Une faille critique affecte des millions de PC gaming de la gamme HP Omen
SentinelLabs a découvert une faille sérieuse dans le logiciel pilote HP OMEN, qui affecte déjà des millions d’appareils dans le monde. OMEN Command Center est un logiciel qui est préinstallé sur tous les ordinateurs et portables HP OMEN. Il peut être téléchargé depuis Microsoft Store sur tout ordinateur Windows 10 utilisant des accessoires périphériques vendus sous la marque OMEN.
Suite à des recherches sur d’autres produits HP, SentinelLabs a découvert que le logiciel contenait des vulnérabilités pouvant permettre à des acteurs malveillants de réaliser des attaques par escalade de privilèges. Avec ce niveau d’accès, les hackers peuvent désactiver les produits de sécurité, écraser les composants du système, corrompre le système d’exploitation ou effectuer toute opération malveillante sans entrave.

Les résultats de SentinelLabs ont été rapportés de manière proactive à HP et la vulnérabilité est suivie sous le nom de CVE-2021-3437, avec un score CVSS de 8.8. HP a publié une mise à jour de sécurité pour ses clients afin de corriger ces vulnérabilités.

ShadowPad : un malware très spécifique vendu dans les cercles affiliés à l’espionnage chinois

Plus qu’un framework d’attaque ouvert, ShadowPad est une plateforme de malwares qui propose différents modules vendus séparément. Apparu en 2015 comme le successeur de PlugX, ce n’est qu’après plusieurs incidents regrettables sur les chaînes d’approvisionnement de logiciels qu’il a commencé à intéresser un public plus vaste. Mise à jour régulièrement pour intégrer des techniques plus avancées d’anti-détection et de persistance, la plateforme est utilisée par au moins quatre groupes d’espionnage. Principale porte dérobée pour des opérations d’espionnage menées lors de plusieurs campagnes, ShadowPad était déjà impliquée dans des attaques visant la chaîne d’approvisionnement logicielle de CCleaner, NetSarang et ASUS.
Grâce à ShadowPad les hackers réduisent drastiquement leurs coûts de développement et de maintenance. D’après les observations de SentinelLabs, certains groupes de menaces ont d’ailleurs cessé de développer leurs propres portes dérobées (backdoors) après avoir eu accès à ShadowPad.
Bien que la backdoor soit correctement conçue et très probablement élaborée par un développeur expert en malwares, le développement de ses fonctionnalités et de ses capacités à déjouer l’inforensique se poursuit activement. L’adoption de cette « porte dérobée » complique la donne pour les chercheurs et les analystes en sécurité qui traquent les hackers basés en Chine. Difficile pour eux de savoir sur quel cybercriminel ils doivent axer leurs recherches. Il leur faut donc enquêter de manière plus systématique. L’analyse des relations entre les indicateurs ou la surveillance dans la durée des activités et des campagnes peuvent ainsi être utiles.

MeteorExpress : Un mystérieux malware paralyse les trains en Iran

Le 9 juillet dernier, une attaque par un malware destructeur (wiper) a paralysé le système ferroviaire iranien. Les hackers ont nargué le gouvernement en publiant de faux messages et en invitant les passagers à appeler le bureau du Guide suprême iranien Khamenei dont le numéro avait été rendu public.
Les chercheurs de SentinelLabs ont pu reconstituer une grande partie de la chaîne d’attaque, impliquant un wiper destructeur, inconnu jusque-là, baptisé par les attaquants « Meteor ». Il n’a pas été encore possible de relier cette activité à un groupe déjà identifié ni à d’autres attaques. Toutefois, les attaquants connaissaient déjà la configuration générale de leur cible, les caractéristiques du contrôleur de domaine et le système de sauvegarde choisi par la cible (Veeam).La phase de reconnaissance serait donc passée totalement inaperçue et il reste à découvrir tout l’arsenal d’espionnage mis en œuvre. Cependant, selon les artefacts, ce wiper a été développé au cours des trois dernières années et conçu pour être réutilisé.

Malgré l’absence de détails techniques dans les premiers rapports, SentinelLabs a pu reconstituer la plupart des composants de l’attaque en se basant sur une combinaison de facteurs : l’analyse précoce des chercheurs en sécurité de Padvish et la récupération d’un artefact de l’attaquant comprenant une liste plus détaillée comportant des noms de composants. Les attaquants ont trompé la stratégie de groupe pour distribuer un fichier CAB afin de mener leur attaque.

Hotcobalt : une nouvelle vulnérabilité DoS de Cobalt Strike permet d’interrompre les opérations

Cobalt Strike est l’un des frameworks d’attaque les plus connus. Il est généralement utilisé par les équipes rouges (Red Teams) mais de nombreux groupes APT et acteurs malveillants s’en servent également.
Les versions 4.2 et 4.3 de Cobalt Strike contiennent plusieurs vulnérabilités de déni de service (DoS) (CVE-2021-36798) qui peuvent empêcher les balises existantes de communiquer avec leur serveur C2, bloquer l’installation de nouvelles balises et potentiellement interférer avec les opérations en cours.
SentinelOne a été témoin de nombreuses attaques impliquant Cobalt Strike dans sa base de clients. SentinelOne détecte Cobalt Strike Beacon et met constamment au point de nouveaux moyens de détecter les modifications ou de nouvelles façons de charger Beacon en mémoire.

Compte tenu de son adoption massive par les équipes rouges et les hackers, SentinelLabs a souhaité mieux comprendre la sécurité opérationnelle de Cobalt Strike. Ceci l’a conduit à découvrir les vulnérabilités rapportées dans la CVE-2021-36798 et, en conséquence, à publier une nouvelle bibliothèque Python pour effectuer une analyse générique des communications des balises et aider ainsi la communauté cyber.