Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés dans le cadre du Patch Tuesday par Microsoft [1], pour Chrome par Google [2a][2b], pour Firefox par Mozilla [3], pour iPhone par Apple [4a][4b][4c], pour Acrobat par Adobe [5] et pour FortiOS [6].
Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de WinRAR [7]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby. En incitant sa victime à ouvrir ce programme, un attaquant est alors en mesure d’exécuter un logiciel malveillant sur le système ciblé.
Prise de contrôle du système et manipulation de données via une vulnérabilité au sein de Moodle [8]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant peut identifier une instance Moodle vulnérable.
Vulnérabilité
Microsoft : 2 vulnérabilités 0-day activement exploitées corrigées dans le Patch Tuesday [9a] [9b] [9c] [9d] [9e] [9f]
Le mercredi 13 septembre 2023, Microsoft a publié des correctifs logiciels pour remédier à 59 failles couvrant son portefeuille de produits, y compris 2 vulnérabilités de type 0-day activement exploitées par les acteurs de la menace. Les détails concernant la nature de l’exploitation ou l’identité des acteurs de la menace à l’origine des attaques restent actuellement inconnus.
Ransomware
Le groupe de ransomware APLHV/BlackCat revendique la compromission de MGM Resorts [10a] [10b] [10c] [10d]
Dans un communiqué publié le 14 septembre 2023, le groupe de ransomware APLHV/BlackCat a revendiqué la compromission de MGM Resorts et le chiffrement de plus de 100 hyperviseurs ESXi après que la société ait mis hors service son infrastructure interne. Les opérateurs du groupe de ransomware affirment avoir exfiltré des données du réseau et conserveraient l’accès à une partie de l’infrastructure de MGM, menaçant de déployer de nouvelles attaques si aucun accord n’est conclu pour le paiement d’une rançon.
Compromission de chaîne d’approvisionnement
Compromission de la supply chain du logiciel « Free Download Manager » [11a] [11b] [11c]
Dans un rapport publié le 12 septembre 2023, les chercheurs de Kasperky ont identifié la compromission de la chaîne d’approvisionnement de Free Download Manager, responsable de la redirection des utilisateurs vers un dépôt de paquets Debian malveillant. Cette redirection a permis aux acteurs de la menace de distribuer un infostealer aux utilisateurs ciblés pendant plus de 3 ans.
Services externes à distance
Storm-0324 exploite une vulnérabilité de contournement dans Microsoft Teams [12a] [12b] [12c] [12d] [12e]
Dans un rapport publié le 12 septembre 2023, les chercheurs de Microsoft ont identifié une campagne d’attaques par phishing ciblant des utilisateurs Teams pour compromettre des réseaux d’entreprises. Référencé sous le nom de Storm-0324, le mode opératoire est associé à des activités de vente d’accès initial pour des groupes de ransomware, notamment FIN7. Par le passé, Storm-0324 s’est aussi illustré par le déploiement des ransomwares Sage et GandCrab, démontrant la porosité des frontières entre les courtiers d’accès initial (IAB), les affiliés et les opérateurs de ransomware.
Identification d’une nouvelle backdoor associée au mode opératoire Charming Kitten [13a] [13b] [13c]
Dans un rapport publié le 11 septembre 2023, les chercheurs d’ESET ont annoncé l’identification d’une nouvelle backdoor associée au mode opératoire des attaquants (MOA) Charming Kitten (aussi référencé comme APT35/APT42). Baptisée Sponsor, la backdoor a été observée pour la première fois en septembre 2021 et aurait été déployée sur les systèmes d’au moins 34 organismes à travers le monde.
Renseignement
Un réseau électrique asiatique compromit par le malware ShadowPad [14a] [14b] [14c] [14d]
Dans un bulletin d’analyse publié le 12 septembre 2023, les chercheurs en CTI de Symantec ont annoncé l’identification d’une variante du malware ShadowPad dans le réseau électrique d’une entreprise située dans un pays asiatique non référencé. Baptisé Redfly, le mode opératoire responsable de la compromission aurait exploité le RAT pour voler les informations d’identification et distribuer d’autres malwares. Soupçonné d’être parrainé par la Chine, APT Redfly aurait assuré la persistance de ShadowPad pendant 6 mois sur les systèmes compromis. Afin de dissimuler le malware, les opérateurs ont obfusqué ShadowPad sous forme de fichiers et répertoires de programmes VMware, permettant de limiter son potentiel de détection par les outils de sécurité. La victimologie du mode opératoire, associée aux TTPs utilisées lors de l’attaque, démontre une logique de collecte de renseignements.
Infostealer
Identification d’un nouvel infostealer ciblant les instances macOS de professionnels [15a] [15b]
Dans un rapport publié le 11 septembre 2023, les chercheurs de SentinelOne ont annoncé l’identification d’un nouvel infostealer nommé MetaStealer, ciblant les instances macOS. Les premiers échantillons du malware ont été observés pour la première fois en mars 2023 et les dernières traces de MetaStealer identifiées sur VirusTotal remontent au 27 août 2023, démontrant la proactivité des acteurs de la menace.
Géopolitique
La Chine interdit les produits Apple pour les employés des organismes publics [16a] [16b] [16c] [16d] [16e] [16f] [16g]
Dans un article publié le 6 septembre 2023, les journalistes du Wall Street Journal ont déclaré que les employés de certains organismes de régulation du gouvernement chinois avaient reçu l’ordre de ne plus utiliser d’iPhone pour leurs activités professionnelles. Au-delà de s’inscrire comme une mesure de sécurité protégeant les agences gouvernementales chinoises, le Wall Street Journal replace cette interdiction dans un contexte des tensions géopolitiques entre la Chine et les États-Unis, entrainant une chute de 3,6 % des actions d’Apple le jour de la publication de l’article.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2023-4921
[2] CXA-2023-4919
[3] CXA-2023-4894
[4] CXA-2023-4869
[5] CXA-2023-4920
[6] CXA-2023-4945
[7] CXA-2023-4827
[8] CXA-2023-4938
[9] CXN-2023-4918
[10] CXN-2023-4979
[11] CXN-2023-4946
[12] CXN-2023-4895
[13] CXN-2023-4864
[14] CXN-2023-4941
[15] CXN-2023-4897
[16] CXN-2023-4849
