Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Zyxel [1], par Gitlab [2], par Google pour Google Chrome [3a][3b], par WordPress [4], par PrestaShop [5][6] et par ServiceNow [7].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Aucun correctif n’a été publié.
Divulgation d’information via une vulnérabilité au sein de Keepass [8]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C#. En exécutant ce programme sur un fichier de dump extrait depuis la station de travail de sa victime, un attaquant peut récupérer le mot de passe maître (à partir du second caractère) depuis le conteneur Keepass de cette dernière.
Informations
Publication
Lemon Group aurait préinstallé le malware Guerrilla sur près de 9 millions d’appareils Android [9a][9b][9c]
Dans un rapport publié le 17 mai 2023, les analystes de Trend Micro ont annoncé avoir découvert une vaste campagne d’attaques menée par un groupe cybercriminel référencé « Lemon Group » via l’exploitation du malware Guerrilla. Le groupe aurait infecté des millions d’appareils fonctionnant sous Android.
Ransomware
Détection d’une nouvelle famille de ransomware nommée Akira [10]
Dans un rapport publié le 6 avril 2023, les équipes CERT de Sophos sont revenues sur l’observation d’une campagne d’attaques menée par le groupe de ransomware Akira contre des organismes en Amérique du Nord.
Après une période d’inactivité, le groupe de ransomware FIN7 aurait lancé une nouvelle campagne d’attaque [11a][11b][11c]
Microsoft Security Intelligence a indiqué dans une série de tweets avoir identifié une nouvelle campagne, datant d’avril 2023, du groupe russophone FIN7 (alias ELBRUS, Sangria Tempest, Carbanak). Ce dernier opère depuis 2015 mais était inactif depuis fin 2021.
RA Group : un nouveau groupe ransomware se réappropriant le ransomware Babuk Locker aurait fait 4 victimes [12a][12b]
Un nouveau groupe ransomware nommé RA Group a été observé et, selon des publications datées des 27 et 28 avril 2023 sur son site vitrine, aurait fait au moins 4 victimes se trouvant aux États-Unis et en Corée du Sud.
International
APT Lancefly exploiterait Merdoor pour cibler des organisations en Asie [13a][13b]
Les chercheurs de Symantec ont identifié l’exploitation de la backdoor Merdoor par APT Lancefly lors d’une campagne d’attaques au premier trimestre 2023.
Observation du mode opératoire APT GoldenJackal par Kaspersky [14a][14b][14c]
Dans un rapport publié le 23 mai 2023, les analystes de Kaspersky reviennent sur l’observation d’une campagne d’attaques menée par le mode opératoire APT GoldenJackal ciblant des entités gouvernementales au Moyen-Orient et en Asie du Sud.
Cybercriminalité
Identification du malware TurkoRAT dans une bibliothèque JavaScript légitime [15a][15b][15c]
Les chercheurs de ReversingLabs auraient identifié le malware TurkoRAT au sein d’un paquet de code légitime nommé « nodejs-encrypt-agent » au sein de la bibliothèque de développement JavaScript « npm » (Node Package Manager). Ce paquet de code aurait été téléchargé plus de 20 millions de fois.
Phishing
Préoccupation des éditeurs de cybersécurité sur l’exploitation abusive des nouveaux TLD de Google par les acteurs de la menace [16a][16b][16c]
Google a annoncé le vendredi 19 mai 2023 la commercialisation de 8 nouveaux noms de domaine de type TLD, suscitant un vaste débat dans le secteur de la cybersécurité.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
[1] CXA-2023-2745
[2] CXA-2023-2735
[3] CXA-2023-2763
[4] CXA-2023-2693
[5] CXA-2023-2633
[6] CXA-2023-2632
[7] CXA-2023-2631
[8] CXA-2023-2662
[9] CXN-2023-2650
[10] CXN-2023-2617
[11] CXN-2023-2690
[12] CXN-2023-2651
[13] CXN-2023-2689
[14] CXN-2023-2718
[15] CXN-2023-2722
[16] CXN-2023-2654
