Résumé de la semaine 31 (du 30 juillet au 5 août)

Résumé de la semaine 31 (du 30 juillet au 5 août)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par F5 pour BIG-IP [1], par Google pour Google Chrome [2] par Firefox pour Thunderbird [3][4], par Fortinet pour FortiADC [5], et par Gitlab [6].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Malware

Le nouveau malware Manjusaka comparable à Cobalt Strike est accessible sur GitHub [7a] [7b] [7c]

Les analystes de Cisco Talos ont découvert un outil développé par un acteur malveillant chinois baptisé Manjusaka. Il a été identifié à la suite d’une campagne d’attaque conduite à l’aide de fichiers maldocs. Manjusaka présente des similitudes avec les fonctionnalités de Sliver et Cobalt Strike. ll permet de générer des implants personnalisés (EXE ou ELF).

Deux nouveaux malwares de vol de données bancaires se propagent sur la plateforme Discord [8]

Les analystes de Kaspersky ont découvert 2 malwares déployés sur la plateforme Discord, utilisant des paquets malveillants au sein du dépôt Node Package manager (npm). Les 2 malwares sont rédigés en Python et en JavaScript. Cette campagne malveillante est connue sous le nom de « LofyLife ».

Le ver informatique Raspberry Robin pourrait être déployé par le groupe russophone Evil Corp [9a] [9b]

Les analystes de Microsoft auraient découvert des liens entre le groupe cybercriminel russophone Evil Corp (AKA DEV-0243 et DEV-0206) et le ver Raspberry Robin (QNAP worm) grâce à une série de compromissions effectuées le 26 juillet 2022. Selon les analystes de Red Canary, le malware est diffusé depuis au moins septembre 2021. Le ver informatique infecte uniquement des machines avec le malware FakeUpdates (SocGholish).

International

Les États-Unis accusent la Chine de mener des cyberattaques contre Taïwan [10a] [10b] [10c] [10d]

Alors que le Boeing C40C de la présidente de la Chambre des représentants des États-Unis, Nancy Pelosi atterrissait à l’aéroport Songsan de Taipei ce mardi 2 août 2022, le ministre de la Défense chinoise Wei Fenghe a annoncé des manoeuvres de grande ampleur et « à balles réelles » autour de l’île. Parmi les échanges qui ont émaillé cette énième crise diplomatique entre la Chine et les États-Unis autour de Taïwan, Nancy Pelosi a notamment déclaré que « la République Populaire de Chine [se bat] dans le cyberespace, lançant des attaques contre les instances gouvernementales Taïwanaises chaque jour ». Cette déclaration, publiée hier dans une tribune du Washington Post (2 août 2022) est à mettre en perspective de l’indisponibilité du site de la présidence taïwanaise depuis mardi.

Fuite d’informations

États-Unis : le département de la justice enquête sur une fuite de données datant de 2020 [11a] [11b]

Matt Olsen, responsable de la division Sécurité nationale du département de la Justice des États-Unis, a déclaré lors d’une session de la commission judiciaire de la chambre des représentants que ses services enquêtaient sur une fuite de données datant de 2020. Cette fuite avait concerné le système de gestion des dossiers des tribunaux fédéraux. La commission n’aurait pris conscience de l’ampleur et de la portée de cette fuite qu’au mois de mars 2022. Refusant de donner plus de détails quant à la nature des données concernées, Matt Olsen a également esquivé la question de l’origine qui lui était posée en répondant que sa division se concentrait sur les risques de cyberattaques émanant de la Russie, de la Chine, de l’Iran et de la Corée du Nord, mais sans faire de lien explicite avec l’investigation en cours.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-3732
[2] CXA-2022-3719
[3] CXA-2022-3676
[4] CXA-2022-3675
[5] CXA-2022-3717
[6] CXA-2022-3720
[7] CXN-2022-3715
[8] CXN-2022-3697
[9] CXN-2022-3680
[10] CXN-2022-3701
[11] CXN-2022-3665


Marc Lambertz

Analyste CERT-XMCO