Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1a][1b][1c], par VMware pour Photon [2], par Apple pour iPad [3], macOS [4a][4b][4c] et Safari [5], par Zyxel [6], par Jenkins [7], par Grafana [8] et par Apache pour Tomcat [9a][9b][9c][9d].
Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Vulnérabilité
Progress Software recommande d’appliquer le nouveau correctif de la CVE-2023-35708 (MOVEit) [10a] [10b]
Progress Software incite les clients de MOVEit à appliquer le correctif de la troisième et dernière vulnérabilité critique (CVE-2023-35708) du logiciel de transfert de fichiers MOVEit en moins d’un mois. La vulnérabilité avait été découverte le 15 juin 2023 et un code d’exploitation était publié le même jour.
Ransomware
Compromission d’une base de données Reddit par le groupe de ransomware BlackCat/ALPHV [11a] [11b] [11c]
La plateforme Reddit aurait subi une intrusion en février 2023 revendiquée par le groupe de ransomware BlackCat/ALPHV cette semaine. Lors de l’attaque, les opérateurs du groupe auraient réussi à collecter 80 Go de documents et projets internes. De nombreux comptes Reddit auraient été compromis à l’issue d’une campagne de phishing, permettant aux acteurs malveillants d’obtenir un accès sur les dashboards internes.
Cybercriminalité
Dissimulation de malwares au sein de faux code d’exploitation [12a] [12b] [12c]
Des acteurs de la menace se feraient passer pour des chercheurs en cybersécurité sur Twitter et GitHub afin de publier de faux exploits de PoC diffusant en réalité des malwares sur des systèmes Windows et Linux. Ces exploits malveillants seraient promus par les acteurs de la menace via une fausse société de cybersécurité nommée High Sierra Cyber Security, faisant la promotion des dépôts GitHub sur Twitter, pour cibler des chercheurs en cybersécurité et les entreprises impliquées dans la recherche de vulnérabilités.
Le nouveau malware Condi détournerait des routeurs Wi-Fi TP-Link les enrôler dans un botnet et mener des attaques DDoS [13a] [13b]
Un nouveau malware référencé Condi exploiterait la vulnérabilité référencée CVE-2023-1389 dans les routeurs Wi-Fi TP-Link Archer AX21 (AX1800) pour les intégrer à un botnet menant des attaques par déni de service distribué (DDoS). Les chercheurs de Fortinet FortiGuard Labs ont déclaré que la campagne observée s’était intensifiée depuis la fin du mois de mai 2023. Le malware aurait été développé par l’acteur de la menace zxcr9999 disposant d’une chaine Telegram pour faire la promotion de ses services criminels.
Conflit Ukraine
Observation du mode opératoire APT BlueDelta ciblant les organisations ukrainiennes [15a] [15b]
Un mode opératoire APT associé au GRU aurait été observé lors de la compromission de serveurs Roundcube à des fins de collecte de renseignements contre des institutions gouvernementales et des unités militaires en Ukraine. Le mode opératoire aurait exploité des vulnérabilités au sein du logiciel libre de messagerie web Roundcube pour espionner des entités militaires impliquées dans l’infrastructure aéronautique.
Smartphones
Identification de spywares associés au mode opératoire DoNot Team [16a] [16b] [16c] [16d]
La société de cybersécurité Cyfirma a associé une récente campagne d’attaques ciblant le Pakistan à un mode opératoire connu sous le nom de DoNot Team (possédant des chevauchements de TTPs avec APT-C-35 et Viceroy Tiger). Deux applications Android disponibles sur le Google Play Store auraient servi de vecteur de compromission initiale pour diffuser des payloads malveillantes à des fins de collecte de renseignements. Par sa victimologie, le mode opératoire « DoNot Team » est suspecté d’être lié à l’Inde et réputé pour mener des attaques contre divers pays d’Asie du Sud.
International
Identification du malware RDStealer associé à un mode opératoire étatique chinois [17a] [17b] [17c]
Une campagne d’espionnage associée à l’État chinois aurait été observée par Bitdefender, utilisant un nouveau malware personnalisé pour surveiller les connexions entrantes sur le protocole de bureau à distance (RDP) et infecter les clients connectés avec une backdoor. Lancée au début de l’année 2022, la victimologie de la campagne d’attaques, ciblant l’Asie de l’Est, correspondrait aux intérêts d’acteurs de la menace basés en Chine.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-3221
[2] CXA-2023-3222
[3] CXA-2023-3303
[4] CXA-2023-3299
[5] CXA-2023-3296
[6] CXA-2023-3255
[7] CXA-2023-3186
[8] CXA-2023-3310
[9] CXA-2023-3312
[10] CXN-2023-3250
[11] CXN-2023-3268
[12] CXN-2023-3219
[13] CXN-2023-3287
[15] CXN-2023-3293
[16] CXN-2023-3291
[17] CXN-2023-3292
