Vulnérabilité du noyau Linux découverte, corrigée. Ghostwriter lié à UNC1151. Plateformes de commande en ligne violées.

En un coup d’oeil.

  • Vulnérabilité du noyau Linux découverte, corrigée.
  • Ghostwriter lié à UNC1151.
  • Naikon déploie une nouvelle porte dérobée.
  • Plateformes de commande en ligne violées.
  • Nouveau voleur de crypto-monnaie.
  • Genesis Market, un fournisseur C2C prospère.

Vulnérabilité du noyau Linux découverte, corrigée.

Des chercheurs de Cisco Talos ont découvert une vulnérabilité de divulgation d’informations (CVE-2020-28588) dans le noyau Linux. Une mise à jour est maintenant disponible pour résoudre le problème. Selon Shachar Menashe, VP Security, Vdoo, spécialiste de la sécurité des produits, la vulnérabilité semble facile à exploiter:

«Cette vulnérabilité nouvellement découverte semble en effet très exploitable et facile à exploiter dans les bonnes conditions techniques, nous recommandons donc aux fournisseurs concernés de mettre à jour leur noyau ou d’appliquer le correctif. Ces types de vulnérabilités sont presque exclusivement utilisés dans le cadre d’une chaîne d’attaque locale avec élévation de privilèges pour contourner l’atténuation de la randomisation du noyau Linux (KASLR).

“Cette nouvelle découverte illustre la valeur de l’analyse d’applicabilité automatisée, qui permet de déterminer si une nouvelle vulnérabilité peut être exploitée de manière réaliste. Dans ce cas, nous avons constaté que la vulnérabilité n’est exploitable que dans les appareils dans l’une des conditions spécifiques suivantes:

“1. Le noyau est construit avec CONFIG_HAVE_ARCH_TRACEHOOK (assez courant)

“2. Le noyau est construit avec CONFIG_RANDOMIZE_BASE (KASLR, moins courant sur les périphériques embarqués)

“3. Le noyau est un noyau 32 bits

“Concernant le point n ° 2, notez que la vulnérabilité n’est probablement pas applicable sur les périphériques ARM 32 bits car un noyau Linux ARM32 vanille n’a pas KASLR. Certaines fourches de noyau, comme Android, ont rétroporté la fonctionnalité KASLR sur 32 bits, mais étant donné que la vulnérabilité n’est pertinente que sur le noyau Linux 5.1 et les versions ultérieures, nous supposons qu’aucun appareil Android ne sera affecté. »

Ghostwriter lié à UNC1151.

FireEye a publié une mise à jour sur Ghostwriter, une campagne d’influence qui cible le public lituanien, letton et polonais cherchant à critiquer l’activité de l’OTAN en Europe de l’Est. Les chercheurs croient maintenant “avec une grande confiance” qu’au moins une partie de l’activité de Ghostwriter a été menée par UNC1151, un acteur de cyberespionnage parrainé par l’État. FireEye n’attribue l’UNC1151 à aucun État-nation et ne l’associe à aucun autre acteur de la menace.

FireEye a également identifié des changements dans la messagerie et le ciblage de Ghostwriter:

Naikon déploie une nouvelle porte dérobée.

Des chercheurs de Bitdefender ont découvert une nouvelle porte dérobée utilisée par l’acteur menaçant Naikon, aligné sur la Chine. La porte dérobée, surnommée «nébuleuses», semble être «utilisée comme mesure de précaution pour ne pas perdre la persistance au cas où des signes d’infection seraient détectés». L’acteur de la menace cible les services militaires des pays d’Asie du Sud-Est:

Plateformes de commande en ligne violées.

Le Gemini Advisory de Recorded Future rapporte que cinq plates-formes de commande en ligne ont été violées, exposant les informations clients de centaines de restaurants. Les données volées comprennent 343 000 cartes de paiement, qui ont été mises en vente sur le dark web. Les chercheurs expliquent:

“Deux des plates-formes – Food Dudes Delivery et Grabull – fonctionnent comme une infrastructure de commande tierce supplémentaire pour des centaines de restaurants participants afin de compléter l’infrastructure du restaurant, comme les versions régionales de services populaires tels que Grubhub et DoorDash. Dans ce deuxième modèle, l’un des les restaurants qui ont vu des commandes passées via les plates-formes se seraient indirectement fait voler des données de carte de paiement à la suite de l’infection. Les prix médians des documents volés sur les 5 plates-formes proposées à la vente sur le dark web variaient de 5 à 10 USD selon les ont violé les plates-formes de commande en ligne et ont principalement affecté les banques basées aux États-Unis. “

Nouveau voleur de crypto-monnaie.

L’unité 42 de Palo Alto Networks décrit «WeSteal», un nouveau voleur de crypto-monnaie «sans vergogne». Contrairement à de nombreuses autres souches de logiciels malveillants de base, l’auteur de WeSteal est très clair sur l’intention du logiciel malveillant et ne tente pas de «se cacher derrière des déclarations de conditions d’utilisation dénuées de sens selon lesquelles les utilisateurs finaux ne doivent pas utiliser le logiciel malveillant à des fins illégitimes». L’auteur du malware facture 20 € pour une licence d’un mois, 50 € pour trois mois et 125 € pour un an. WeSteal est efficace et facile à utiliser, et l’Unité 42 pense qu’il sera populaire auprès des criminels peu qualifiés.

Un regard sur un acteur à succès sur le marché criminel-criminel.

Digital Shadows a publié aujourd’hui un rapport intéressant sur Genesis Market, un souk souterrain qui s’adresse au commerce criminel-criminel. Les chercheurs de la société décrivent Genesis comme «un site de chariot automatique (AVC) de langue anglaise entièrement sécurisé, sur invitation uniquement, axé sur la vente d’empreintes digitales numériques relatives à l’ordinateur, au navigateur et aux comptes d’un utilisateur (victime) sur des sites Web et des services. . » Il est en affaires depuis 2017.

Genesis est un agrégateur. Il échange ces informations sur les comptes des victimes en tant que nom d’utilisateur et mot de passe courants (et souhaitables), mais il ajoute d’autres identifiants tels que les cookies du navigateur, les adresses IP, les chaînes utilisateur-agent et divers détails du système d’exploitation. Auparavant, les hottes devaient les trouver une par une, mais Genesis propose un guichet unique. Digital Shadows dit:

«Lorsque notre équipe a découvert Genesis en mars 2018, le marché existait depuis environ cinq mois et était toujours en mode bêta (les mots du propriétaire, pas les nôtres). Le marché prétendait être le résultat de recherches menées sur les technologies anti-fraude utilisées par 283 grandes banques et systèmes de paiement. Cela a intéressé les innovateurs, qui ont commencé à affluer. En avril, il y avait plus de 1 000 robots à acheter sur Genesis Market. “

Genesis a été plus durable que la plupart de ses souks concurrents. Il semble avoir atteint sa position sur le marché criminel en attirant des influenceurs criminels en tant qu’adopteurs précoces et avoir largement été à la hauteur du bouche-à-oreille de haute réputation qui lui a été prêté. Comme le dit Digital Shadows:

«La réputation est essentielle pour les nouvelles activités criminelles, et le mot voyage rapidement. L’offre de produits unique de Genesis a gagné en popularité depuis sa création vers 2017. Depuis cette époque, des plates-formes similaires et concurrentes ont émergé sur la scène cybercriminelle comme Tenebris et Richlogs comme Underworld Market). Cependant, Genesis reste un référentiel réputé et fiable d’empreintes digitales numériques. L’analyse des photons à partir de 2020 a montré que Genesis a obtenu 65% des mentions dans les forums criminels. “