Threat Landscape #42

Threat Landscape #42

  • OpenAI perturbe des campagnes malveillantes utilisant ses technologies
  • Les attaques TOAD : une menace croissante combinant phishing et appels téléphoniques
  • National Public Data se déclare en faillite après une cyberattaque majeure


IA

OpenAI perturbe des campagnes malveillantes utilisant ses technologies

OpenAI a annoncé avoir perturbé plus de 20 campagnes exploitant son modèle d’IA pour des usages malveillants, notamment la création de logiciels malveillants et la désinformation. Certaines opérations avaient été attribuées à des gouvernements comme ceux de la Chine, de la Russie et de l'Iran. Par exemple, le mode opératoire iranien CyberAv3ngers a tenté d'utiliser ChatGPT pour mener des cyberattaques automatisées, principalement via la génération de scripts. Bien que ces tentatives n'aient pas atteint une grande envergure, elles montrent que des acteurs étatiques cherchent à détourner les modèles d'intelligence artificielle pour conduire des opérations malveillantes.

La société déclare avoir mis en place des filtres améliorés pour éviter l'abus de ses modèles, tout en travaillant étroitement avec des agences de sécurité pour détecter les menaces. Elle indique dans un rapport que ces outils lui ont permis de réduire certaines étapes analytiques de plusieurs jours à quelques minutes seulement, mais que le processus d'enquête nécessite toujours un jugement humain intensif et une expertise tout au long du cycle. Cet élément empêcherait donc une véritable scalabilité de ces détections et donc de la généralisation de la perturbation de ces activités malveillantes.

L'entreprise souligne que si ChatGPT peut être exploité à des fins malveillantes, il est souvent intégré dans un ensemble plus large d'outils utilisés par les attaquants. Les cybercriminels peuvent utiliser d'autres logiciels pour coordonner des attaques, tandis que ChatGPT servirait de facilitateur pour des tâches spécifiques comme la création de codes ou de messages.

L’œil d’Intrinsec

Même si OpenAI a perturbé des campagnes faisant un usage frauduleux de son IA, il est important de garder à l’esprit que ces interruptions sont encore loin d’être systémiques. Les entreprises doivent donc rester vigilantes face aux nouvelles menaces liées à l’IA. Les tentatives de compromission, comme les attaques de phishing, peuvent être amplifiées par des outils comme ChatGPT et d’autres outils, facilitant la création de faux emails crédibles ou l’automatisation d’attaques ciblées. La sensibilisation et la mise en place de mesures de cybersécurité adaptées, incluant la détection de ces nouveaux vecteurs, sont cruciales pour limiter ces risques.

En savoir plus ici et .


Phishing

Les attaques TOAD : une menace croissante combinant phishing et appels téléphoniques

D’après un rapport d’Intel471, les cybercriminels intensifient l'utilisation d'attaques TOAD (Telephone-Oriented Attack Delivery), une combinaison d'ingénierie sociale via email et d'appels téléphoniques pour inciter les victimes à télécharger des logiciels malveillants. Depuis 2023, ce modèle est de plus en plus employé pour distribuer des malwares ou lancer des rançongiciels en se faisant passer pour des services légitimes, avec des acteurs criminels recrutant des opérateurs de centres d'appel spécialisés. La demande pour ces services explose, et les opérateurs de ransomware exploitent ces tactiques afin de maximiser leurs gains.

Bien que de plus en plus populaire, cette méthode n’est pas nouvelle et rappelle les campagnes Bazarcall de 2020/2021, exploitant des appels téléphoniques pour distribuer le malware Bazarloader, pouvant être vecteur d’accès initial pour des ransomware tels que Conti.

Une chaîne d'infection TOAD typique se déroule en 4 étapes :

  • Envoi d'un mail de spear-phishing à une victime.
  • Réponse de la victime et suite d'échanges pour récolter des informations.
  • Appel téléphonique avec la victime.
  • Ingénierie sociale pour amener la victime à réaliser des actions qui lui sont dommageables (installation de malware, exfiltration de données).

L’œil d’Intrinsec

L’utilisation de ce type de méthode afin de délivrer différentes charges utiles malveillantes, dont des ransomwares, démontre l’adaptabilité des acteurs malveillants. La popularité croissante des attaques TOAD indique que ce vecteur d’accès initial est efficace, car sinon les cybercriminels se détourneraient de celles-ci.

Cela vient rappeler l’intensité de la segmentation des activités cybercriminelles, avec des acteurs se spécialisant dans des activités spécifiques et faisant appel à d’autres acteurs pour réaliser différentes actions au sein d’une kill-chain. Dans le cadre des attaques TOAD, Intel471 a effectivement observé que des services spécialisés dans ces attaques étaient promus au sein de forums cybercriminels. Des opérateurs de malware peuvent dès lors faire appel à ces services pour faciliter la phase d’accès initial afin d’infecter de nouvelles victimes. Cela leur permet de se concentrer sur l’amélioration du flux d’exécution de leur charge utile.

Afin de se protéger, il convient notamment de sensibiliser ses collaborateurs aux différentes méthodes de phishing par email et par téléphone, et d’utiliser des mécanismes anti-spoofing ainsi que d’authentification des courriels.

En savoir plus ici.


Incident

National Public Data se déclare en faillite après une cyberattaque majeure

La plateforme National Public Data, qui propose des services de vérification de casier judiciaire et de prévention de la fraude en ligne aux Etats-Unis, a été déclarée en faillite auprès du tribunal des faillites du district sud de Floride le 2 octobre dernier par sa maison mère, Jerico Pictures. Plus précisément, cette plateforme permet d'accéder instantanément à diverses données publiques, telles que les dossiers criminels, les traces de numéros de sécurité sociale (SSN) et d'autres vérifications de données personnelles, en agrégeant des informations provenant de bases de données publiques, de dossiers judiciaires et de dépôts nationaux.

Cette décision ferait notamment suite à une cyberattaque que National Public Data aurait subi à la fin de l’année dernière. En effet, selon la notification présente sur le site web de l’État de Maine, État de l’extrême nord-est des États-Unis, une fuite de données s’est produite le 30 décembre 2023, affectant 1,3 million de personnes. Elle résulterait d’une compromission externe du système d’information par un acteur malveillant et concernerait les informations suivantes : nom, adresse électronique, numéro de téléphone, numéro de sécurité sociale, adresse(s) postale(s) et date de naissance. Cette publication révèle également que les personnes concernées par cette fuite de données n’ont été notifiées que le 10 août 2024 par National Public Data, soit près de 8 mois après la compromission.

Cependant, au cours de ces 8 mois d’abstinence, un acteur malveillant renommé du nom de USDoD, réputé pour avoir déjà divulgué des données liées au FBI, à Airbus et à TransUnion, a mis en vente le 7 avril 2024, sur le forum BreachForums, une base de données associée à National Public Data pour la somme de 3,5 millions de dollars. À la suite de l'intention de publication des données par USDoD, plusieurs chercheurs en cybersécurité, dont vx-underground et Troy Hunt, ont réussi à obtenir 277,1 Go de données non compressées de la part de l'acteur malveillant afin de confirmer leur authenticité et leur exactitude. Après analyse, il a été confirmé, malgré la présence de doublons, que les informations étaient exactes. De plus, Troy Hunt a estimé que la base de données contenait environ 899 millions de numéros de sécurité sociale uniques.

En plus de cette déclaration de faillite, l’entreprise fait donc l'objet d'enquêtes et de poursuites judiciaires de la part de la quasi-totalité des États et territoires américains, dont plus de 20 États réclamant des sanctions civiles. La compromission, qui a attiré l'attention du FBI et des agences de régulation, a aussi entraîné d'importants dommages financiers et de réputation pour la maison mère Jerico Pictures.

L’œil d’Intrinsec

Annoncer faillite à la suite d’une cyberattaque d’ampleur sur son système d’information n’est malheureusement pas une première autour du globe. Rien qu’en 2024, plusieurs exemples illustrent cette réalité. Il est notamment possible de noter Petersen Health Care, l'un des plus grands exploitants de maisons de repos aux États-Unis, KNP Logistics, un des principaux groupes logistiques privés du Royaume-Uni, ainsi que Rialcom, l'un des plus grands fournisseurs d'accès à Internet à Moscou. Ces grandes entreprises, malgré leur succès avéré dans leur secteur d’activité, semblent pour autant avoir mis en œuvre des mesures de sécurité informatique insuffisantes pour contrer les compromissions ou, à minima, réduire les impacts des cyberattaques qu'elles ont subies. Il est donc essentiel de rappeler que toute entreprise doit faire appel à des prestataires de sécurité informatique afin de renforcer sa posture en matière de cybersécurité et réduire sa surface d’attaque.

En savoir plus ici et ici.


Cette newsletter est émise par notre cellule de Threat Intelligence : le service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.


Identifiez-vous pour afficher ou ajouter un commentaire

Plus d’articles de Intrinsec

Autres pages consultées

Explorer les sujets