Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour macOS [1], iPadOS et iOS [2a][2b], par VMware pour ESXi [3], par Google pour Chrome [4a][4b], par Solarwinds pour SEM [5], par Gitlab [6], et par Android [7]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Vulnérabilité
Exploitation active de la CVE-2024-27198 dans JetBrains TeamCity [8a] [8b] [8c] [8d] [8e]
Le 6 mars 2024, la firme GreyNoise a rapporté l’exploitation massive de la vulnérabilité critique référencée CVE-2024-27198 (CVSS:3.1 de 9.8) dans TeamCity On-Premises, éditée par JetBrains. Corrigée le 4 mars 2024 par l’éditeur, elle permet à un attaquant distant non authentifié de contourner les mécanismes d’authentification et obtenir le contrôle administrateur de serveurs vulnérables.
Le groupe APT nord-coréen Kimsuky exploite les CVE-2024-1708 et CVE-2024-1709 dans ScreenConnect [9a] [9b] [9c]
Le 5 mars 2024, les chercheurs de Kroll ont alerté sur l’exploitation active des CVE-2024-1708 et CVE-2024-1709 affectant ScreenConnect par le groupe APT nord-coréen Kimsuky (aka Thallium, Velvet Chollima, KTA082), pour déployer une variante du malware BabyShark, baptisée ToddlerShark.
Ransomware
Exit scam de l’opérateur de la franchise de Ransomware-as-a-Service ALPHV/BlackCat [10a] [10b]
Le lundi 4 mars 2024, l’opérateur de la franchise de Ransomware-as-a-Service ALPHV/BlackCat a mis en vente le code source du malware au prix de 5 millions de dollars, en marge de tensions internes et d’une prétendue saisie des infrastructures du groupe par les forces de l’ordre. Cet exit scam interviendrait au lendemain de la publication d’une plainte sur le forum cybercriminel russophone RAMP, le 3 mars 2024, par un affilié du groupe de ransomware.
Le gouvernement suisse affecté par la compromission du fournisseur de services informatiques Xplain par le ransomware Play [11a] [11b] [11c]
Le 7 mars 2024, le centre de cybersécurité de la Suisse (NCSC) a publié un rapport d’analyse des données publiées par le ransomware Play suite à la compromission du fournisseur de services informatiques Xplain, revendiquée le 22 mai 2023 par les acteurs de la menace. Les investigations ont conclu que les informations volées à Xplain comprenaient environ 65 000 documents appartenant à l’administration fédérale suisse.
Espionnage
Campagne de phishing réalisée par le groupe cybercriminel Earth Kapre à des fins de renseignement [12a] [12b]
Le 6 mars 2024, les chercheurs de Trend Micro ont révélé une campagne de phishing réalisée par le groupe russophone, Earth Kapre (alias RedCurl, Red Wolf) à des fins de renseignement. L’opération ciblait des organisations en Russie, en Allemagne, en Ukraine, au Royaume-Uni, en Slovénie, au Canada, en Australie et aux États-Unis.
Hacktiviste
Plusieurs hacktivistes revendiquent des vols de données et des attaques DDoS contre des entités françaises [13]
Entre le 29 février et le 4 mars 2023, plusieurs groupes hacktivistes ont revendiqué des attaques contre des entités françaises. Certaines d’entre elles ont subi des attaques par déni de service distribué (DDoS) quand d’autres auraient été victimes d’un vol de données présumé. Ces groupes, qui avaient annoncé leur association à la fin du mois de février, comprennent des membres vraisemblablement francophones. Il est donc probable qu’une partie significative de leurs cibles soit des entités localisées dans l’Hexagone à l’avenir.
Cybercriminel
Saisie de la plus grande marketplace germanophone Crimemarket [14]
Le 29 février 2024, la police de Düsseldorf a annoncé publiquement la saisie de la plus grande marketplace germanophone Crimemarket, dans le cadre d’une opération internationale de lutte contre la cybercriminalité. Les autorités auraient arrêté six individus, dont un administrateur présumé de Crimemarket. En outre, la police aurait saisi de nombreux équipements électroniques, dont des téléphones portables, des dispositifs informatiques, 600 000 euros en espèces et en biens mobiliers, ainsi que divers stupéfiants.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-1363
[2] CXA-2024-1319
[3] CXA-2024-1291
[4] CXA-2024-1296
[5] CXA-2024-1299
[6] CXA-2024-1314
[7] CXA-2024-1326
[8] CXN-2024-1322
[9] CXN-2024-1270
[10] CXN-2024-1295
[11] CXN-2024-1360
[12] CXN-2024-1329
[13] CXN-2024-1245
[14] CXN-2024-1250
