Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Google Chrome [1a][1b][1c], Zimbra [2], Zyxel [3], Kubernetes [4a][4b][4c][4d], Nextcloud Server (Mail) [5] et Nextcloud Server (Calendar) [6].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Divulgation d’informations via une vulnérabilité au sein de GitLab [7a] [7b]
Ce code d’exploitation est un programme Python. En exécutant ce programme, un attaquant distant non authentifié peut lire des fichiers arbitraires sur la machine hébergeant l’instance Gitlab.
Cybercriminalité
Une vulnérabilité « 0-day » massivement exploitée au sein de la plateforme MOVEit Transfer [8a] [8b] [8c]
Des acteurs de la menace exploiteraient massivement une vulnérabilité de type 0-day dans le logiciel de transfert de fichiers MOVEit Transfer. Développée par Ipswitch, MOVEit Transfer est une solution de transfert de fichiers sécurisée (MFT - Managed File Transfer) commercialisée aux entreprises basée sur les protocoles SFTP et SCP. L’exploitation de la vulnérabilité prendrait la forme d’une injection SQL conduisant à l’exécution de code à distance. La vulnérabilité n’aurait pas encore de CVE associée, mais un bulletin a été publié par l’éditeur.
Campagne d’attaques usurpant l’outil légitime CapCut [9]
Dans un article publié le 20 mai 2023, BleepingComputer revient sur l’usurpation de CapCut par les acteurs de la menace cyber. CapCut est l’outil d’édition vidéo exploité par des millions d’utilisateurs sur TikTok. Cette solution applicative aurait été téléchargée plus de 500 millions de fois depuis sa création en 2020. Bien que très populaire, certains pays comme l’Inde et Taïwan ont décidé d’interdire l’application CapCut en raison de ses liens avec le conglomérat chinois ByteDance, détenteur de TikTok. Cette décision aurait poussé de nombreux utilisateurs asiatiques à envisager des moyens alternatifs pour télécharger l’outil d’édition vidéo. Dès lors, les acteurs de la menace cyber en ont profité pour diffuser des malwares en usurpant l’identité visuelle de CapCut. Les chercheurs en CTI de Cyble ont ajouté que les acteurs malveillants auraient tiré profit des techniques de black hat SEO (Search Engine Optimization) visant à exploiter les vulnérabilités algorithmiques de référencement des moteurs de recherche pour inciter les utilisateurs à télécharger leurs malwares.
Divulgation d’une base de données des utilisateurs de RaidForums par l’administrateur Impotent du forum Exposed [10]
Dans un article publié le 29 mai 2023, BleepingComputer annonce la divulgation d’une base de données comprenant les identifiants des 478 000 utilisateurs de l’ancienne marketplace populaire RaidForums par Impotent, l’un des administrateurs d’Exposed Forum. Le leak prendrait la forme d’un fichier SQL utilisé pour la table ‘mybb_users’ au sein du logiciel du forum RaidForums pour stocker les identifiants de RaidForums. Cette table contiendrait les informations d’enregistrement de 478 870 anciens membres de RaidForums, inscrits entre le 20 mars 2015 et le 24 septembre 2020.
Cryptomonnaie
Compromission de serveurs web IIS par APT Lazarus [11a] [11b] [11c] [11d]
Le mode opératoire APT Lazarus exploiterait des serveurs web Windows Internet Information Services (IIS) vulnérables comme vecteur de compromission initiale pour cibler des réseaux d’entreprises. Cette tactique aurait été identifiée pour la première fois par des chercheurs sud-coréens de l’AhnLab Security Emergency Response Center (ASEC). Responsables de la prise en charge des protocoles HTTP, HTTPS, FTP, FTPS, SMTP et NNTP, les serveurs IIS sont largement utilisés par les entreprises pour héberger des contenus et des services comme Outlook de Microsoft Exchange.
International
Usurpation de TTPs criminelles par des modes opératoires parrainés par l’Iran [12a] [12b] [12c] [12d] [12e] [12f] [12g]
Dans un rapport publié le 23 mai 2023, les chercheurs de ClearSky ont annoncé avoir identifié une campagne d’attaques de type watering hole, associée à APT Imperial Kitten. Ce type d’attaques vise à compromettre les utilisateurs d’un certain secteur d’activité en infectant les sites Web qu’ils consultent fréquemment et en les attirant par la ruse vers un site malveillant contrôlé par le mode opératoire. APT Imperial Kitten aurait ciblé au moins 8 sites web israéliens appartenant à des sociétés de transport maritime, de logistique et de services financiers. Selon Security Affairs, 5 des 8 sites web ciblés par APT Imperial Kitten étaient hébergés sur des serveurs uPress. En 2020, ce service d’hébergement avait déjà été la cible du groupe hacktiviste iranien Emennet Pasargad. Les chercheurs de Symantec auraient observé plusieurs erreurs grammaticales dans un script JS situé au sein d’une chaîne de texte unique, permettant à Symantec d’identifier d’autres scripts JS malveillants développés par les opérateurs iraniens. Les données collectées par Imperial Kitten auraient ensuite été transférées dans un fichier JSON via une requête POST HTTP vers un site web servant de C2.
Le malware CosmicEnergy ciblerait des systèmes industriels ICS [13a] [13b] [13c]
Dans un article publié le 25 mai 2023, Mandiant a annoncé l’identification d’un malware, référencé CosmicEnergy, conçu pour perturber des systèmes industriels de contrôle (ICS). Le malware serait associé à l’entreprise russe de cybersécurité Rostelecom-Solar. CosmicEnergy ciblerait spécifiquement les unités terminales distantes (RTU) conformes à la norme IEC-104, couramment utilisées dans les opérations de transmission et de distribution d’électricité en Europe, au Moyen-Orient et en Asie. Le malware aurait été observé après qu’un échantillon ait été téléchargé sur la plateforme d’analyse de malwares VirusTotal en décembre 2021 par une victime ayant une adresse IP russe. L’analyse de l’échantillon du malware aurait permis aux chercheurs de Mandiant d’identifier plusieurs aspects remarquables concernant CosmicEnergy et ses fonctionnalités. Le malware présenterait des similitudes de code avec Industroyer, exploité dans des attaques ciblant des fournisseurs d’énergie ukrainiens entre décembre 2016 et avril 2022. CosmicEnergy serait codé en Python et utiliserait des bibliothèques open-source.
IoT
Analyse technique du spyware « Predator » et de son loader « Alien » [14a] [14b] [14c]
Des chercheurs en cybersécurité de Cisco Talos et du Citizen Lab ont présenté le 25 mai 2023 une analyse technique du spyware Android « Predator » et de son loader « Alien ». Développée par la société Intellexa, cette famille de spyware aurait été exploitée pour surveiller des personnalités publiques. Selon BleepingComputer, les fonctionnalités du spyware Predator comprennent l’exécution de code arbitraire, l’enregistrement audio, l’empoisonnement de la racine de confiance, le masquage d’applications, la prévention d’exécution d’applications et l’énumération de répertoires.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-2846
[2] CXA-2023-2832
[3] CXA-2023-2813
[4] CXA-2023-2781
[5] CXA-2023-2766
[6] CXA-2023-2764
[7] CXA-2023-2856
[8] CXN-2023-2887
[9] CXN-2023-2746
[10] CXN-2023-2812
[11] CXN-2023-2833
[12] CXN-2023-2773
[13] CXN-2023-2777
[14] CXN-2023-2793
