-security-practices-as-part-of-settlement-301168877.html

 

Pays : États-Unis
Sujet : La division de santé publique de l’État du Delaware annonce une fuite de données concernant les résultats des tests COVID-19 de plusieurs milliers de patients
Date de publication : 15/11/2020
Description : Cette fuite a été causée par un personnel temporaire qui a envoyé par erreur des e-mails contenant les résultats des tests de près de 10 000 personnes à une personne non autorisée. Cette dernière a immédiatement prévenu l’agence de santé et a assuré avoir supprimé les e-mails ainsi que les pièces jointes qui contenaient également le nom des patients, leur date de naissance ou encore leur numéro de téléphone.
Lien(s) :
https://www.databreaches.net/delaware-division-of-public-health-announces-data-breach-incident-involving-covid-19-results/

 

Pays : Philippines
Sujet :
Deux vulnérabilités découvertes sur une plateforme utilisée par les travailleurs de la santé de première ligne pour recenser les cas de COVID-19
Date de publication : 10/11/2020
Description : En août dernier, les chercheurs de Citizenlab ont mis au jour deux vulnérabilités dans les applications Web et Android de la plateforme COVID-KAYA. La vulnérabilité sur l’application Web permettait d’exposer les noms et emplacements de prestataires de soins de santé. Celle sur l’application Android intégrant un identifiant codé en dur, permettait d’accéder à ses API internes. Des correctifs ont été apportés et l’application a été mise à jour le 27 octobre dernier.
Lien(s) :
https://citizenlab.ca/2020/11/unmasked-covid-kaya-and-the-exposure-of-healthcare-worker-data-in-the-philippines/