Bulletin du 22 Août 2016
Transcription
Bulletin du 22 Août 2016
15 - 21 août 2016 RAPPORT THREAT INTELLIGENCE PRINCIPALES FAILLES ET ATTAQUES Le collectif de pirates de la NSA « Equation Group » a été piraté par un groupe appelé « The Shadow Brokers », lié à la Russie. Dans un premier temps, le groupe a publié sur GitHub et Tumblr une compilation des outils utilisés par la NSA et ont promis de publier des fichiers encore plus précieux pour 1 million de bitcoins. 20 hôtels appartenant à HEI Hotels & Resorts aux États-Unis, dont Westin, Marriott, Sheraton et d'autres chaînes d'hôtels, ont été frappé par un logiciel malveillant de point de vente, qui dérobe les données des cartes bancaires au moment d'un achat. Une série d'attaques ciblées, provenant d'un groupe surnommé Operation Ghoul, principalement conçue pour dérober des informations confidentielles d'entreprises industrielles et d'ingénierie au Moyen-Orient, s'est propagée dans plus de 30 pays à travers le monde. Le logiciel malveillant installé lors des attaques collecte les frappes au clavier, les données des comptes utilisateur et des identifiants. La blade Check Point Anti-Virus offre une protection contre cette menace (Trojan.Win32.Opghoul). Des agresseurs inconnus ont lancé une vaste opération dans le but d'inonder des boîtes de messagerie gouvernementales par l'envoi de messages à un rythme d'environ un toutes les 2 à 3 secondes. L'attaque de ce week-end aurait touché plus de 100 adresses de messagerie de gouvernements de différents pays. Des pirates iraniens ont défacé le site officiel de la Fédération internationale d'haltérophilie, suite à la décision controversée d'un arbitre des Jeux Olympiques de disqualifier l'haltérophile iranien, retirant ainsi toute chance à l'Iran de remporter une médaille olympique. L'ensemble des 360 magasins de l'enseigne de vêtements et d'équipements de plein air Eddie Bauer à travers les États-Unis et le Canada a été infecté par un logiciel malveillant de point de vente. Les données compromises comprennent le nom du titulaire, le numéro de carte, le code de sécurité et la date d'expiration des cartes bancaires. Les achats effectués en ligne ne sont pas affectés. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels 1 15 - 21 août 2016 VULNÉRABILITÉS ET CORRECTIFS Dans le cadre du piratage de la NSA, le groupe Shadow Brokers a publié les outils EPICBANANA, JETPLOW et EXTRABACON, qui contiennent des exploitations de vulnérabilités zero-day pouvant compromettre les équipements Cisco. Cisco a publié des mises à jour de sécurité pour ces vulnérabilités. La blade Check Point IPS offre une protection contre une partie de ces menaces, et fournira une protection contre le reste dans ses prochaines versions (Exécution de code à distance de dépassement de cookie Fortinet (EGREGIOUSBLUNDER) ; Exécution de code à distance de désactivation de mot de passe Cisco ASA (Extrabacon) (CVE-2016-6366)). Une vulnérabilité supplémentaire de contournement du contrôle utilisateur dans Windows a été publiée. La vulnérabilité repose sur une fonctionnalité native de Windows, permettant à un agresseur de détourner les processus de la base de registre, d'activer PowerShell et d'exécuter des commandes sur les machines Windows. RAPPORTS ET MENACES Des chercheurs de Check Point ont publié un rapport détaillé examinant le logiciel rançonneur Cerber proposé sous forme de service. Parallèlement à la description technique complète des fonctionnalités de Cerber, le rapport examine le processus de vente et le programme de partenariat par lequel des pirates sont recrutés, ainsi que les circuits empruntés pour les transactions en argent et les profits. Les blades Check Point Anti-Virus, Anti-Bot et SandBlast offrent une protection contre cette menace (TrojanRansom.Win32.Cerber ; Trojan-ransomware.Win32.Cerber). Une étude en deux parties du cheval de Troie de vol de données Shakti nouvellement découvert et conçu à des fins d'espionnage d'entreprises, examine les propriétés du logiciel malveillant ainsi que ses fonctionnalités techniques. La blade Check Point Anti-Virus offre une protection contre cette menace (Trojan.Win32.Shakti). Des chercheurs ont présenté la toute première attaque menée sur le cache de l'architecture ARM d'Android, baptisée ARMageddon. Toutes les attaques présentées peuvent être effectuées à partir de l'espace utilisateur normal, sans privilèges élevés. Commentaires ou questions : [email protected] © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels |2