Actualités

FamousSparrow : un groupe de cyber-espionnage existant depuis, au moins, 2019 et dont les exploits reposent sur les vulnérabilités de Microsoft Exchange Server ! (ProxyLogon…)

Le 3 Mars 2021, les serveurs Exchange de Microsoft tressaillaient insécuritairement, via la mise en lumière de 4 vulnérabilité 0-day : ciblant initialement le port 443, l’attaque principale visait à envoyer une requête HTTP malveillante pour permettre un exploit SSRF (Server-side Request Forgery) avec, en finalité, une authentification avec élévation de privilèges et contrôle distant, en permettant une (ré)écriture au sein du système ainsi corrompu. Un peu plus d’un mois plus tard, dans le cadre du Tuesday patch d’Avril 2021, Microsoft, malgré les nombreuses recommandations et mises en garde à coup d’analyses et de graphiques censés alerter ou éveiller les administrateurs-système ou réseau, levait le voile – avec l’aide de la NSA – sur 4 autres vulnérabilités 0-day sous les serveurs Microsoft Exchange. Entre-temps et au-delà, bon nombre de cyber-attaquants avaient pu mettre la main sur ces exploits pour les reprendre à leurs comptes. Ce fut le cas de FamousSparrow, des cyber-attaquants spécialisés dans le cyber-espionnage…

 

 

C’est, à nouveau, les chercheurs de l’équipe eSET (Matthieu Faou, Tahseen Bin Taj) qui s’y colle, en publiant un billet sécuritaire dédié, le 23 Septembre 2021 : “les chercheurs d’ESET ont découvert un nouveau groupe de cyberespionnage ciblant les hôtels, les gouvernements et les entreprises privées du monde entier. Nous avons nommé ce groupe FamousSparrow et nous pensons qu’il est actif depuis au moins 2019 […] FamousSparrow a commencé à exploiter les vulnérabilités le 3 mars 2021, le lendemain de la sortie du correctif, c’est donc encore un autre groupe APT qui a eu accès à la vulnérabilité d’exécution de code à distance ProxyLogon en mars 2021 […] FamousSparrow est un groupe que nous considérons comme le seul utilisateur actuel de la porte dérobée personnalisée, SparrowDoor (que nous couvrons en détail dans les sections suivantes de cet article de blog). Il utilise également deux versions personnalisées de Mimikatz […] Bien que nous considérions FamousSparrow comme une entité distincte, nous avons trouvé des liens avec d’autres groupes APT connus. Dans un cas, les attaquants ont déployé une variante de Motnug qui est un chargeur utilisé par SparklingGoblin. Dans un autre cas, sur une machine compromise par FamousSparrow, nous avons trouvé un Metasploit en cours d’exécution avec cdn.kkxx888666[.]com comme serveur C&C. Ce domaine est lié à un groupe appelé DRBControl“.

Outre les solutions Exchange via les exploits regroupés sous ProxyLogon, des vulnérabilités sous SharePoint ou encore Oracle Opera (utilisé dans le milieu de l’hôtellerie) ont été, selon l’enquête des chercheurs, activement exploitées pour la mise en place :

 

  • D’un Mimikatz personnalisé,
  • D’un utilitaire qui aspire les données-mémoire (via le processus Isass) en installant ProcDump,
  • D’un scanner NetBIOS nommé NbtScan,
  • D’une porte dérobée nommée SparrowDoor via un loader dédié.

 

Concernant le dernier point (la porte dérobée), trois composants ont été conçus pour parfaire le chargement, depuis le dossier %PROGRAMDATA%\Software\ :

 

  • Indexer.exe (fichier exécutable K7 Computing légitime) pour détourner un DLL en mode hôte,
  • K7UI.dll, la fameuse DLL malveillante,
  • MpSvc.dll, ShellCode chiffré (XOR composé de 4 octets).

 

 

Tout comme sous ProxyLogon, la communication s’établit en HTTPS et TLS depuis le port 443, via un serveur command-and-control (sous proxy ou non). Une élévation de privilège se produit en modifiant le jeton d’authentification (token) au sein de la porte dérobée SparrowDoor fraîchement installée, via le paramètre SeDebugPrivilege. “Après cela, la fonction d’arrêt (Ws2_32.dll) est corrigée pour empêcher la désactivation des envois et des réceptions sur un socket et la fonction closesocket (Ws2_32.dll) est corrigée pour activer d’abord l’option DONT_LINGER pour fermer le socket sans attendre que les données en attente soient envoyé ou reçu. Enfin, les informations système sont envoyées au serveur C&C pour recevoir des données en retour“, détaillent eSET.

 

 

Gouvernements, hôtels, milieu industriel (génie, ingénierie) : de nombreux pays sont impactés tels que l’Afrique du Suf, l’Arabie Saoudite, le Brésil, le Burkina Faso, le Canada, la France, le Guatemala, Israël, la Lituanie, Taïwan et la Thaïlande… A veiller !

 

 

Sources :

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a