Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Windows [1], pour Acrobat par Adobe [2], pour Android [3], MobileIron [4] et par SAP [5].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Manipulation de données et divulgation d’informations via 3 vulnérabilités au sein de ProjeQtOr [6]
L’exploitation de ces vulnérabilités permet de mener différentes attaques : récupération du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, voire redirection de l’utilisateur vers un site malveillant (par exemple, un site de phishing en affichant un faux formulaire destiné à voler identifiants et mots de passe).
Informations
Infostealer
L’infostealer White Snake est distribué par des acteurs de la menace usurpant l’identité de Roskomnadzor [7]
Dans un article de blog publié le 1er août 2023, les chercheurs de BI-ZONE
ont observé des acteurs de la menace distribuant l’infostealer White Snake
en usurpant l’identité du Service fédéral de supervision des communications russe Roskomnadzor
. Les analystes de BI-ZONE
mettent en avant l’attractivité de ce malware sur le darknet et l’expliquent par un faible coût de location et une facilité d’utilisation. L’infostealer White Snake
a été observé pour la première fois en février 2023. Les consultants du CERT-XMCO ont observé la commercialisation de ce malware sur Telegram et sur des forums cybercriminels russophones.
Smartphones
Techniques d’évasion permettant de diffuser des malwares sur le Google Play Store [8]
Dans son dernier rapport sur les tendances de la menace cyber publié en août 2023, l’équipe de sécurité de Google Cloud
a reconnu l’existence d’une tactique connue sous le nom de versioning
, utilisée par des acteurs malveillants pour introduire des malwares sur des appareils Android après avoir échappé au processus d’examen et aux contrôles de sécurité de la marketplace populaire Google Play Store
.
Fuite d’informations
Compromission des serveurs de la Commission électorale britannique [9]
Le mardi 8 août 2023, la Commission électorale britannique a déclaré avoir subi une divulgation massive de données exposant les informations personnelles de toutes les personnes s’étant inscrites sur les listes électorales au Royaume-Uni et à l’étranger entre 2014 et 2022. Cette déclaration publique intervient 10 mois après l’observation de l’intrusion initiale.
Conflit Ukraine
Compromission des serveurs de Mashinostroyeniya par APT ScarCruft [10a] [10b]
Dans un rapport publié le 7 août 2023, les chercheurs de SentinelLabs ont annoncé la découverte d’une backdoor (nommée OpenCarrot
) sur les systèmes informatiques de Mashinostroyeniya
. Le mode opératoire APT ScarCruft
(aussi référencé comme APT37
) a été associé à la compromission de l’organisme industriel russe, spécialisé dans le secteur des missiles balistiques intercontinentaux.
Hacktivisme
Rapport de Group-IB sur le groupe hacktiviste « Mysterious Team Bangladesh » [11]
Dans un rapport publié le 3 août 2023, les chercheurs de Group-IB
analysent les motivations et TTPs du groupe hacktiviste Mysterious Team Bangladesh
(MYB). Motivé par des raisons religieuses et politiques, le collectif MYB
serait apparu en 2020 selon ses membres fondateurs, mais n’a réellement commencé à attirer l’attention qu’en 2022, après une série d’attaques ciblant des organisations en Inde, en Israël et dans d’autres pays.
Ransomware
Le ransomware Rhysida cible le secteur de la santé [12]
Le 4 août 2023, le ministère américain de la santé et des services sociaux (HHS
) a publié un bulletin de sécurité sur le Ransomware-as-a-Service (RaaS) Rhysida
. Selon ce rapport, les acteurs de la menace auraient récemment concentré leurs attaques sur le secteur des soins de santé.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
[1] CXA-2023-4250
[2] CXA-2023-4249
[3] CXA-2023-4240
[4] CXA-2023-4232
[5] CXA-2023-4314
[6] CXA-2023-4190
[7] CXN-2023-4150
[8] CXN-2023-4169
[9] CXN-2023-4253
[10] CXN-2023-4182
[11] CXN-2023-4163
[12] CXN-2023-4273