La météo de la cybersécurité – 4ème trimestre 2021

22 février 2022

Chiffres

General

Après un troisième trimestre plutôt calme en matière d’incident, les chiffres affichent une hausse globale de 40 % pour Q4 2021 par rapport à Q3 2021. Le phishing reste majoritaire en matière d’incidents de sécurité. Cette fin d’année a été marquée par la présence de la vulnérabilité Log4j affectant tous les produits utilisant cette bibliothèque et à la présence de codes malveillants particulièrement virulents.

Phishing

Au cours de la période, le phishing a atteint 74% des incidents traités par le CSIRT POST CyberForce.?La grande majorité des phishings ciblant nos clients mail POST ayant une adresse en @pt.lu par une usurpation de l’interface webmail dont voici un exemple :

Nous avons également observé une multitude de tentatives de phishing usurpant l’identité de Luxtrust dont le plus utilisé est le kit demandant une « réactivation de certificat » par les acteurs malveillants :

Nous avons également observé des techniques d’hameçonnage par un fichier HTML joint à un email et s’exécutant lors du lancement du fichier sur un navigateur.
Ces techniques sont utilisées afin de contourner le filtre anti SPAM et permettent, par conséquent, d’augmenter les chances d’atteindre une cible mais également de récupérer les identifiants de connexions Microsoft Corporate.
À l’approche des fêtes de fin d’année et la saison des achats de Noël, nous avons également observé une augmentation des tentatives d’hameçonnage basées sur les livraisons de colis. DHL reste la marque la plus touchée par les tentatives de phishing dans le monde.
Référence : https://www.bleepingcomputer.com/news/security/dhl-dethrones-microsoft-as-most-imitated-brand-in-phishing-attacks/
Voici le classement des hébergeurs de phishing sur la période Q4 2021 :

  1. Google LLC (=)
  2. Namecheap Inc. (+4)
  3. Bitly Inc (+6)
  4. Cloudflare Inc. (-2)
  5. Amazon Technologies Inc. (=)
  6. HostHatch LLC (New)
  7. Microsoft Corporation (-4)
  8. OVH SAS (=)
  9. Unified Layer (New)
  10. Akamai Technologies Inc. (New)

Vishing / Call SPAM 

Au cours du trimestre de fin d’année 2021, nous avons constaté une recrudescence des usurpations d’appels à caractère frauduleux. La majorité des appels frauduleux ont été perpétrés depuis des numéros de mobile luxembourgeois usurpés.?Lors de la prise d’appel, un robot indique qu’il s’agit d’un appel des autorités judiciaires (Police) et que des activités illégales liées au numéro de la victime ont été commises et invitent à rappeler un numéro aux Etats-Unis.

Malicious Code 

Durant ce trimestre, nous avons observé une plus grande activité de programme malveillant visant les utilisateurs d’Android.
Le premier logiciel malveillant est « Flubot ». Le procédé utilise un SMS prétextant la réception d’un colis et qui contient une URL permettant de télécharger le logiciel malveillant, un fichier « .apk ». Il a la capacité de dérober des informations sensibles, telles que les coordonnées bancaires, mots de passe et numéros de téléphone.?Les techniques d’ingénierie sociales changent régulièrement afin de tromper les victimes. La typographie change aussi afin de rendre la détection plus difficile pour les opérateurs de télécommunications. Il se propage une fois la liste de contact des victimes exfiltrée.
Un second logiciel malveillant nommé « Medusa » utilise le même procédé. A nouveau, un SMS contenant un lien est envoyé à la victime permettant de télécharger le programme malveillant. Ce « cheval de Troie » bancaire est capable de réaliser des attaques frauduleuses sur les téléphones en automatisant les étapes de connexion, en vérifiant le solde de la victime et en effectuant des paiements. Il est aussi capable d’utiliser le code natif d’Android afin de se rendre plus discret et d’échapper à la vigilance des utilisateurs. Ce qui permet de suivre, par exemple, ce qui passe à l’écran ou de contrôler les clics.

DDoS 

Le nombre d’attaques DDoS reste stable, mais les attaques sont plus intenses. Nous avons constaté un pic de 21Gbps durant ce trimestre.?Les deux techniques utilisées sont :?• DNS Reply Flood?• Global UDP Abnormal

Intrusions

Des tentatives d’attaque du type « credential stuffing » basé sur des dictionnaires de comptes ayant fait l’objet d’une fuite ont été observées durant la période.?Être informé avant que ce type d’attaque ne se produise est un moyen de s’en prémunir. Nous vous recommandons de vérifier si vos identifiants ont fait l’objet d’une fuite de données en renseignant votre adresse email sur le site : https://haveibeenpwned.com/.

De plus, l’activation d’un moyen d’authentification double facteur (MFA) est un moyen supplémentaire d’augmenter le niveau de sécurité de nos moyens d’authentification sur Internet.

Masquerade 

Les acteurs malveillants réutilisent du contenu légitime de notre compte Facebook sur leur fausse page.?Même si la page que vous visitez présente un badge bleu « vérifié » cela ne garantit pas toujours que cette page est officielle. Voici un extrait d’une page Facebook non-officielle (1) sans badge « vérifié » intégré dans le fil de publication officielle et une page (2) avec ce fameux badge. Cette méthode rend plus crédibles les attaques sur les réseaux sociaux.

Afin d’éviter toutes ces arnaques, vous pouvez conserver les liens des sites légitimes dans vos favoris et accéder aux contenus de nos réseaux sociaux à partir de notre site web.

Vulnérabilité 

La découverte de la vulnérabilité zero-day Log4Shell a eu un retentissement sans précédent dans l’univers de la cybersécurité à travers le monde depuis la divulgation de cette vulnérabilité le 9 décembre 2021. Log4j est une bibliothèque de journalisation open source programmée en langage Java. Elle permet de tracer les opérations des applications. La présence de log4j, sur un grand nombre de solutions, ajouté à une surface d’attaque (possibilités données à des attaquants) très étendue rend la vulnérabilité log4shell comme une des plus marquantes de la décennie.

La vulnérabilité, identifiée sous la référence CVE-2021-44228, est considérée comme critique. Elle obtient le score CVSS plus élevé (CVSSv3 scores : 10.0). Elle permet l’exécution de code arbitraire à distance (RCE), et cela, sans authentification.?Le correctif apporté par la version 2.15 ne corrige pas entièrement la faille, la découverte d’une nouvelle vulnérabilité CVE-2021-45046 permet l’exécution de code à distance. Du fait de la portée mondiale et de la sévérité de cette vulnérabilité, de nombreux chercheurs se sont penchés sur la recherche de vulnérabilité sur la bibliothèque log4j, ce qui a contribué à la découverte d’autres vulnérabilités en cascade et à une récursivité dans les annonces de correctifs.

Une nouvelle vulnérabilité CVE-2021-45105 permet cette fois-ci de faire du déni de service.
Enfin, la dernière vulnérabilité parue sur log4j en Q4 2021 est la CVE-2021-44832 avec un score CVSSv3 de 6.6 (Medium) permet également d’exécuter du code à distance mais est plus difficile à exploiter. En effet, il est nécessaire que l’adversaire obtienne les droits de modification du fichier de configuration lié à Log4j sur l’application de la victime pour la rendre exploitable, ce qui est particulièrement difficile.

Nos experts répondent à vos questions

Des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?

Autres articles de la catégorie Cybersécurité

Attaques DDoS au Luxembourg en 2022

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2022 par POST Cyberforce.

Lire cet article

Publié le

11 octobre 2022

Cybersécurité : à bord du SOC de POST, l’esprit serein

Recourir à un Security Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un œil en permanence sur l’activité opérée au niveau de ses systèmes d’information dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie.

Lire cet article

Publié le

12 juillet 2022

Empêcher toute connexion à risque grâce à la protection DNS

Devant faire face à des menaces informatiques variées, les organisations ont désormais la possibilité, grâce à une solution de protection DNS, de renforcer leur sécurité en s’assurant de la légitimité du trafic en lien avec l’entreprise.

Lire cet article

Publié le

22 mars 2022