Log4j, PINK BOA : les menaces du trimestre se précisent
(2022/02/16)
- Reference: 2022-02-16T03_30_00Z
- News link: https://www.toolinux.com/?log4j-pink-boa-les-menaces-du-trimestre-se-precisent
- Source link:
Log4j, PINK BOA : les menaces du trimestre se précisent
mercredi 16 février 2022
Dans la dernière édition du rapport d’Infoblox, on trouve les cinq menaces détectées pendant les derniers mois. Parmi celles-ci figurent le nouvel acteur de la menace PINK BOA, ainsi que des campagnes diffusant les logiciels malveillants. Voici la liste complète.
Depuis un an, Infoblox suit un nouvel acteur de la menace qu’il a nommé PINK BOA . Cet acteur a été très actif tout au long de cette période, mais les campagnes se sont encore intensifiées au cours de l’automne dernier.
PINK BOA s’appuie sur un algorithme de dictionnaire DGA (DDGA) pour générer des noms d’hôtes de façon aléatoire. Il utilise des milliers d’adresses IP appartenant à l’hébergeur américain Digital Ocean et réparties dans le monde entier.
[1]Selon les résultats d’un scan effectué par Infoblox sur des rapports publics, la plupart des adresses IP compromises semblent présenter des vulnérabilités qui peuvent être exploitées pour l’ exécution à distance de code malveillant .
L’entreprise a récemment observé des campagnes de diffusion de plusieurs malwares. Par exemple, une campagne s’appuyait sur un leurre DHL pour inciter les cibles à ouvrir la pièce jointe Microsoft Word, qui distribuait le cheval de Troie d’accès à distance (RAT) Ave Maria. Une autre campagne distribuait le malware Dark Crystal RAT (dcRAT), qui se propage également via un document Microsoft Word contenant un script VBA malveillant.
Le paiement SWIFT a servi comme prétexte pour une autre campagne, qui distribuait le voleur d’infos (infostealer) Vidar.
Enfin, plusieurs campagnes de spam malveillantes ont été menées par l’envoi de courriels prétendant provenir de l’entreprise logistique Al Bahr Al Arabi et de la United Bank of Egypt. Ils distribuaient le cheval de Troie d’accès à distance (RAT) Adwind via des fichiers Java et JavaScript armés.
Toujours la menace Log4j
La vulnérabilité Log4j, [2]dont nous vous parlions dans cet article , est également traitée dans le rapport au fur et à mesure que sont recueillies de nouvelles données la concernant. Une grande partie du secteur de la cybersécurité à travers le monde a été occupée à se défendre et à enquêter sur les attaques log4shell basées sur la vulnérabilité récemment divulguée dans la bibliothèque Apache log4j.
Même s’il faudra un certain temps avant que des analyses approfondies ne soient complétées et rendues largement disponibles, les chercheurs commencent à scruter ce qui s’est passé. Certains schémas clairs sont apparus et sont publiés dans ce nouveau rapport, qu’il vous est possible de [3]télécharger en PDF , après inscription. Il n’est proposé qu’en anglais.
[4]
[1] https://www.infoblox.com/resources/webinars/quarterly-threat-report-research-and-analysis-on-emerging-cyberthreats-malware-and-ransomware/
[2] https://www.toolinux.com/?faille-de-la-bibliotheque-log4j-ce-qu-il-faut-savoir
[3] https://info.infoblox.com/resources-whitepapers-infoblox-q4-2021-cyberthreat-intelligence-report
[4] https://www.toolinux.com/?log4j-pink-boa-les-menaces-du-trimestre-se-precisent#forum
mercredi 16 février 2022
Dans la dernière édition du rapport d’Infoblox, on trouve les cinq menaces détectées pendant les derniers mois. Parmi celles-ci figurent le nouvel acteur de la menace PINK BOA, ainsi que des campagnes diffusant les logiciels malveillants. Voici la liste complète.
Depuis un an, Infoblox suit un nouvel acteur de la menace qu’il a nommé PINK BOA . Cet acteur a été très actif tout au long de cette période, mais les campagnes se sont encore intensifiées au cours de l’automne dernier.
PINK BOA s’appuie sur un algorithme de dictionnaire DGA (DDGA) pour générer des noms d’hôtes de façon aléatoire. Il utilise des milliers d’adresses IP appartenant à l’hébergeur américain Digital Ocean et réparties dans le monde entier.
[1]Selon les résultats d’un scan effectué par Infoblox sur des rapports publics, la plupart des adresses IP compromises semblent présenter des vulnérabilités qui peuvent être exploitées pour l’ exécution à distance de code malveillant .
L’entreprise a récemment observé des campagnes de diffusion de plusieurs malwares. Par exemple, une campagne s’appuyait sur un leurre DHL pour inciter les cibles à ouvrir la pièce jointe Microsoft Word, qui distribuait le cheval de Troie d’accès à distance (RAT) Ave Maria. Une autre campagne distribuait le malware Dark Crystal RAT (dcRAT), qui se propage également via un document Microsoft Word contenant un script VBA malveillant.
Le paiement SWIFT a servi comme prétexte pour une autre campagne, qui distribuait le voleur d’infos (infostealer) Vidar.
Enfin, plusieurs campagnes de spam malveillantes ont été menées par l’envoi de courriels prétendant provenir de l’entreprise logistique Al Bahr Al Arabi et de la United Bank of Egypt. Ils distribuaient le cheval de Troie d’accès à distance (RAT) Adwind via des fichiers Java et JavaScript armés.
Toujours la menace Log4j
La vulnérabilité Log4j, [2]dont nous vous parlions dans cet article , est également traitée dans le rapport au fur et à mesure que sont recueillies de nouvelles données la concernant. Une grande partie du secteur de la cybersécurité à travers le monde a été occupée à se défendre et à enquêter sur les attaques log4shell basées sur la vulnérabilité récemment divulguée dans la bibliothèque Apache log4j.
Même s’il faudra un certain temps avant que des analyses approfondies ne soient complétées et rendues largement disponibles, les chercheurs commencent à scruter ce qui s’est passé. Certains schémas clairs sont apparus et sont publiés dans ce nouveau rapport, qu’il vous est possible de [3]télécharger en PDF , après inscription. Il n’est proposé qu’en anglais.
[4]
[1] https://www.infoblox.com/resources/webinars/quarterly-threat-report-research-and-analysis-on-emerging-cyberthreats-malware-and-ransomware/
[2] https://www.toolinux.com/?faille-de-la-bibliotheque-log4j-ce-qu-il-faut-savoir
[3] https://info.infoblox.com/resources-whitepapers-infoblox-q4-2021-cyberthreat-intelligence-report
[4] https://www.toolinux.com/?log4j-pink-boa-les-menaces-du-trimestre-se-precisent#forum