Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1], par Arista pour Edge Threat Management [2], par F5 pour BIG-IP AFM [3], par Zyxel [4] et par Microsoft pour Edge [5].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Vulnérabilité
Exploitation des CVE-2024-21893 et CVE-2024-21887 dans Ivanti Connect Secure par UNC5325, attribué à la Chine [6a] [6b] [6c]
Le 27 février 2024, Mandiant a publié un rapport relatif à l’exploitation active de vulnérabilités 0-day affectant les produits Ivanti par un groupe d’attaquants attribué à la Chine nommé UNC5325. Les observations des chercheurs ont permis à Mandiant d’établir un lien entre cet acteur et un autre groupe associé à la Chine, UNC3886, réputé pour cibler les secteurs de la défense, des technologies et des télécommunications aux États-Unis ainsi qu’en Asie-Pacifique.
Exploitation d’une vulnérabilité 0-day affectant Windows AppLocker par l’APT nord-coréen Lazarus [7a] [7b] [7c]
Le 28 février 2024, les chercheurs d’Avast ont révélé l’exploitation d’une vulnérabilité 0-day affectant Windows AppLocker par l’APT associée à la Corée du Nord, Lazarus, afin de distribuer un remote access trojan non communiqué. La vulnérabilité, référencée CVE-2024-21338, a été corrigée dans le cadre du Patch Tuesday de février 2024 de Microsoft, mais n’avait pas été indiquée comme exploitée par l’éditeur.
Exploitation de vulnérabilités affectant ScreenConnect pour déployer Black Basta, Bl00dy et XWorm [8a] [8b]
Le 27 février 2024, les chercheurs de Trend Micro ont révélé l’exploitation de deux vulnérabilités affectant ScreenConnect par plusieurs acteurs de la menace tels que Black Basta, Bl00dy, et XWorm. Les vulnérabilités, référencées CVE-2024-1708 et CVE-2024-1709, ont été corrigées par ConnectWise le 19 février 2024 et plusieurs exploits étaient disponibles publiquement.
État-nation
Distribution de WineLoader par APT SpikedWine via une campagne de phishing ciblant des diplomates européens [9a] [9b]
Le 27 février 2024, les chercheurs de Zscaler ont découvert une campagne de phishing ciblant des diplomates européens afin de distribuer une backdoor sophistiquée nommée WineLoader. L’opération aurait été menée par un mode opératoire APT baptisé SpikedWine cherchant à exploiter les relations diplomatiques entre l’Inde et l’Europe.
Compromisssion de routeurs Ubiquiti EdgeRouters par le groupe russe APT28 depuis 2022 [10a] [10b]
Le 27 février 2024, l’Internet Crime Complaint Center (IC3) a publié un avis de cybersécurité, conjointement à différentes agences de renseignement nord-américaines et européennes. Ce document rapporte le démantèlement d’une campagne d’espionnage du mode opératoire APT28 (aka Fancy Bear, STRONTIUM et Forest Blizzard), s’appuyant sur la compromission de routeurs Ubiquiti EdgeRouters depuis 2022 pour le compte du 85e Centre principal des services spéciaux du GRU.
Europe de l’Ouest
Publication de données d’utilisateurs de LDLC sur BreachForums [11a] [11b] [11c] [11d] [11e] [11f]
Le 28 février 2024, un individu nommé LegendShadow a mis en vente sur BreachForums une base de données appartenant à la firme française LDLC. Cette dernière contiendrait les noms, adresses e-mail, numéros de téléphone et adresse postale d’1,5 millions de ses utilisateurs.
La campagne de désinformation pro-russe Doppelgänger cible activement l’Allemagne à l’approche des échéances politiques [12a] [12b] [12c]
Le 22 février 2024, les chercheurs de SentinelOne ont publié un rapport sur une campagne d’influence prorusse ciblant activement l’Allemagne depuis novembre 2023. Associée au cluster d’activités de Doppelgänger, cette campagne coïncide avec la publication de récents rapports par Microsoft , par Recorded Future et par Der Spiegel.
Compromission du Centre Hospitalier d’Armentières par le ransomware Blackout [13a] [13b] [13c]
Le 27 février 2024, le groupe de ransomware Blackout a publié les données du Centre Hospitalier d’Armentières, attaqué le 11 février 2024. Le groupe aurait utilisé une version customisée du builder Lockbit qui avait fuité en septembre 2023.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-1190
[2] CXA-2024-1180
[3] CXA-2024-1133
[4] CXA-2024-1144
[5] CXA-2024-1205
[6] CXN-2024-1203
[7] CXN-2024-1208
[8] CXN-2024-1188
[9] CXN-2024-1194
[10] CXN-2024-1175
[11] CXN-2024-1207
[12] CXN-2024-1158
[13] CXN-2024-1177
