Bulletin du 22 Août 2016

15 - 21 août 2016
RAPPORT THREAT INTELLIGENCE
PRINCIPALES FAILLES ET ATTAQUES

Le collectif de pirates de la NSA « Equation Group » a été piraté par un groupe appelé « The Shadow
Brokers », lié à la Russie. Dans un premier temps, le groupe a publié sur GitHub et Tumblr une
compilation des outils utilisés par la NSA et ont promis de publier des fichiers encore plus précieux pour
1 million de bitcoins.

20 hôtels appartenant à HEI Hotels & Resorts aux États-Unis, dont Westin, Marriott, Sheraton et d'autres
chaînes d'hôtels, ont été frappé par un logiciel malveillant de point de vente, qui dérobe les données des
cartes bancaires au moment d'un achat.

Une série d'attaques ciblées, provenant d'un groupe surnommé Operation Ghoul, principalement
conçue pour dérober des informations confidentielles d'entreprises industrielles et d'ingénierie au
Moyen-Orient, s'est propagée dans plus de 30 pays à travers le monde. Le logiciel malveillant installé
lors des attaques collecte les frappes au clavier, les données des comptes utilisateur et des identifiants.
La blade Check Point Anti-Virus offre une protection contre cette menace (Trojan.Win32.Opghoul).

Des agresseurs inconnus ont lancé une vaste opération dans le but d'inonder des boîtes de messagerie
gouvernementales par l'envoi de messages à un rythme d'environ un toutes les 2 à 3 secondes.
L'attaque de ce week-end aurait touché plus de 100 adresses de messagerie de gouvernements de
différents pays.

Des pirates iraniens ont défacé le site officiel de la Fédération internationale d'haltérophilie, suite à la
décision controversée d'un arbitre des Jeux Olympiques de disqualifier l'haltérophile iranien, retirant
ainsi toute chance à l'Iran de remporter une médaille olympique.

L'ensemble des 360 magasins de l'enseigne de vêtements et d'équipements de plein air Eddie Bauer à
travers les États-Unis et le Canada a été infecté par un logiciel malveillant de point de vente. Les
données compromises comprennent le nom du titulaire, le numéro de carte, le code de sécurité et la
date d'expiration des cartes bancaires. Les achats effectués en ligne ne sont pas affectés.
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
1
15 - 21 août 2016
VULNÉRABILITÉS ET CORRECTIFS

Dans le cadre du piratage de la NSA, le groupe Shadow Brokers a publié les outils EPICBANANA,
JETPLOW et EXTRABACON, qui contiennent des exploitations de vulnérabilités zero-day pouvant
compromettre les équipements Cisco. Cisco a publié des mises à jour de sécurité pour ces vulnérabilités.
La blade Check Point IPS offre une protection contre une partie de ces menaces, et fournira une protection contre le
reste dans ses prochaines versions (Exécution de code à distance de dépassement de cookie Fortinet (EGREGIOUSBLUNDER) ;
Exécution de code à distance de désactivation de mot de passe Cisco ASA (Extrabacon) (CVE-2016-6366)).

Une vulnérabilité supplémentaire de contournement du contrôle utilisateur dans Windows a été
publiée. La vulnérabilité repose sur une fonctionnalité native de Windows, permettant à un agresseur de
détourner les processus de la base de registre, d'activer PowerShell et d'exécuter des commandes sur
les machines Windows.
RAPPORTS ET MENACES

Des chercheurs de Check Point ont publié un rapport détaillé examinant le logiciel rançonneur Cerber
proposé sous forme de service. Parallèlement à la description technique complète des fonctionnalités de
Cerber, le rapport examine le processus de vente et le programme de partenariat par lequel des pirates
sont recrutés, ainsi que les circuits empruntés pour les transactions en argent et les profits.
Les blades Check Point Anti-Virus, Anti-Bot et SandBlast offrent une protection contre cette menace (TrojanRansom.Win32.Cerber ; Trojan-ransomware.Win32.Cerber).

Une étude en deux parties du cheval de Troie de vol de données Shakti nouvellement découvert et
conçu à des fins d'espionnage d'entreprises, examine les propriétés du logiciel malveillant ainsi que ses
fonctionnalités techniques.
La blade Check Point Anti-Virus offre une protection contre cette menace (Trojan.Win32.Shakti).

Des chercheurs ont présenté la toute première attaque menée sur le cache de l'architecture ARM
d'Android, baptisée ARMageddon. Toutes les attaques présentées peuvent être effectuées à partir de
l'espace utilisateur normal, sans privilèges élevés.
Commentaires ou questions : [email protected]
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|2