COVID-19 : VEILLE CYBERSÉCURITÉ #34 – 15 avril 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur une campagne de diffusion de malwares sur des outils de collaboration

Attaque : Des cybercriminels usurpent l’identité de l’Organisation mondiale de la Santé (OMS) sur Discord et Slack pour propager des malwares
Procédé : Campagne de phishing
Cible : Grand Public
Date de publication : 07/04/2021
Lien(s) :
https://blog.talosintelligence.com/2021/04/collab-app-abuse.html

Description

En cette période de pandémie de COVID-19, les chercheurs de Talos se sont penchés sur la normalisation du télétravail qui a poussé les attaquants à modifier leurs modes opératoires.  Talos a observé augmentation significative de l’utilisation abusive de plusieurs plateformes de collaboration, dont Discord et Slack, afin de diffuser de logiciels malveillants.

L’utilisation de ces plateformes collaboratives fournit un moyen supplémentaire de mise en place des techniques d’ingénierie sociale afin de convaincre plus facilement les victimes d’ouvrir les pièces jointes malveillantes. Ce type de diffusion fut notamment utilisé pour transmettre une variété de RAT (Remote Access Trojan) et d’autres logiciels malveillants à l’image de :

  • Agent Tesla
  • AsyncRAT
  • Formbook
Mode opératoire

Les cybercriminels se sont fait passer pour l’Organisation mondiale de la Santé (OMS). L’e-mail transmis aux victimes demande de télécharger un nouveau document de prévention hébergé via Discord. Le lien de téléchargement en question redirige vers une archive ZIP contenant un fichier batch (« .bat »). Ce script va ensuite télécharger un document Word stocké sur Google Drive. Une fois le fichier ouvert, le document déclenche une macro s’activant à la fermeture de celui-ci, cette dernière téléchargeant le cheval de Troie « Nymaim » via un serveur Web compromis.

Il s’agit d’un processus d’infection complexe impliquant plusieurs services, incluant Discord et Google Drive. Cependant, le processus exige que la victime ouvre plusieurs fichiers avant que l’infection soit complète. Les indicateurs de compromission (IoCs) sont disponibles à la fin de l’article de Talos Intelligence.

 

MENACES

Attaque : Des entreprises fournissant des vaccins et produits pharmaceutiques pour lutter contre le COVID-19 ciblées par des cyberattaques
Procédé : Spear-phishing
Cible : Cadres ayant accès à la recherche clinique et/ou à la propriété intellectuelle
Date de publication : 31/03/2021
Description : Au cours du premier trimestre 2021, SlashNext Threat Labs a observé que plus de 1000 domaines d’entreprises impliquées dans la recherche contre le COVID-19 ont été usurpés dans le cadre de campagnes de spear-phishing. Les cybercriminels redirigent leurs victimes vers des pages de connexion Office 365 hébergées sur des domaines légitimes dans le but de voler des informations d’identification de comptes sensibles.
Lien(s) :
https://www.slashnext.com/blog/thousands-of-zero-day-spear-phishing-attacks-continue-to-target-covid-19-pharmaceuticals/

 

Attaque : Le centre national d’enseignement à distance (CNED) ciblé par des cyberattaques
Procédé : Attaque par déni de service distribué (DDoS)
Cible : Site Web CNED.fr 
Date de publication : 06/04/2021
Description : Suite aux nouvelles mesures pour lutter contre le COVID-19 en France, plusieurs millions d’élèves ont débuté un apprentissage à distance. Seulement, les plateformes institutionnelles du « CNED.fr » et du site de continuité pédagogique « Ma classe à la maison », prévues à cet effet, ont subi des ralentissements de connexions et des coupures. Selon l’éducation nationale, ces lenteurs de connexion seraient la conséquence de plusieurs attaques DDos.
Lien(s) :
https://www.cned.fr/journalistes/communiques-presse/2021/cyberattaques-du-mardi-6-avril-2021
https://www.education.gouv.fr/ma-classe-la-maison-et-ent-322883

 

Attaque : Le centre hospitalier de Comminges-Pyrénées victime d’un ransomware
Procédé : Inconnu à l’heure actuelle
Cible : L’hôpital de Saint-Gaudens
Date de publication : 08/04/2021
Description : Cette cyberattaque a paralysé le système d’information de l’hôpital. Hormis les urgences, une grande partie des activités de soins sont suspendues dont la prise de rendez-vous pour les prélèvements COVID-19. C’est le quatrième hôpital français ciblé par un ransomware depuis le mois de février, après les attaques contre les hôpitaux d’Oloron-Sainte-Marie, Villefranche-sur-Saône et Dax rapportées dans nos précédents bulletins de veille.
Lien(s) :
https://www.ladepeche.fr/2021/04/09/cyberattaque-a-saint-gaudens-lhopital-reprend-ses-activites-9478743.php

 

FRAUDES

Attaque : Des cybercriminels utilisent de fausses enquêtes avec des leurres COVID-19 pour voler de l’argent et des informations personnelles
Procédé : Campagne de phishing
Surface/Application : E-mails/SMS
Date de publication : 01/04/2021
Description : La justice américaine (DOJ) met en garde contre des campagnes de phishing promettant de l’argent ou des prix après avoir participé à de faux sondages sur les vaccins COVID-19. Afin de recevoir leur prix, il est demandé aux victimes de payer les frais d’expéditions ou de renseigner leurs informations personnelles. Les attaquants vont par la suite utiliser les données recueillies pour développer de nouvelles fraudes.
Lien(s) :
https://www.bleepingcomputer.com/news/security/us-doj-phishing-attacks-use-vaccine-surveys-to-steal-personal-info/

 

RESSOURCES UTILES

Type de ressources : Les chercheurs de Trend Micro analysent l’utilisation des vaccins COVID-19 comme leurre par des cybercriminels
Cible : Grand public
Date de publication : 31/03/2021
Description : Cet article de blog met en exergue l’utilisation du vaccin comme vecteurs d’attaques par les attaquants. Ce dernier détaille, avec différentes études de cas, les campagnes de phishing, les logiciels, les sites Web et les domaines malveillants ainsi que les marchés illicites utilisés. Trend Micro présente également des solutions afin de se prémunir de ces escroqueries.
Lien(s) :
https://www.trendmicro.com/en_us/research/21/c/injecting-deception-covid-19-vaccine-related-threats.html
https://www.zdnet.com/article/pandemic-threats-the-common-threads-in-covid-19-scams-criminal-schemes/

 

Type de ressources : Deux sites Web proposent un système d’alertes indiquant les disponibilités des rendez-vous de vaccination
Cible : Grand public
Date de publication : 07/04/2021
Description : « Covidliste » est une plateforme mettant en relation les établissements et professionnels de santé qui disposent de doses de vaccins non utilisées avec des volontaires éligibles ou non au vaccin. « Vite Ma Dose » est un outil de « CovidTracker » permettant de détecter les rendez-vous de vaccination contre le COVID-19 dans sa région. A contrario de « Covidliste », il est nécessaire d’être éligible pour se faire vacciner.  
Lien(s) :
https://www.lesechos.fr/tech-medias/hightech/covidliste-et-vite-ma-dose-initiatives-citoyennes-pour-fluidifier-la-vaccination-1304976
https://covidtracker.fr/vitemadose/
https://www.covidliste.com/

 

Type de ressources : La Task-Force nationale de lutte contre les arnaques propose un guide de prévention
Cible : Grand public
Date de publication : 07/04/2021
Description : La crise sanitaire a engendré une augmentation des manœuvres frauduleuses sur les consommateurs et les entreprises. Dans ce contexte, la Task-Force de la Police nationale rappelle les attitudes à adopter pour se prémunir notamment des arnaques aux achats en ligne, aux faux sites administratifs et contre des campagnes de phishing.
Lien(s) :
https://www.police-nationale.interieur.gouv.fr/Actualites/L-actu-police/Guide-de-prevention-contre-les-arnaques-un-appel-a-la-vigilance

 

AUTRES ACTUALITÉS

Pays : Allemagne
Sujet : Les données personnelles des personnes testées au COVID-19 rendues publiques
Date de publication : 10/04/2021
Description : Les chercheurs allemands en sécurité du collectif informatique « Zerforschung » ont découvert une faille de sécurité rendant accessible pendant plusieurs heures le nom, l’adresse, la date de naissance, le numéro de téléphone et l’adresse e-mail de 17 000 personnes testées et de 7000 résultats de tests. Eventus Media International, ayant été mandaté par le département de la Santé pour gérer l’enregistrement de 9 centres de test à Hambourg, Berlin, Dortmund, Leipzig et Schwerte, a indiqué la volonté de soumettre ses systèmes informatiques à des contrôles de sécurité.
Lien(s) :
https://pledgetimes.com/huge-glitch-data-leak-at-corona-test-centers-thousands-of-people-affected-2/
https://zerforschung.org/posts/eventus-testzentren/