FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Cyberattaques contre Taïwan – Cybereason : le DDoS, « attaque du pauvre » mais un classique de l’arsenal cyber des États

3 août 2022 à 17:43
Par : UnderNews

Les sites anglais de la présidence et du gouvernement taiwanais ont été victimes de cyberattaques par déni de services (DDoS). Alors que les tensions sont au plus haut avec les États-Unis suite à la visite de Nancy Pelosi à Taïwan, la Chine est fortement soupçonnée d’être le commanditaire de ces attaques.

The post Cyberattaques contre Taïwan – Cybereason : le DDoS, « attaque du pauvre » mais un classique de l’arsenal cyber des États first appeared on UnderNews.

Ne faites pas confiance à ce mail de sextorsion, c’est un bluff envoyé par des escrocs

29 juillet 2022 à 11:51

Un mail a été envoyé par des escrocs à des centaines de milliers de Français, indiquant qu'ils sont en possession de vidéos compromettantes. Ce message n'est destiné qu'à tromper les destinataires en échange d'une somme d'argent.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Ne faites pas confiance à ce mail de sextorsion, c’est un bluff envoyé par des escrocs

29 juillet 2022 à 11:51

Un mail a été envoyé par des escrocs à des centaines de milliers de Français, indiquant qu'ils sont en possession de vidéos compromettantes. Ce message n'est destiné qu'à tromper les destinataires en échange d'une somme d'argent.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Crevette-mante, le réseau criminel d’ordinateurs infectés le plus puissant au monde

19 juillet 2022 à 17:09

Cloudflare a retrouvé le botnet à l'origine de la plus importante attaque par déni de service de l'histoire. Les chercheurs de l'entreprise ont baptisé ce réseau Mantis, ou crevette-mante en français, pour décrire ce réseau limité en nombre, mais extrêmement puissant.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Des botnets exploitent la dernière faille critique d’Atlassian Confluence

9 juin 2022 à 09:04

Plusieurs botnets s'appuient sur des exploits pour tirer profit de la dernière vulnérabilité critique découverte dans la solution Confluence d'Atlassian. Il est urgent de mettre à jour votre instance.

En exploitant cette vulnérabilité, un cybercriminel non authentifié sur votre instance Confluence pourrait créer un nouveau compte admin, exécuter des commandes, etc... Autrement dit, il pourrait prendre le contrôle total de votre serveur si celui-ci est exposé sur Internet. D'après la société de cybersécurité GreyNoise, les pirates informatiques montrent un fort intérêt pour cette vulnérabilité, et visiblement ils ont détecté une multiplication quasiment par 10 du taux d'exploitation, passant de 23 adresses IP tentant de l'exploiter à plus de 200.

Par ailleurs, les chercheurs en sécurité de Lacework Labs ont remarqué que les trois botnets surnommés Kinsing, Hezb, et Dark.IoT sont sur le coup, eux qui ont pour habitude de cibler des serveurs Linux dans le but de déployer des portes dérobées et des cryptomineurs malveillants. Ces botnets ne sont pas nouveaux dans le paysage des cybermenaces.

Il est question de plusieurs failles de sécurité, notamment la CVE-2021-26084 et la faille de sécurité découverte la semaine dernière et associée à la référence CVE-2022-26134. Depuis quelques jours, des correctifs sont disponibles donc il est fortement recommandé de patcher votre instance Confluence Server ou Confluence Data Center pour bloquer les éventuelles attaques. Atlassian précise : "Nous recommandons fortement de passer à une version patchée de Confluence, car plusieurs autres correctifs de sécurité sont inclus dans les versions patchées de Confluence.".

Dans un premier temps, Atlassian avait demandé à ses clients de ne plus exposer sur Internet leur serveur Confluence, ou tout simplement de l'éteindre. Désormais, il y a des mesures plus précises qu'il est possible de mettre en place s'il n'est pas possible de patcher dans l'immédiat. Toutes les informations sont disponibles sur cette page : Confluence - Bulletin de sécurité. En termes de versions patchés, Atlassian a mis en ligne plusieurs versions : 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 et 7.18.1.

Source

The post Des botnets exploitent la dernière faille critique d’Atlassian Confluence first appeared on IT-Connect.

Microsoft surveille XorDdos, un botnet DDoS qui infecte les serveurs Linux via SSH

24 mai 2022 à 13:27

Microsoft surveille de près l'activité du botnet XorDdos, et ces derniers mois, il s'avère que son activité a fortement augmenté : +254%. Voici ce qu'il faut savoir à son sujet.

Le logiciel malveillant XorDdos est un botnet constitué de machines Linux et qui n'est pas nouveau puisqu'il est connu depuis 8 ans environ. Comme son nom le laisse penser, il est utilisé afin de mener des attaques par déni de service distribué (DDoS). Pour élargir ce réseau de machines infectées, des attaques automatisées sont exécutées sur des serveurs Linux où le service SSH est exposé sur Internet. Dans le cadre de ces attaques, la méthode par brute force est utilisée pour tenter de trouver le mot de passe d'accès au serveur au travers d'une connexion SSH. Les serveurs dont le service SSH est exposé sur Internet, qui utilisent un mot de passe faible et qui n'ont pas de systèmes de protection (CrowdSec, fail2ban, etc...) sont particulièrement vulnérables. Le botnet XorDddos profiterait également des objets connectés connectés à Internet (IoT), basés sur Linux et peu sécurisés, ainsi que les instances Docker.

Lorsqu'une machine est compromise, ce qui signifie que le botnet s'est connecté en tant que root sur le serveur, le logiciel malveillant est mis en place. À partir de là, il commence à communiquer avec le serveur C2 de l'attaquant au travers d'une communication basée sur du chiffrement XOR. Dans un premier temps, le botnet collecte des informations basiques sur la machine infectée telles que la version du système, le type de processeur, la vitesse du réseau local, ou encore l'utilisation de la mémoire. D'après Microsoft, les machines infectées ne sont pas seulement intégrées au réseau du botnet XorDdos. En effet, d'autres souches malveillantes infectent ces machines telles que la porte dérobée Tsunami et le logiciel de cryptominning XMRig.

XorDdos est un logiciel malveillant particulièrement évolué puisqu'il dispose de capacités d'évasion lui permettant de dissimuler ses activités, et qu'il tourne en arrière-plan sur les systèmes infectés. Microsoft précise que XorDdos "comprend également plusieurs mécanismes de persistance pour prendre en charge diverses distributions Linux".

Dans son rapport, la firme de Redmond précise que Microsoft Defender for Endpoint détecte et bloque XorDdos en identifiant les menaces comme ceci :

  • DoS:Linux/Xorddos.A
  • DoS:Linux/Xorddos!rfn
  • Trojan:Linux/Xorddos
  • Trojan:Linux/Xorddos.AA
  • Trojan:Linux/Xorddos!rfn
  • Behavior:Linux/Xorddos.A

Ce qui est particulièrement inquiétant, c'est le nombre de machines qui peuvent constituer ce botnet et qui pourraient être utilisées pour mener une attaque DDoS d'envergure. Sinon, pour que ce botnet parvienne à compromettre une machine Linux, il faut vraiment ne pas respecter les principes de bases en commençant par utiliser un mot de passe fort et ne pas permettre l'autorisation via le compte "root" sur un accès SSH.

Source

The post Microsoft surveille XorDdos, un botnet DDoS qui infecte les serveurs Linux via SSH first appeared on IT-Connect.
❌