Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Veritas NetBackup [1], Flask [2], FortiOS [3], Brocade [4], Google Chrome [5] et Tenable Nessus [6].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein de Sophos Web Appliance [7]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est alors en mesure de scanner une ou plusieurs URL afin de détecter des serveurs vulnérables à une exécution de commande arbitraire (en provoquant une requête vers un serveur DNS sous son contrôle via la commande ping).
Malware
Un nouvel infostealer nommé « Atomic MacOS » serait en vente sur Telegram [8]
Un nouveau canal Telegram identifié par Cyble ferait la promotion d’un malware nommé Atomic macOS Stealer (AMOS), spécialisé dans la compromission des systèmes d’exploitation développés par Apple. Commercialisé à hauteur de 1 000$/mois, Atomic macOS est distribué via des campagnes de phishing et l’exploitation de vulnérabilités. Selon Cyble, les utilisateurs de cet infostealer seraient principalement motivés par la recherche de gains financiers.
Attaque
Sophistication des TTPs du mode opératoire APT MINT SANDSTORM [9a] [9b]
Dans un rapport publié le 18 avril 2023, Microsoft revient sur la sophistication des TTPs associées au mode opératoire APT MINT SANDSTORM.
Ransomware
La version Linux du ransomware RTM Locker ciblerait les serveurs VMware ESXi [10a] [10b] [10c]
Des acteurs de la menace non identifiés auraient développé une version du ransomware RTM Locker, ciblant spécifiquement les infrastructures Linux des serveurs VMware ESXi. Le groupe d’acteurs malveillants associé au Ransomware-as-a-Service (RaaS) Read The Manual serait actif depuis au moins 2015. La société de cybersécurité Trellix a observé le recrutement d’affiliés, y compris ceux de l’ancien groupe de ransomware russophone Conti.
Microsoft : les ransomwares Cl0p et LockBit 3.0 exploiteraient les vulnérabilités du serveur PaperCut [11a] [11b]
Identifiées le 26 avril 2023 sur le logiciel de gestion d’impression PaperCut, les vulnérabilités référencées CVE-2023-27350 et CVE-2023-27351 seraient activement exploitées par des modes opératoires diffusant les ransomwares Cl0p et LockBit 3.0.
Ces 2 vulnérabilités permettraient aux modes opératoires d’exécuter du code arbitraire à distance en tant que SYSTEM et d’accéder à des données sensibles liées aux utilisateurs de PaperCut MF/NG.
Conflit Ukraine
Identification d’une nouvelle campagne d’attaques associée à la Russie par le CERT-Ukraine [12a] [12b] [12c] [12d] [12e]
Le CERT-Ukraine annonce avoir identifié une campagne d’attaques ciblant les organismes gouvernementaux du pays par le mode opératoire APT28 via des courriels de phishing censés contenir des instructions sur les mises à jour de sécurité Windows. Les opérateurs d’APT28 auraient créé des adresses électroniques @outlook.com en utilisant les noms d’employés réels de Microsoft obtenus lors d’une phase initiale de reconnaissance. Au lieu d’instructions légitimes, les courriels conseillaient aux utilisateurs d’exécuter une commande PowerShell simulant un processus de mise à jour légitime et téléchargeant en réalité une payload malveillante.
Cybercriminalité
La plateforme Genesis Market serait toujours accessible sur Tor
Active depuis 2017, Genesis Market est spécialisée dans le recel de données personnelles (adresses IP, cookies, identifiants de connexion). La plateforme est une référence de l’écosystème cybercriminel international. Grâce à son mécanisme de cooptation, des prix bon marché et une accessibilité facilitée, la marketplace aurait vendu à son apogée les données de plus de 2 millions de personnes via des « bots ».
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-2308
[2] CXA-2023-2295
[3] CXA-2023-2344
[4] CXA-2023-2332
[5] CXA-2023-2328
[6] CXA-2023-2202
[7] CXA-2023-2272
[8] CXN-2023-2294
[9] CXN-2023-2246
[10] CXN-2023-2341
[11] CXN-2023-2270
[12] CXN-2023-2312
[13] CXN-2023-2271
