Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1][2a][2b], par Kubernetes [3] et par Atlassian pour Confluence [4].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Compromission de chaine d’approvisionnement
Exploitation d’une vulnérabilité critique dans ShareFile par des acteurs de la menace [5a] [5b] [5c] [5d]
Le 16 août 2023, la CISA a annoncé l’identification d’une campagne d’attaques exploitant une vulnérabilité critique dans le logiciel de transfert de fichiers sécurisés de Citrix ShareFile, répertoriée sous le nom de CVE-2023-24489. La CISA a ajouté la faille de sécurité à son catalogue de vulnérabilités exploitées (KEC) et exige que les agences fédérales américaines (FCEB) appliquent des correctifs pour ce bogue d’ici le 6 septembre 2023.
Infostealer
Détection d’une nouvelle version de l’infostealer Raccoon [6a] [6b] [6c]
Les développeurs de l’infostealer Raccoon font la promotion d’une nouvelle version 2.3.0 du malware sur un forum cybercriminel russophone. Cette annonce intervient 10 mois après l’arrestation aux Pays-Bas d’un des principaux développeurs du malware par le FBI, Mark Sokolovsky, impliquant la mise hors service temporaire du panel de contrôle de Raccoon.
Europe de l’Est
Campagne d’attaques d’APT31 ciblant des entreprises industrielles en Europe de l’Est [7]
Dans un rapport publié le 10 août 2023, les chercheurs de Kaspersky reviennent sur l’identification de TTPs exploitées en 2022 par le mode opératoire des attaquants (MOA) APT31 pour cibler des entreprises industrielles en Europe de l’Est. Selon les chercheurs, les opérateurs cherchaient à établir un accès distant sur des systèmes physiquement isolés (air-gapped systems).
Campagne d’attaques ciblant des instances diplomatiques en Biélorussie [8a] [8b]
Dans un rapport publié le 11 août 2023, les chercheurs d’ESET ont observé le mode opératoire des attaquants (MOA) MoustachedBouncer menant des attaques de type Adversary-in-the-Middle (AitM) contre des fournisseurs d’accès Internet (FAI) pour collecter du renseignement sur des ambassades étrangères localisées en Biélorussie. Depuis au moins 2020, ESET aurait distingué 5 campagnes d’espionnage distinctes associées à MoustachedBouncer. Le MOA serait actif depuis au moins 2014 et exploiterait 2 malwares référencés sous les noms de NightClub et Disco pour collecter les données via un keylogger et des capacités d’enregistrement audio et vidéo.
Énergie
Le collectif Anonymous Italia s’attaque au gouvernement japonais sur le sujet des rejets d’eaux usées de Fukushima [9a] [9b] [9c]
Dans le cadre d’une opération baptisée Tango Down, le collectif Anonymous Italia a revendiqué des attaques contre 21 sites web gouvernementaux associés à l’installation de Fukushima. Ces attaques font suite à une décision prise en juillet par l’Agence internationale de l'énergie atomique (AIEA) d’autoriser le rejet d’un million de tonnes d’eaux usées traitées de Fukushima.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : https://x.com/CERTXMCO.
Références portail XMCO
[1] CXA-2023-4405
[2] CXA-2023-4443
[3] CXA-2023-4410
[4] CXA-2023-4373
[5] CXN-2023-4426
[6] CXN-2023-4392
[7] CXN-2023-4339
[8] CXN-2023-4335
[9] CXN-2023-4348
