Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Gitlab [1], par SAP [2], par Google pour Chrome [3a][3b] et pour Android [4], ainsi que par Microsoft dans le cadre du Patch Tuesday [5]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein d’Adobe ColdFusion [6]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant peut identifier une instance Adobe ColdFusion vulnérable.
Vulnérabilité
2 vulnérabilités 0-day exploitées dans Ivanti Connect Secure VPN par des acteurs chinois [7a] [7b] [7c] [7d] [7e]
Le 10 janvier 2024, les chercheurs de Volexity ont détecté l’exploitation active de 2 vulnérabilités de type 0-day dans le produit Ivanti Connect Secure VPN par le mode opératoire UTA0178 (aka UNC5221), lui permettant d’exécuter du code à distance sans être authentifié. Les tactiques, techniques et procédures (TTPs) d’UTA0178, associées à sa victimologie, ont permis à Volexity d’établir que ce mode opératoire sophistiqué pourrait être aligné sur les intérêts de la Chine.
Exploitation active de la CVE-2023-36025 dans Windows SmartScreen pour distribuer Phemedrone Stealer [8]
Le 12 janvier 2024, les chercheurs de Trend Micro ont publié un rapport sur une campagne d’attaques exploitant activement la CVE-2023-36025 pour distribuer le malware Phemedrone Stealer. Cette vulnérabilité affecte Windows Defender SmartScreen de Microsoft et permet de contourner des restrictions de sécurité. Phemedrone Stealer est un malware open source écrit en C# qui dispose de capacités de screenshoting et collecte les informations du système compromis.
Etat Nation
Compromission de la société d’armements russe Special Technological Centre par le renseignement militaire ukrainien [9a] [9b] [9c] [9d]
Le 8 janvier 2024, le service de renseignement militaire ukrainien (ГУР/GUR) a revendiqué la compromission de la société russe Special Technological Centre LLC (STC), collectant 100 gigaoctets de données classifiées sur le complexe militaro-industriel russe. Sous sanction depuis 2016 pour son ingérence présumée dans les élections présidentielles américaines, cette entreprise d’État produit des équipements militaires utilisés par les forces armées russes dans la guerre contre l’Ukraine. En outre, STC produit des drones Orlan et une gamme variée d’outils d’interception électroniques comme le spyware Monokle documenté par Lookout en juillet 2019.
Une campagne d’espionnage de l’APT turc Sea Turtle cible les Pays-Bas [10a] [10b] [10c] [10d]
Le 5 janvier 2024, les chercheurs de Hunt & Hackett ont observé une campagne de cyberespionnage par l’APT turc Sea Turtle (aussi appelée Teal Kurma, Marbled Dust, SILICON ou Cosmic Wolf) visant les secteurs des télécommunications, de l’informatique et des médias aux Pays-Bas. Ce groupe, actif depuis 2017, concentre ses attaques principalement en Europe et au Moyen-Orient et est connu pour effectuer des redirections DNS afin de réaliser ses objectifs d’espionnage. Dans cette récente campagne, Sea Turtle a compromis des comptes cPanel pour accéder à l’infrastructure ciblée. Pour ensuite établir une persistance sur le système, le groupe a utilisé les outils NoHup et Adminer afin de pouvoir exécuter leur principal outil, SnappyTCP.
Cybercriminalité
Une nouvelle variante du botnet Mirai cible le protocole SSH via des attaques brute-force pour distribuer un cryptominer [11a] [11b] [11c]
Le 10 janvier 2024, les chercheurs d’Akamai ont mis au jour une campagne d’attaque d’une nouvelle variante du botnet Mirai baptisée NoaBot et ciblant le protocole SSH par des attaques de type brute-force. Observée depuis le début de l’année 2023, elle a pour objectif de distribuer un cryptominer basé sur XMRig sur les machines ciblées à des fins de gains financiers. Selon Akamai, le niveau élevé de customisation et d’obfuscation des payloads suggère que cette campagne serait opérée par un groupe d’attaquants sophistiqué. Elle serait en outre liée à une précédente campagne de distribution d’un botnet nommé P2PInfect, identifiée en juillet 2023.
Campagne de cryptomining ciblant les applications Apache Hadoop et Apache Flink [12a] [12b]
Le 10 janvier 2024, les chercheurs de Aqua Nautilus ont découvert une nouvelle attaque visant les applications Apache Hadoop et Apache Flink. Quand ces applications sont mal configurées, l’attaquant peut exécuter du code à distance et donc éventuellement pouvoir prendre le contrôle de la machine. Le risque est d’autant plus important que ces applications sont utilisées pour le traitement de données et donc peuvent être exploitées pour exfiltrer des informations sur l’entreprise. Dans cette campagne, l’attaquant exploite ces applications en injectant un fichier nommé « dca » dans le dossier /tmp qui va par la suite télécharger deux rootkits, établir une persistance en créant une cronjob et installer un cryptominer Monero.
Ransomware
Publication d’un outil de déchiffrement pour la variante Tortilla du ransomware Babuk [13a] [13b]
Le 9 janvier 2024, les chercheurs d’Avast ont publié un nouvel outil de déchiffrement pour le ransomware Babuk, conçu pour restaurer les fichiers chiffrés par sa variante nommée Tortilla. Il a été obtenu par les chercheurs de Cisco qui ont également collaboré avec les forces de l’ordre néerlandaises pour aider à identifier et appréhender les opérateurs de l’opération ransomware. En octobre 2021, Avast avait publié un premier outil de déchiffrement pour la version originale de Babuk, suite à la publication du code source du ransomware sur le forum russophone XSS par un membre dissident du groupe d’attaquants. Cette fuite avait conduit à l’utilisation de Babuk par d’autres groupes d’attaquants pour créer leur propre code malveillant, à l’instar des ransomware Pandora, Rorschach, ESXiArgs ou encore RA Group.
Un groupe de cybercriminels turc cible des serveurs MSSQL pour déployer le ransomware MIMIC [14a] [14b] [14c]
Le 9 janvier 2023, les chercheurs de Securonix ont découvert une nouvelle campagne nommée RE#TURGENCE ciblant les serveurs MSSQL aux Etats-Unis, en Amérique latine et en Europe. Opérée par un groupe cybercriminel turc, son objectif est de déployer le ransomware MIMIC à des fins de gains financiers. L’accès initial aux serveurs a été effectué par des attaques brute-force afin d’installer par la suite un beacon Cobalt Strike. Le logiciel AnyDesk a ensuite été déployé pour accéder à la machine à distance, puis Mimikatz pour récupérer les comptes utilisateurs et Advanced Port Scanner pour analyser le réseau. La latéralisation vers les autres machines du réseau a été effectuée avec l’aide de PsExec afin de maximiser le déploiement de la charge finale, le ransomware MIMIC.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-0216
[2] CXA-2024-0153
[3] CXA-2024-0159
[4] CXA-2024-0134
[5] CXN-2024-0169
[6] CXA-2024-0091
[7] CXN-2024-0187
[8] CXN-2024-0217
[9] CXN-2024-0190
[10] CXN-2024-0088
[11] CXN-2024-0191
[12] CXN-2024-0188
[13] CXN-2024-0155
[14] CXN-2024-0164
