Résumé de la semaine 13 (du 25 au 31 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour macOS [1][2][3], iOS, iPadOS [4][5] et Safari [6], pour LibreOffice [7], pour OpenOffice [8] et enfin par Mozilla pour Thunderbird [9].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein de SolarWinds Platform [10]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. Un attaquant en possession d’un compte admin Orion peut, à l’aide d’un message spécifiquement conçu avec pour corps un objet .NET sérialisé, exécuter des commandes sur le système avec les privilèges NT AUTHORITY\SYSTEM.

Informations

Attaque

L’Assemblée nationale victime d’une attaque DDoS par le groupe prorusse NoName057(16) [11a] [11b] [11c]

Le 27 mars 2023, un groupe hacktiviste prorusse nommé NoName057(16) a mené une attaque DDoS contre les sites web de l’Assemblée nationale et du Sénat français.

Une campagne d’attaques par supply chain est en cours via l’application 3CXDesktopApp de 3CX [12a] [12b] [12c] [12d] [12e]

Simultanément, le 29 mars 2023, Crowdstrike, SentinelOne, et Sophos ont chacun publié une analyse d’une campagne utilisant l’application VOIP 3CXDesktopApp comme cheval de Troie.

Ransomware

Dark Power : un nouveau groupe ransomware a déjà fait une dizaine de victimes depuis janvier 2023 [13a] [13b] [13c]

Trellix, une entreprise de cybersécurité, a identifié un nouveau groupe ransomware nommé Dark Power et actif depuis au moins le 29 janvier 2023. Le groupe ransomware aurait déjà fait une dizaine de victimes.

Cybercriminalité

L’opération PowerOff a infiltré les marchés cybercriminels [14a] [14b]

PowerOff est une opération conjointe du FBI, de la Police nationale hollandaise, de la NCA (National Crime Agency) et d’Europol visant à entraver les offres de services DDoS.

International

Un groupe APT nommé Bitter ciblerait des entreprises du secteur de l’énergie atomique et des entités gouvernementales d’Asie du Sud [15a] [15b]

Intezer a publié une analyse sur une campagne récente du groupe APT (Advanced Persistent Threat), nommé Bitter et actif depuis au moins 2021. Opérant principalement en Asie du Sud, il ciblerait des entreprises et des entités gouvernementales chinoises, bangladaises, pakistanaises et saoudiennes du secteur nucléaire et de l’énergie dans son ensemble.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2023-1601
[2] CXA-2023-1585
[3] CXA-2023-1583
[4] CXA-2023-1578
[5] CXA-2023-1602
[6] CXA-2023-1567
[7] CXA-2023-1569
[8] CXA-2023-1550
[9] CXA-2023-1608
[10] CXA-2023-1621
[11] CXN-2023-1580
[12] CXN-2023-1624
[13] CXN-2023-1551
[14] CXN-2023-1554
[15] CXN-2023-1625

CERT-XMCO

Découvrir d'autres articles