lundi 11 décembre 2017

Untangling the Patchwork Cyberespionage Group

Hi guys,

We released a new technical paper about a known APT threat actor named "Patchwork".

The blog entry is here, while the full paper is there.

Cheers ! :-)

mercredi 29 novembre 2017

Attaques APT : l'être humain doit devenir le maillon fort

Hello,

Je viens d'accorder une interview à Sécurité Off, disponible ici:

https://www.securiteoff.com/attaques-apt-letre-humain-devenir-maillon-fort/

J'espère que ça vous plaira ;-)

jeudi 21 septembre 2017

New RETADUP Variants Hit South America, Turn To Cryptocurrency Mining

Hi all,

I have written this blog post in collab with my good friends Kenney and Lenart... ;-)

Available HERE.

jeudi 20 juillet 2017

Android Backdoor GhostCtrl can Silently Record Your Audio, Video, and More

Some days ago we published this blog post. It seems that some cybercriminals are heavily using it at the moment to spy audio conversations. I guess it's pretty interesting.

mercredi 22 mars 2017

Winnti Abuses GitHub for C&C Communications

Hi folks,

I've published a new blog post today on Trend Micro's blog. This is once again about some APT campaign, this time showing some of the new modus operandi from a threat actor named Winnti.

It is available here.

mercredi 14 septembre 2016

The French cybercrime underground

Hi all :-)

I just released a new white paper about the whole french cybercrime underground, available here. The full paper is available here.

jeudi 8 septembre 2016

The French Dark Net Is Looking for Grammar Police

New blog post being released, entitled "The French Dark Net Is Looking for Grammar Police". Hope you will enjoy it ;-)

The french cybercrime underground is definitely surprising... ;-)

lundi 5 septembre 2016

MISC 87 - Business E-Mail Compromise

Hello à tous/toutes,

Je vous avais promis un article MISC qui pour une fois ne parlerait pas d' APT, c'est chose faite dans MISC 87.

misc-87.jpg

Vous y trouverez un article que j'ai écrit sur le phénomène du "Business e-mail compromise". J'espère qu'il vous plaira ! :-)

Je suis un peu sec pour de nouveaux sujets MISC en ce moment, si vous avez des idées n'hésitez pas à me solliciter ! ;-)

lundi 29 août 2016

When Hackers Hack Each Other—A Staged Affair in the French Underground?

Last week one of my new blog post got released here. I hope you will enjoy it, especially the french ones interested in cybercrime ;-)

Cheers !

mardi 12 juillet 2016

French Dark Bets: Betting On Euro 2016

Hi all,

Please be advised I have published a new blog post entitled "French Dark Bets: Betting On Euro 2016"

French people in particular might be interested... ;-)

jeudi 7 juillet 2016

Actu récente : articles MISC

Hello,

Petit post blog pour faire un peu ma promo, j'avais oublié de signaler certaines publications ici...

MISC 85 : un article "APT - Qui sont les attaquants" qui décrit un peu les différents types de profils présents dans les équipes d'attaquants APT.

misc85.png

MISC 86 : un article "Simulation d'attaque APT", qui décrit pourquoi et comment mettre en oeuvre des simulations d'attaques APT. Ces simulations sont souvent bien plus efficaces pour sensibiliser une population en entreprise.

misc86.png

Je viens de finir d'écrire un nouvel article pour MISC, et tenez-vous bien, il ne parlera pas d'APT cette fois-ci ;-)

La suite en Septembre donc, pour ce qui est des articles MISC en tout cas ;-)

jeudi 17 septembre 2015

Operation Iron Tiger

I have published a new report about an APT threat actor known as "Emissary Panda" which originates from China. The blog entry is here, while the full paper is here. There is also an appendix here.

This research paper involved a lot of work with my great colleagues from CSS/Trend Micro. It was a great pleasure to write it :-)

I hope you will enjoy this long (more than 50 pages) paper ! :-)

mardi 1 septembre 2015

New Rocket Kitten research paper

Following my first research paper about the Rocket Kitten APT threat actor, I have released another one, this time as a collaboration work with one researcher from ClearSky.

The blog post is here: Rocket Kitten Spies Target Iranian Lecturer and InfoSec Researchers in New Modus

The full paper is here: The Spy Kittens Are Back : Rocket Kitten 2

mercredi 3 juin 2015

How to Spot Frauds on Professional Networks

Here is another article I wrote, this time to try to raise awareness on some professional networks risks. Link is How to Spot Frauds on Professional Networks

Also, related, is this blog post I wrote: Reconnaissance via Professional Social Networks.

dimanche 26 avril 2015

MISC Magazine numéro 79 - Le point sur les APT

Un petit post rapide pour vous signaler que j'ai publié dans le dernier numéro de MISC Magazine un article intitulé "APT 101" qui présente les notions de base des attaques APT. L'exercice n'était pas forcément facile après avoir écrit un livre sur le sujet...

Le numéro 79 de MISC est présenté ici, sur le site de l'éditeur.

A noter au passage que ce numéro contient 4 articles sur les attaques APT, dont un excellent article de David Bizeul & Xavier Creff (Threat Intelligence et APT), un article sur le tristement célèbre malware PlugX écrit par Fabien Perigaud, ainsi qu'un article "APT au combat : stratégie numérique en réseau d'entreprise" écrit par William Dupuy & Nicolas Guillermin.

Un numéro à lire de toute urgence ! :-)

mardi 31 mars 2015

Fake Judicial Spam Leads to Backdoor with Fake Certificate Authority

Here is the link to a new blog post I wrote with friends Kenney Lu and Dark Luo from Trend Micro.

It has several interesting aspects, in my mind:

  • The fact that there is an ongoing campaign against french people, using french material, which is rare enough to be worth mentioning;
  • The fact that there is a kit used to drop different payloads: Gootkit, CryptoWall, some banking trojan...;
  • The fact that it uses an innovating method to infect the victims computers.

Hope you will enjoy the read ! :-)

mercredi 18 mars 2015

Operation Woolen GoldFish

Hi all,

Here is my first research paper done for my new employer, Trend Micro.

I hope you'll enjoy it ! :-)

The blog summary I wrote about the paper is here, while the complete paper can be found here.

jeudi 5 mars 2015

Retrait de certains billets de ce blog

Comme vous avez pu le constater certains billets de ce blog ont disparu. Ils étaient tout simplement trop liés à une entreprise pour laquelle j'ai travaillé par le passé. Je n'en dirais pas plus, étant tenu par un devoir contractuel de loyauté envers cet ex-employeur.

jeudi 4 décembre 2014

Sécurité et espionnage informatique

C'est avec un plaisir non dissimulé que je blogge ici pour vous faire part de la publication de mon premier ouvrage aux Editions Eyrolles, intitulé "Sécurité et espionnage informatique - Connaissance de la menace APT et du cyberespionnage".

Le livre est disponible en précommande sur le site d'Amazon.fr, et sera publié et disponible en FNAC à compter du 12 décembre.

Il m'aura fallu pas loin d'un an et demi de travail de nuit et le soutien de nombreuses personnes pour mener ce projet à son terme. Je remercie chaleureusement tous les gens qui m'ont aidé et soutenu, la liste serait trop longue mais ils sont remerciés en détail dans le livre ;-)

J'espère donc que cet ouvrage vous sera utile, que sa lecture vous sera agréable, et que vous me ferez un petit feedback ?

Merci à tous/toutes ! :-)

Cédric.

mercredi 26 novembre 2014

Allo Domino's ? Je voudrais une reine avec supplément cybercriminalité !

Je suis un grand amateur de pizza. C'est pour ça que je n'aime pas les pizzas de chez Domino's Pizza. Elles sont bien trop industrielles et noyées dans l'huile pour être mangeables. Par contre, j'adore la cybercriminalité et lorsque les deux se mêlent, je me sens obligé de blogger pour faire de la sensibilisation.

Ainsi donc, de méchants pirates ont compromis Domino's Pizza afin de récupérer la base de donnée de tous les clients de la société. Leur but était de faire du chantage à la société: soit vous nous payez, soit on publie la base de donnée sur Internet. Domino's n'a pas payé, ce qui est un comportement louable et responsable afin de ne pas encourager ce type de cybercriminalité, mais d'un autre côté, la nuisance pour leurs clients est très forte, nous allons y revenir.

Souhaitant me faire une idée plus précise du carnage, je me suis procuré cette base de données. A titre de rappel, je ne peux que me répéter: lorsqu'une base de donnée fuite sur Internet, elle ne disparait quasiment jamais. Elle réapparaitra toujours, à un moment où un autre.

Quoi qu'il en soit, l'affaire fait beaucoup rire, mais avez-vous sérieusement envisagé les conséquences de la distribution d'une telle liste à des cybercriminels ? Nous allons étudier quelques scénarios afin d'en prendre bonne mesure.

Note: Je ne sais pas comment a été constituée cette base de données. Néanmoins, étant donné que certaines entrées ne présentent qu'un numéro de téléphone, je suppose qu'elle contient à la fois des clients qui se font livrer et des clients qui se déplacent pour venir la chercher. Il y a exactement 592807 entrées uniques dans cette base.

Pour le particulier, cela signifie donc que des pirates disposent de:

  • leur adresse e-mail
  • leur numéro de téléphone
  • leur adresse physique (ainsi que leurs codes d'entrées d'immeuble parfois, ou des indications type "au bout du couloir à gauche, il faut frapper")
  • un mot de passe chiffré utilisé pour s'inscrire sur le site de Domino's.

Notez que le chiffrement du mot de passe est cependant facilement contournable, une attaque par brute-force révèlera les mots de passe des utilisateurs à un attaquant au besoin.

Que peuvent donc faire les attaquants avec ces données ?

- Envoyer des campagnes de spam de masse, mais un peu mieux faites qu'habituellement, parce qu'elles mentionneront peut-être votre adresse, votre numéro de téléphone, votre adresse physique...

- Couper la base de donnée selon des critères géographiques pour les revendre ou commencer à envoyer des e-mails ciblés, type "Nouvelle enseigne de pizza dans votre ville de xxxx, cliquez ici" ... Le clic mènera soit à un site essayant d'obtenir les informations de votre carte bancaire, soit à vous infecter avec un malware (qui lui aussi en voudra à votre carte bancaire ou à tous vos accès à des services en lignes par exemple: Paypal, banque, etc.) Les scénarios peuvent ici être très variables.

- Vendre la base de donnée à un/des concurrent(s) de Domino's Pizza ... Qui vous maileront bien sûr.

- Envoyer de faux e-mails Domino's Pizza pour vous demander confirmation de votre numéro de carte bancaire, ou pour obtenir d'autres informations, ou encore une fois vous infecter avec un malware.

- Vendre la base à des sociétés de démarchage téléphonique ...

- Appels téléphoniques malveillants : les attaquants peuvent se faire passer pour des fournisseurs d'accès Internet afin d'obtenir des informations: les utilisateurs disposant d'adresses mail en orange.fr par exemple peuvent être appelées, le fraudeur les mettant en confiance en montrant qu'il dispose d'informations sur eux, afin de mettre en place des scénarios divers et variés: obtention de numéro de carte bancaire, infection par malware (si vous ne voulez pas que la ligne Internet coupe, car nous avons des problèmes en ce moment, allez sur ce site...) etc.

- Utiliser le mot de passe fourni à Domino's pour voir si *éventuellement* il ne correspondrait pas à celui de la boite mail indiquée à Domino's Pizza. Beaucoup d'utilisateurs utilisent encore le même mot de passe partout, ce qui est évidemment déplorable en terme de sécurité informatique. Ainsi, l'attaquant pourrait utiliser à loisir votre boite mail pour envoyer du spam, lire vos e-mails, mener d'autres campagnes de cybercriminalité etc.

- Faire un tri dans les adresses mail pour cibler précisément des entreprises dont les employés ont utilisé une adresse mail "corporate". Il y a par exemple 69 adresses mails en .gouv.fr et de nombreuses sociétés clairement identifiables... Ces seules informations peuvent déja être sensibles et permettre à un attaquant de se lancer dans une attaque ciblant l'entreprise... Nous rejoignons ici le cyber espionnage ...

- Usurper votre identité afin de s'inscrire à d'autres services en ligne... A titre d'exemple, j'ai récemment constaté qu'un cybercriminel chinois utilisait les coordonnées réelles d'une innocente afin d'enregistrer des noms de domaines servant à des attaques ciblées (APT).

- Commander 20 pizzas avec vos informations et les faire livrer chez vous... Juste pour le plaisir de nuire. Etant donné que la commande est passée avec vos informations, Domino's exigera probablement le paiement...

Comme vous pouvez le constater, les possibilités sont nombreuses, et nous pourrions entrer dans un niveau de détail plus élevé pour mettre en place de nombreux autres scénarios non décrits précisément ici.

Que peut-on faire pour limiter les dégâts ?

- Imaginez toujours qu'un service auquel vous souscrivez peut être piraté un jour.

- Utilisez des mots de passes uniques. N'hésitez pas à utiliser des logiciels de conservation de mot de passe tels que Keepass.

- Ne donnez que les informations nécessaires (ne remplissez jamais les champs facultatifs).

- Si possible, utilisez une adresse mail unique pour chaque site sur lequel vous vous inscrivez.

- Soyez prudents lorsque vous recevez des e-mails, même lorsqu'ils semblent venir de fournisseurs de services auxquels vous avez souscrit.

- Si vraiment vous voulez manger une bonne pizza, allez chez Il Campionissimo :-)

- page 1 de 8