Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mozilla pour Firefox [1] et Firefox ESR [2], par Google pour Google Chrome [3], par Microsoft pour Microsoft Edge [4] et par Gitlab [5].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Attaque
Exploitation de la « 0-day » dans MOVEit Transfer par le groupe de ransomware Cl0p [6a] [6b] [6c] [6d]
Le 5 juin 2023, les chercheurs de Microsoft auraient établi un lien entre le groupe de ransomware Cl0p et les récentes attaques exploitant la vulnérabilité 0-day au sein de la plateforme de transfert de fichiers MOVEit Transfer. Référencé sous le nom de Lace Tempest par Microsoft, le groupe de ransomware Cl0p aurait utilisé des TTPs similaires par le passé pour voler des données et extorquer des victimes. La campagne d’attaques du groupe aurait commencé le 27 mai 2023. La vulnérabilité 0-day aurait été exploitée par Cl0p pour déposer des webshells sur les serveurs ciblés, permettant au mode opératoire de récupérer des listes de fichiers stockés, les télécharger et voler les informations d’authentification des conteneurs Azure Blob Storage.
Fuite d’informations
Attaques par DDoS sur OneDrive revendiquées par Anonymous Sudan [7a] [7b] [7c]
L’entreprise Microsoft aurait été ciblée par une campagne d’attaques par déni de service distribué (DDoS), affectant l’accès au service d’hébergement de fichiers cloud OneDrive, à SharePoint Online et à la messagerie Outlook.com. La panne aurait commencé lundi soir et a été résolue mercredi en début de journée. Le groupe hacktiviste « Anonymous Sudan » a revendiqué les attaques sur son canal Telegram le 8 juin 2023 et affirme détenir les données de 30 millions d’utilisateurs. Bien que l’entreprise n’ait fourni aucun détail sur la cause de la panne, l’incident a été revendiqué par des hacktivistes provocateurs sur le canal Telegram du groupe Anonymous Sudan, dont certains chercheurs en cybersécurité estiment parrainer par la Fédération de Russie.
Cybercriminalité
Détournement de sites légitimes dans le cadre d’une campagne d’attaques de type Magecart [8a] [8b] [8c]
Dans un rapport publié le 1er juin 2023, les chercheurs d’Akamai sont revenus sur une campagne d’attaques de type MageCart ayant ciblé plusieurs sites de eCommerce. Les acteurs de la menace auraient détourné des sites web légitimes pour en faire des serveurs C2 et injecter un script malveillant responsable du détournement des données bancaires. Cette campagne furtive aurait compromis des utilisateurs aux États-Unis, au Royaume-Uni, en Australie, au Brésil, au Pérou et en Estonie.
Compromission d’une base de données de SuperVPN affectant 360 millions enregistrements de données utilisateurs [9]
Le 24 mai 2023, le chercheur en cybersécurité Jeremiah Fowler a découvert une base de données publiquement exposée contenant 360 308 817 enregistrements de données utilisateurs de SuperVPN pour une taille totale de 133 Go.
Ransomware
Similitudes de code entre les ransomwares BlackSuit et Royal [10a] [10b] [10c] [10d]
Dans un article publié le 31 mai 2023, les chercheurs de Trend Micro reviennent sur l’identification d’un nouveau ransomware nommé BlackSuit dont le code serait proche de celui déployé par le groupe de ransomware Royal. À l’issue d’une analyse des échantillons, les chercheurs de Trend Micro auraient établi un rapprochement entre la version x64 VMware ESXi de Blacksuit ciblant les machines Linux et le code du ransomware Royal.
International
Campagne d’attaques du mode opératoire Aggah diffusant le malware 3losh RAT [11a] [11b] [11c]
Dans un rapport publié le 30 mai 2023, les chercheurs de Perception Point ont déclaré avoir identifié une campagne d’attaques sophistiquées du mode opératoire Aggah ciblant diverses entreprises israéliennes en 2022 via la diffusion du malware 3losh RAT à des fins d’espionnage.
Malware
Campagne d’attaques ciblant des vendeurs en ligne via la diffusion du malware Vidar [12]
Des acteurs de menace cyber auraient ciblé les administrateurs de sites web de eCommerce via la diffusion du malware Vidar. L’attaque aurait débuté la semaine dernière par une campagne de phishing ciblant spécifiquement les administrateurs. Les courriels prétendaient provenir d’un client mécontent dont le compte bancaire aurait été débité de 550 dollars suite à une commande qui n’aurait pas été envoyée.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-2944
[2] CXA-2023-2948
[3] CXA-2023-2945
[4] CXA-2023-2908
[5] CXA-2023-2959
[6] CXN-2023-2927
[7] CXN-2023-3021
[8] CXN-2023-2914
[9] CXN-2023-2866
[10] CXN-2023-2961
[11] CXN-2023-2934
[12] CXN-2023-2916
