Vendredi, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutée trois failles à ses vulnérabilités exploitées connues (KEV) catalogue, citant des preuves d’abus actifs dans la nature.
Parmi les trois figure CVE-2022-24990un bogue affectant les périphériques de stockage en réseau (TNAS) TerraMaster pouvant entraîner l’exécution de code à distance non authentifié avec les privilèges les plus élevés.
Des détails sur la faille ont été divulgués par la société éthiopienne de recherche en cybersécurité Octagon Networks en mars 2022.
La vulnérabilité, selon un avis conjoint publié par les autorités gouvernementales américaines et sud-coréennes, aurait été militarisée par des pirates informatiques nord-coréens pour frapper des entités de soins de santé et d’infrastructures critiques avec des ransomwares.
Le deuxième défaut à ajouter au catalogue KEV est CVE-2015-2291une faille non spécifiée dans le pilote de diagnostic Intel Ethernet pour Windows (IQVW32.sys et IQVW64.sys) qui pourrait placer un périphérique concerné dans un état de déni de service.
L’exploitation de CVE-2015-2291 dans la nature a été révélé par CrowdStrike le mois dernier, détaillant une attaque Scattered Spider (alias Roasted 0ktapus ou UNC3944) qui impliquait une tentative de planter une version légitimement signée mais malveillante du pilote vulnérable en utilisant une tactique appelée BYOVD (Bring Your Own Vulnerable Driver).
L’objectif, a déclaré la société de cybersécurité, était de contourner le logiciel de sécurité des terminaux installé sur l’hôte compromis. L’attaque a finalement échoué.
Le développement souligne l’adoption croissante de la technique par plusieurs acteurs de la menace, à savoir BlackByte, Earth Longzhi, Lazarus Group et OldGremlin, pour alimenter leurs intrusions avec des privilèges élevés.
Enfin, CISA a également ajouté une injection de code à distance découverte dans l’application de transfert de fichiers géré GoAnywhere MFT de Fortra (CVE-2023-0669) au catalogue KEV. Alors que des correctifs pour la faille ont été publiés récemment, l’exploitation a été liée à un groupe de cybercriminalité affilié à une opération de ransomware.
Chasseresse, dans un analyse publié plus tôt cette semaine, a déclaré avoir observé la chaîne d’infection menant au déploiement de TrueBot, un malware Windows attribué à un acteur menaçant connu sous le nom de Silence et qui partage des liens avec Evil Corp, une équipe de cybercriminalité russe qui présente des chevauchements tactiques avec TA505.
Avec TA505 faciliter le déploiement du rançongiciel Clop dans le passé, on soupçonne que les attaques sont un précurseur du déploiement de logiciels malveillants de verrouillage de fichiers sur des systèmes ciblés.
De plus, le blog de sécurité Bleeping Computer signalé que l’équipe du rançongiciel Clop a contacté la publication et a affirmé avoir exploité la faille pour voler les données stockées dans les serveurs compromis de plus de 130 entreprises.
Les agences du Federal Civilian Executive Branch (FCEB) sont tenues d’appliquer les correctifs d’ici le 3 mars 2023 pour sécuriser les réseaux contre les menaces actives.
