Connect with us

Technologie

Mandiant et Sophos détaillent les attaques ProxyShell dangereuses

Published

on


De multiples acteurs de la menace fusionnent maintenant leur activité autour des vulnérabilités ProxyShell dans Microsoft Exchange Server, qui ont suscité l’alarme dans les cercles de cybersécurité en août à la suite d’un processus de divulgation bâclé.

C’est ce qui ressort de deux nouvelles recherches de Mandiant et Sophos, qui suivent l’activité autour de ProxyShell depuis plusieurs semaines maintenant.

Mandiant a déclaré qu’il avait répondu à de multiples intrusions impliquant l’exploitation de ProxyShell chez divers clients et industries, et que la disponibilité généralisée des exploits de preuve de concept (PoC) n’aidait pas les choses.

« Exemples de preuve de concept [PoC] les exploits développés et rendus publics par les chercheurs en sécurité pourraient être exploités par n’importe quel groupe de menaces, ce qui pourrait conduire à l’adoption par des groupes de menaces de différents niveaux de sophistication », a déclaré l’équipe de recherche de Mandiant dans un article de blog.

« Mandiant a observé la chaîne d’exploitation entraînant des activités de post-exploitation, y compris le déploiement de shells Web, de portes dérobées et d’utilitaires de tunnellisation pour compromettre davantage les organisations victimes. À partir de la sortie de ce blog, Mandiant suit huit clusters indépendants. Mandiant prévoit que d’autres clusters seront formés à mesure que différents acteurs de la menace adopteront des exploits fonctionnels.

Dans une attaque ProxyShell à laquelle son équipe de défense gérée a répondu, une université basée aux États-Unis a été ciblée par un acteur de menace suivi par Mandiant comme UNC2980. Ce n’est que l’un des nombreux clusters d’activités de menace qui sont apparus au cours des dernières semaines, et qui est évalué (bien qu’avec peu de confiance à ce stade) comme une opération de cyberespionnage en provenance de Chine.

Mandiant a déclaré que le groupe exploitait les trois vulnérabilités et expositions communes (CVE) qui composent collectivement ProxyShell pour télécharger des shells Web vers ses cibles afin d’obtenir un accès initial. Il utilise ensuite plusieurs outils accessibles au public, notamment Earthworm, Htran, Mimikatz et WMIExec, pour découvrir et se débarrasser de sa mine de données volées.

Pendant ce temps, l’équipe de réponse aux incidents de Sophos a partagé les détails d’une enquête sur une série d’attaques récentes par un affilié du gang de ransomware Conti, qui a également utilisé ProxyShell pour établir un accès initial avant de suivre le playbook standard de Conti.

Conti n’est en aucun cas la première équipe de ransomware à avoir commencé à utiliser ProxyShell – ceux qui déploient le nouveau ransomware LockFile ont également fait du foin – mais les attaques Conti suivies par Sophos étaient inhabituelles car elles se sont déroulées en un temps record, a expliqué Sean Gallagher, chercheur principal sur les menaces chez Sophos Labs.

« Au fur et à mesure que les attaquants ont acquis de l’expérience avec ces techniques, leur temps de séjour avant de lancer la charge utile finale du ransomware sur les réseaux cibles est passé de semaines à quelques jours ou heures », a-t-il déclaré.

« Dans le cas de l’une des attaques basées sur ProxyShell observées par Sophos, les affiliés conti ont réussi à accéder au réseau de la cible et à mettre en place un shell Web distant en moins d’une minute. Trois minutes plus tard, ils ont installé un deuxième shell Web de sauvegarde. En 30 minutes, ils avaient généré une liste complète des ordinateurs, des contrôleurs de domaine et des administrateurs de domaine du réseau.

« À peine quatre heures plus tard, les affiliés de Conti avaient obtenu les informations d’identification des comptes d’administrateur de domaine et commencé à exécuter des commandes », a déclaré Gallagher. « Dans les 48 heures suivant l’obtention de cet accès initial, les attaquants avaient exfiltré environ 1 téraoctet de données. Après cinq jours, ils ont déployé le ransomware Conti sur chaque machine du réseau, ciblant spécifiquement les partages réseau individuels sur chaque ordinateur.

Au cours de l’attaque, la filiale conti a installé sept portes dérobées sur le réseau cible, comprenant deux shells Web, quatre outils d’accès à distance commerciaux – AnyDesk, Atera, Splashtop et Remote Utilities – et, inévitablement, Cobalt Strike.

Gallagher a exhorté les utilisateurs de Microsoft Exchange à appliquer des correctifs qui atténuent les exploits ProxyShell, mais a noté que les correctifs disponibles nécessitent la mise à niveau d’une mise à jour cumulative récente d’Exchange Server, ce qui signifie que les utilisateurs doivent essentiellement réinstaller Exchange et subir une période d’arrêt, ce qui peut en rebuter certains.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance