Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .
Le 18 septembre 2023, l’ANSSI a publié un rapport sur l’acteur de la menace FIN12 l’associant à la tentative de compromission du centre hospitalier universitaire de Brest de mars 2023.
Lors de la cyber-attaque, les attaquants n’ont pas pu exfiltrer de données ni déployer de ransomware, toutefois, l’investigation a permis d’identifier plusieurs actions malveillantes dont l’accès initial au système d’information. Depuis un service de bureau à distance, les cybercriminels ont réussi à obtenir des informations d’identification d’un professionnel de santé à la suite d’une campagne de phishing distribuant un infostealer.
Ils ont également tenté d’élever leurs privilèges ainsi que de se latéraliser via l’exploitation de multiples vulnérabilités :
LocalPotato(CVE-2023-21746 et CVE-2022-24521) ;PrintNightmare(CVE-2021-34527) ;BlueKeep(CVE-2019-0708) ;ZeroLogon(CVE-2020-1472).
Par l’intermédiaire de leurs investigations, les chercheurs de l’ANSSI ont pu établir des liens de TTPs et d’infrastructure entre FIN12 et un ensemble d’attaques par ransomware dont certaines liées à l’acteur de la menace nommé Pistache Tempest (alias DEV-0237).
FIN12, actif depuis au moins 2019, s’est affilié successivement à plusieurs Ransomware-as-a-Service (RaaS) tels que :
Ryuk;Conti;Hive;Nokoyawa;Play;BlackCat/Alphv;Agenda;Mindwar;
Indicateurs de compromissions :
file:8a0743f17110dc945007f08f3e63da166a3937dc
file:9e2737994aa8bf0d6900e5369d51978adc4c02f9
file:364a4d9ea6f88eec098b13728fce2c1ead94c48d
file:8291929d6f3ede6ec025c21d1559a7fe9d30a9ce
file:70ad1a42ce05404c00513989c949c83a94feca92
file:28400c267815762e49c200e8b481a592c67f9cf7
file:d65969088eb8f6098c33c5427a650e8576cdbfa6
file:eeaf29a71330db50cdd4630f8d9f1c2b6a34578c
file:292629c6ab33bddf123d26328025e2d157d9e8fc
file:536734aa6ec0f0b1ba8e43088edc6857eca42667
file:e2a68116d52182f207c087f349e04e049982d431
file:fae6068d4433b33751bf7de866d7f2900aa15139
file:d69420a636dacfbafaf01f7153692c197e9b6400
file:68a07540fbf58fe743636b7fc8f0370c84134eb3
file:58cb839dbc0232874b6fed9a354d4cc6d355cbac
file:1e0ec6994400413c7899cd5c59bdbd6397dea7b5
file:35ff55bcf493e1b936dc6e978a981ee2a75543a1
file:a00ebf699ea0759e7bf4af65dddd741133c38484
file:df12386df2c0fcf65522282914424d63da962d79
domain:getinteriorartstudio[.]com
domain:performernews[.]com
domain:texasflooddesign[.]com
domain:tumbleproperty[.]com
domain:purpleinfluenceonline[.]com
domain:realversedesign[.]com
domain:tributepower[.]com
domain:youthconscience[.]com
domain:herbswallow[.]com
domain:jacketsupport[.]com
domain:psychologymax[.]com
domain:mirrordirectory[.]com
ipv4:149[.]28[.]197[.]120
ipv4:149[.]28[.]213[.]157
Références :
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-007.pdf
https://www.cert.ssi.gouv.fr/ioc/CERTFR-2023-IOC-001/
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article