Actualités

“Trois groupes d’intrusions ciblant les opérateurs de télécommunications dans les pays de l’ANASE” : derniers éléments d’enquête sécuritaire de CyberReason !

Début Mars 2021, les failles sous Exchange Server de Microsoft se déversaient sur l’Internet sous le nom, en partie, de ProxyLogon : depuis le port 443, une attaque distante en HTTP permettait d’ex-filtrer ou de modifier des données, notamment par attaque de type SSRF. Si les soupçons et indices avaient convergés vers le groupe de cyber-attaquants nommé HAFNIUM, très vite, l’exploit avait pullulé, démontrant ainsi que de multiples acteurs malveillants avaient pu utiliser la faille 0-day. Après cette vague insécuritaire, l’heure est à un premier point ou bilan par Cybereason qui possèderait plusieurs nouveaux éléments d’enquête…

 

 

 

Le rapport fait suite à la réprimande publique de l’administration Biden à l’encontre du ministère chinois de la Sécurité d’État pour les récentes attaques HAFNIUM qui ont exploité les vulnérabilités des serveurs Microsoft Exchange non corrigés et mis en danger des milliers d’organisations dans le monde. L’exploitation de ces mêmes vulnérabilités a été au cœur du succès des attaques détaillées dans cette recherche“, est-il expliqué, ce qui a amené ainsi à l’existence de ce rapport avec les conclusions ou hypothèses suivantes, notamment en terme de “cluster” :

 

  • Cluster 1 : groupe Soft Cell qui serait connu, au moins, depuis 2012 pour sévir dans “plusieurs régions” dont l’Asie du Sud-Est. La faille ProxyLogon aurait été activement exploité par les cyber-attaquants depuis, au moins, 2020. Concernant le cluster, l’activité a été notée depuis, au moins, 2018 et “jusqu’au premier trimestre 2021“. Plusieurs phases ont été observées dans le déploiement de la vulnérabilité sous Exchange :

 

>>> l’usage du WebShell China Chopper dans le but d’ex-filtrer les données (notamment via une porte dérobée essentiellement utilisée par des cyber-attaquants basés dans l’Asie du Sud-Est et nommée PcShare ou encore pour exécuter le loader Cobalt Strike en tronquant l’horodatage-système de certaines valeurs-fichiers via la technique du timestomping pour permettre des attaques par command-and-control comme, entre-autres, l’installation d’un VPN nommé SoftEther) ;

 

>>> l’usage de Local Group pour détourner (par ajout ou énumération) les domaines via un DLL malicieux (mscorsvc) ou ainsi tronqué. Via Mimikatz, un credential dumping s’opère avec un ciblage parfois spécifique via “net user” ;

 

>>> ex-filtration, également, depuis la base de données (database dumping) via l’usage de multiples outils (NBTScan – smnbt.exe – Dump Event Log Tool, exécutable sous Mimikatz) en faisant tourner un script (a.bat) ;

>>> à nouveau, un autre exécutable sous Mimikatz (d64.exe) retrouvé dans le fichier Windows ou dans un fichier-fabricants comme Compaq.

 

 

  • Cluster 2 : groupe Naikon APT en activité depuis, au moins, 2010. Tout comme le premier cluster, la trace la plus récente a été observée “jusqu’au premier trimestre 2021” pour une première vue officielle depuis, au moins, le quatrième trimestre 2020. Phases observées :

 

>>> l’usage de la porte dérobée Nebulae qui serait attribuable (selon BitDefender) à ce groupe de cyber-attaquant et dont la première trace remonte à Avril 2021. Enregistreur de frappe, télémétrie-système, exécution de code distante, élévation de privilèges, command-and-control ou encore chiffrement des données pour passer sous les radars, en RC4 sont les principales fonctions ou finalités de cette porte dérobée ;

 

>>> l’usage “d’outils Windows intégrés” (Commandes NET, queser, reg, systeminfo, tasklist, netstat, ping ou, notamment, find/i”ttl pour vérifier les connexions ayant abouties) ;

>>> l’usage de PAExec mais aussi PsExec en tant que stratégie de mouvement latéral dans le but d’accéder au réseau de la machine-cible. Net use est utilisé pour consulter ou accéder aux ressources en réseau tandis que WMI exécutera de manière distance Nebulae ;

>>> l’usage de Mimikatz et de ProcDump pour ex-filtrer les identifiants ;

 

>>> l’usage de l’enregistreur de frappe-touche (keylogger) EnrollLogger résidant de manière déguisée sous une application légitime coréenne (un lecteur multimédia) Potplayer. En réalité, il réside un DLL malicieux  (PreprocessCmdLineExW) qui permettra une injection (hijacking) du trojan dont la viralité est instillé via PotPlayer.dll.txt (lien VT). Sous VirusTotal, ce DLL est, pour l’heure, encore peu impactant avec un score de 3 / 69. Multi-fonction, l’enregistreur de frappe-touche peut garder en mémoire (tampon) les touches ainsi saisies avec une allocation-mémoire définies au préalable via GetKeyState(). Le presse-papiers n’est pas épargné et les données sont également ex-filtrées depuis cet endroit. L’ensemble est chiffré sous XOR dans un fichier ou dossier préalablement créée par le keylogger.

 

 

  • Cluster 3 : Entre 2017 et 2021, un groupe de cyber-attaquants – qui seraient le groupe 3390 (APT27 appelé, entre-autres, LuckyMouse est évoqué parmi les cyber-groupes ayant exploité la faille ProxyLogon) – se seraient concentré à installer une porte dérobée du nom de Outlook Web Access (OWA). Phases observées :

 

>>> exploitation d’un DLL malicieux (Microsoft.Exchange.Clients.Event.dll) pour l’instiller sous les serveurs Exchange ou IIS (Internet Information Services). Exécution distante de code, ex-filtration de données, outils additionnels : cette porte dérobée personnalisée (.NET) issue de OWA permet d’effectuer des requêtes HTTP pour avoir diverses informations comme l’historique de connexion, la possibilité de supprimer l’adresse IP, les données d’identification (nom-pseudo-mail + mot de passe) ou encore l’user-agent. Une fois le larcin opéré, une couche sécuritaire sur ces données subtilisées est appliquée avec minutie via l’activation d’une autre porte dérobée (XORes) avec encodage en base64 (fichier ~ex.dat sous %temp%).

 

Appuyé sur plusieurs points communs on indices mettant en lien plusieurs cyber-attaquants entre eux (que cela soit les clusters évoqués ci-dessus et / ou d’autres cyber-groupes), le rapport émet trois hypothèses : la première est l’affiliation forte d’un ou plusieurs groupe (bande organisée à échelle massive) dans le but d’opérer sous une entreprise unique ; la seconde est l’existence probable de cyber-attaquant originaires de Chine qui peuvent ponctuellement travailler en binôme ou trio, au minimum, suivant la demande ; enfin, la troisième : pas d’inter-connexion, avec des cyber-groupes entièrement indépendant, avec des contrats à la volée, par exemple. Le rapport, dans tout les cas, pointe l’Association des Nations de l’Asie du Sud-Est (ANASE) : plus d’informations seront donné à l’occasion du webinaire du 12 Août 2021 organisée par CyberReason, sous l’appellation du rapport DeadRinger… A veiller !

 

 

 

 

Source : CyberReason – 3 Août 2021 – Rapport DeadRinger : le point sur les cyber-menaces après la faille ProxyLogon (Microsoft Exchange Server).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0