Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle dans le cadre de son Critical Patch Update [1a][1b], par Atlassian [2], par SonicWall [3], par Adobe pour Adobe Commerce [4] et par Sophos [5]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Vulnérabilité
Exploitation active d’une vulnérabilité critique dans l’interface utilisateur de gestion Web du logiciel Cisco IOS XE [6]
Dans un bulletin de sécurité publié le 16 octobre 2023, les chercheurs de Cisco Talos ont observé l’exploitation active d’une vulnérabilité de type 0-day dans l’interface utilisateur de gestion Web (Web UI) du logiciel Cisco IOS XE. Référencée comme CVE-2023-20198 (score CVSS de 10), cette vulnérabilité affecte les instances exposées à Internet et permet à un attaquant de créer un compte administrateur sur les appareils vulnérables.
Exploitation de la vulnérabilité critique CVE-2023-4966 dans Citrix NetScaler [7a] [7b] [7c] [7d]
Le 17 octobre 2023, les chercheurs de Mandiant ont publié un rapport sur l’exploitation de la CVE-2023-4966 dans NetScaler ADC et NetScaler Gateway de Citrix par un mode opératoire non référencé en août 2023. Cette vulnérabilité critique (score CVSS de 9.4) a permis de prendre le contrôle des sessions authentifiées existantes en contournant l’authentification multifactorielle (MFA) ou un mot de passe fort. Mandiant précise que ces comptes risquent de persister malgré les mises à jour de sécurité fournies par Citrix.
Exploitation de la CVE-2023-42793 dans les serveurs TeamCity par des modes opératoires associés à la Corée du Nord [8a] [8b]
Le 18 octobre 2023, Microsoft a annoncé l’exploitation active de la CVE-2023-42793 dans les serveurs TeamCity par les modes opératoires APT Lazarus (aka Diamond Sleet, ZINC) et Andariel (aka Onyx Sleet, PLUTONUM), associés à la Corée du Nord par Mandiant, dans le but de distribuer des backdoors sur les instances vulnérables. Ce n’est pas la première fois que ces 2 modes opératoires APT mènent des attaques contre la chaîne d’approvisionnement de logiciels pour compromettre en cascade les entreprises les utilisant.
Des modes opératoires associés à la Russie et la Chine exploitent une vulnérabilité affectant WinRAR [9a] [9b] [9c]
Dans un rapport publié le 18 octobre 2023, les chercheurs de Google ont révélé 3 campagnes d’attaques exploitant la vulnérabilité référencée CVE-2023-38831 dans WinRAR, réalisées par les modes opératoires FrozenBarents (alias Sandworm), FrozenLake (alias APT28) et IslandDreams (alias APT40). Corrigée en août 2023, cette vulnérabilité permettait à un attaquant distant d’exécuter du code arbitraire sur le système ciblé en incitant une victime à ouvrir un fichier d’apparence légitime. Les campagnes observées par Google et Group-IB exploitaient cependant cette vulnérabilité dès le début de l’année 2023, avant sa découverte et la publication du correctif.
Cybercriminalité
Le framework JavaScript « ClearFake » est utilisé pour distribuer des payloads malveillantes [10]
Dans un rapport publié le 16 octobre 2023, les chercheurs de Sekoia ont identifié un nouveau framework JavaScript malveillant nommé ClearFake. Ce framework est déployé sur des sites Web compromis afin de diffuser d’autres malware à l’aide d’une technique de téléchargement par drive-by. ClearFake s’appuie sur des leurres qui utilisent l’ingénierie sociale pour inciter les utilisateurs ciblés à exécuter une fausse mise à jour du navigateur web, comme dans le cas des malware SocGholish et FakeSG. En associant des leurres de fausses mises à jour à la technique de watering hole, les opérateurs de ClearFake ont pu compromettre un large éventail d’utilisateurs.
Les utilisateurs de Skype visés par une campagne de distribution du malware DarkGate [11a] [11b]
Le 12 octobre 2023, les chercheurs de Trend Micro ont mis au jour une campagne de phishing diffusant le malware DarkGate aux utilisateurs de Skype. Observée entre juin et septembre 2023, cette activité malveillante exploitait comme vecteur d’accès initial des messages envoyés sur la plateforme de Microsoft via des comptes compromis au préalable. Ces derniers contenaient des pièces jointes embarquant des scripts VBS destinés à télécharger la payload.
Microsoft annonce la suppression de VBScript dans les futures versions de Windows [12a] [12b] [12c] [12d]
Le 10 octobre 2023, en marge du Patch Tuesday d’octobre, Microsoft a annoncé la suppression de VBScript (Visual Basic Script) dans les futures versions de Windows, qui sera uniquement disponible à la demande. VBScript est un langage de programmation natif du système d’exploitation de Microsoft et inclus dans le navigateur Internet Explorer. Il est régulièrement exploité par les acteurs de la menace comme vecteur d’accès initial dans des campagnes d’attaques. Le malware DarkGate Loader par exemple, avait inséré des scripts VBScript malveillants au sein de documents PDFs dans le cadre d’une campagne de phishing visant les utilisateurs de Microsoft Teams.
Conflit Ukraine
Le groupe hacktiviste Ukrainian Cyber Alliance a revendiqué la compromission du ransomware Trigona [13a] [13b] [13c] [13d] [13e] [13f] [13g]
Dans un message publié le 12 octobre 2023, un opérateur du groupe hacktiviste Ukrainian Cyber Alliance (UCA) a revendiqué sur Twitter la compromission des serveurs du ransomware Trigona, supprimant l’ensemble des données après les avoir exfiltrées. Ces données incluraient le code source du ransomware, des clés de déchiffrement, les portefeuilles de cryptomonnaies des opérateurs et des bases de données. L’UCA affirme avoir identifié 3 sauvegardes contenant des centaines de gigaoctets de documents volés par les opérateurs du ransomware.
APT Sandworm a ciblé 11 entreprises de télécommunications en Ukraine selon le CERT-UA [14a] [14b]
Dans un rapport d’incident publié le 15 octobre 2023, le CERT-UA a annoncé la compromission de 11 fournisseurs de services de télécommunications en Ukraine, dans le cadre d’une campagne opérée entre mai et septembre 2023 par le mode opératoire APT Sandworm, attribué à l’unité 74455 du service de renseignement militaire (GRU) de la Russie. Selon le CERT-UA, les opérateurs d’APT Sandworm ont continué à cibler les organisations ukrainiennes en 2023, en distribuant des leurres de phishing, des malware Android et des wipers. Ces outils entrainent des conséquences diverses sur les systèmes ciblés, démontrant la transversalité des objectifs poursuivis par le GRU, allant de la collecte de renseignements aux actions de sabotage.
Ransomware
Une opération internationale a saisi le site d’extorsion du ransomware RagnarLocker [15a] [15b] [15c] [15d] [15e]
Le 19 octobre 2023, un groupement international de forces de police a annoncé la saisie de l’infrastructure du ransomware RagnarLocker sur TOR dans le cadre d’une opération internationale de lutte contre la cybercriminalité. Observé pour la première fois en 2019, RagnarLocker est soupçonné d’être opéré par des acteurs de la menace russophones. Le groupe n’est pas considéré comme un Ransomware-as-a-Service. Les opérateurs du ransomware ont néanmoins eu recours à des IAB pour obtenir le vecteur de compromission initiale. En 2022, le FBI a observé 52 entités américaines compromises par le ransomware RagnarLocker dans 10 secteurs d’infrastructures critiques, dont l’industrie manufacturière, l’énergie et le gouvernement.
Renseignement
Détection du malware SpyNote à l’issue d’une campagne de phishing visant l’Italie [16a] [16b] [16c] [16d] [16e]
Dans un bulletin d’information publié le 16 octobre 2023, les chercheurs de D3 Labs sont revenus sur l’identification du spyware SpyNote, distribué à des utilisateurs en Italie via un site web de phishing usurpant l’application légitime IT-alert. Ce spyware dispose de fonctionnalités assurant l’enregistrement vidéo, la localisation GPS de l’appareil mobile, le keylogging, la capture d’écran, l’interception des appels téléphoniques et la compromission des identifiants de connexion Google et Facebook.
Identification d’un spyware usurpant le nom de l’application israélienne RedAlert [17a] [17b] [17c] [17d] [17e]
Dans un rapport publié le 14 octobre 2023, les chercheurs de CloudFare ont annoncé l’identification d’un spyware distribué via un fichier APK et usurpant le nom de l’application légitime RedAlert. Celle-ci permettait aux acteurs de la menace d’envoyer de fausses alertes de frappes aériennes aux utilisateurs israéliens et de collecter leurs données personnelles : l’accès à leurs contacts, les journaux d’appels, les SMS, et une vue d’ensemble de toutes les applications installées. Les données compromises sont téléchargées par l’intermédiaire d’un connector responsable du chiffrement et du transfert des données.
Void Rabisu cible les participants du sommet Women Political Leaders pour distribuer une variante de RomCom [18a] [18b]
Dans un rapport publié le 13 octobre 2023, les chercheurs de TrendMicro ont révélé une campagne d’attaque ciblant les participants du sommet Women Political Leaders (WPL) réalisée par le mode opératoire Void Rabisu (alias Tropical Scorpius, Storm-0978), associé à la Russie. Les attaquants ont usurpé le site officiel du sommet WPL avec une technique de typosquatting en prenant soin de modifier le lien « Video & Photo » aussi disponible sur le site légitime. Ce dernier redirigeait vers un dossier Onedrive intégrant deux fichiers compressés et un exécutable contenant une nouvelle variante de la porte dérobée RomCom nommée RomCom 4.0 (alias Peapod). Void Rabisu a la particularité d’opérer par intérêt financier avec le déploiement opportun de ransomware comme Cuba et Underground ou par intérêt étatique via la réalisation de campagnes d’espionnage complexes visant l’Ukraine et ses alliés.
Infostealer
L’infostealer Lumma Stealer exploite la fonctionnalité CDN de Discord [19a] [19b] [19c] [19d]
Dans un rapport publié le 16 octobre 2023, les chercheurs de Trend Micro ont identifié la distribution de l’infostealer Lumma Stealer via le détournement de la plateforme légitime Discord, en exploitant la fonctionnalité CDN (Content Delivery Network) qui permet de charger des fichiers de tout type sur la plateforme afin de les diffuser ensuite aux appareils ciblés via un lien de phishing. Les opérateurs du malware ont aussi utilisé l’interface de programmation d’applications (API) de la plateforme sociale pour créer des bots capables de communiquer avec Lumma Stealer et de le contrôler à distance.
Hacktivisme
Killnet revendique des attaques DDoS sur plusieurs aéroports européens dont certains en France [20a] [20b]
Le 11 octobre 2023, le groupe hacktiviste pro-russe Killnet a revendiqué sur sa chaîne Telegram de multiples attaques par déni de service distribué (DDoS) sur plusieurs aéroports européens, dont plusieurs en France. À l’heure actuelle, les impacts ne sont pas connus mais Killnet indique que les sites Web des aéroports visés sont restés indisponibles un certain temps, rendant impossible le suivi des horaires et du statut des avions. Le secteur du transport aérien français est régulièrement la cible de groupes hacktivistes. En août et en mars 2023 respectivement, les groupes Mysterious Team Bangladesh et Anonymous Sudan avaient ciblé plusieurs aéroports via des attaques DDoS rendant inaccessibles les sites Web des victimes pendant plusieurs heures.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2023-5674
[2] CXA-2023-5633
[3] CXA-2023-5707
[4] CXA-2023-5587
[5] CXA-2023-5672
[6] CXN-2023-5606
[7] CXN-2023-5721
[8] CXN-2023-5722
[9] CXN-2023-5754
[10] CXN-2023-5614
[11] CXN-2023-5612
[12] CXN-2023-5579
[13] CXN-2023-5747
[14] CXN-2023-5613
[15] CXN-2023-5752
[16] CXN-2023-5709
[17] CXN-2023-5637
[18] CXN-2023-5616
[19] CXN-2023-5718
[20] CXN-2023-5584
