Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour FortiOS [1], FortiGate [2a][2b], SAP [3a][3b], Microsoft Edge [4], Google Chrome [5], Android [6] et Apache Struts [7].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Vulnérabilité
Résumé du Patch Tuesday de Microsoft (2023-Jun) [8]
Dans le cadre du processus mensuel de mise à jour de sécurité de Microsoft, 78 vulnérabilités ont été corrigées au sein de 18 produits.
Ransomware
La liste des victimes de Cl0p s’allonge alors que des chercheurs découvrent une nouvelle vulnérabilité dans MOVEit Transfer [9a] [9b] [9c] [9d] [9e]
L’éditeur de cybersécurité Progress Software a averti les clients de MOVEit Transfer de restreindre tous les accès par protocole HTTP à leurs environnements de travail, à la suite de l’identification d’une nouvelle vulnérabilité d’injection SQL (SQLi) observée le jeudi 15 juin 2023.
Analyse du ransomware TargetCompany [10a] [10b]
TargetCompany, actif depuis au moins 2021, est un ransomware ciblant principalement les entreprises asiatiques du secteur de la fabrication, de la vente au détail et des télécommunications. En 2023, les chercheurs de Trend Micro auraient observé 269 tentatives d’attaques. Bien que le groupe affirme que ses comportements et schémas d’attaque ne sont pas politiquement motivés, on observe une volonté d’éviter de cibler les entreprises du Kazakhstan, de Russie, du Qatar et d’Ukraine.
Conflit Ukraine
Campagne de désinformation associée aux autorités russes par VIGINUM [11a] [11b]
Dans une déclaration publique publiée le 13 juin 2023, le service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) a annoncé l’identification d’une campagne numérique de manipulation de l’information ayant visé plusieurs États européens depuis septembre 2022.
Malware
Exploitation de la stéganographie par des acteurs de la menace russophones [12a] [12b]
Selon une étude publiée par Kaspersky le 12 juin 2023, des acteurs de la menace russophones utiliseraient un nouveau loader et un fichier image .PNG pour diffuser des malwares chargés de collecter des identifiants de connexion aux comptes d’entreprises et le contenu de portefeuilles de cryptomonnaies. Une campagne de phishing permettrait de diffuser aux cibles une pièce jointe malveillante en apparence légitime au format .PIF. D’après les chercheurs de Kaspersky, ce fichier contiendrait le loader DoubleFinger, responsable de la compromission initiale.
Identification d’une nouvelle backdoor exploitée par le mode opératoire Camaro Dragon [13a] [13b] [13c]
La société israélienne de cybersécurité Check Point aurait observé une nouvelle backdoor nommée TinyNote exploitée par le mode opératoire Camaro Dragon. La backdoor TinyNote est distribuée lors d’une campagne de phishing initiale utilisant des thématiques d’accroche liées aux relations diplomatiques, laissant supposer que sa victimologie s’articulerait autour des ambassades d’Asie du Sud-Est et de l’Est. D’après les investigations menées par Check Point, le malware aurait la capacité de contourner spécifiquement une solution antivirus indonésienne appelée Smadav, soulignant une connaissance approfondie des environnements ciblés.
International
De nombreux faux comptes Twitter promeuvent le sommet de l’ONU sur le climat organisé aux Émirats arabes unis [14]
Sur Twitter, au moins 100 faux comptes auraient récemment promu la COP28, le sommet de l’ONU sur le climat, organisé aux Émirats arabes unis. Selon le Dr Marc Owen Jones, professeur agrégé d’études sur le Moyen-Orient et expert de la désinformation sur les réseaux sociaux, ces faux comptes feraient partie d’une campagne de désinformation destinée à promouvoir la politique étrangère du pays. Il a décrit cette campagne comme étant un « grand effort d’astroturf multilingue » dirigé par les Émirats arabes unis.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-3064
[2] CXA-2023-3036
[3] CXA-2023-3137
[4] CXA-2023-3127
[5] CXA-2023-3115
[6] CXA-2023-3023
[7] CXA-2023-3164
[8] CXN-2023-3149
[9] CXN-2023-3207
[10] CXN-2023-3177
[11] CXN-2023-3150
[12] CXN-2023-3140
[13] CXN-2023-3176
[14] CXN-2023-3141
