Les chercheurs en cybersécurité de Secureworks ont décrit en détail une série de cyberattaques impliquant des ransomwares et des vols de données qui ont eu lieu au début de l’année 2022 et qui sont le fait d’un groupe de pirates iraniens qu’ils désignent sous le nom de Cobalt Mirage – également connu sous les noms d’APT35, Charming Kitten, Phosphorus et TA453.
Parmi ces attaques figure une attaque visant un réseau d’une administration américaine en mars 2022, que les chercheurs de Secureworks ont attribué à Cobalt Mirage en raison de ses caractéristiques.
Il s’agit notamment de l’exploitation des vulnérabilités ProxyShell pour déployer le client Fast Reverse Proxy (FRPC) et permettre l’accès à distance aux systèmes vulnérables.
Bien que le moyen initial de compromission dans cette attaque ne soit pas connu, les chercheurs notent comment les attaquants ont probablement exploité les vulnérabilités Log4j non corrigées malgré la disponibilité d’un correctif. Il existe des preuves que cette exploitation initiale a pu avoir lieu dès janvier 2022.
Une attaque en 4 jours
La majeure partie de l’activité d’intrusion s’est déroulée sur une période de quatre jours, en mars. L’objectif principal étant de scanner le réseau et de voler des données – les chercheurs notent que c’est étrange, car comme d’autres attaques détectées pendant cette période, les cibles n’avaient aucune valeur stratégique ou politique pour l’Iran.
Une fois l’intrusion du 20 mars détectée et interrompue, aucune autre activité malveillante n’a été observée.
Les chercheurs suggèrent que la principale motivation de cette attaque, et des autres, est le gain financier, mais on ne sait pas exactement comment les attaquants cherchent à en tirer profit.
« Bien que les pirates semblent avoir réussi à obtenir un accès initial à un large éventail de cibles, leur capacité à tirer parti de cet accès pour réaliser des gains financiers ou collecter des renseignements semble limitée », ont écrit les chercheurs de l’unité de lutte contre les menaces (CTU) de Secureworks dans un billet de blog.
Les attaquants ont utilisé les vulnérabilités ProxyShell et Microsoft Exhange pour se déplacer sur le réseau
Selon les chercheurs de Secureworks qui ont enquêté sur l’incident, les attaquants ont utilisé les vulnérabilités ProxyShell et Microsoft Exhange pour se déplacer sur le réseau et accéder à distance à des comptes, avant de déclencher une attaque par ransomware BitLocker.
Fait inhabituel, la note de rançon a été envoyée à une imprimante du réseau et imprimée sur papier, détaillant une adresse électronique et des coordonnées. Les notes de rançon des ransomwares sont plus habituellement laissées soit sur des écrans, soit sur des serveurs.
« Les pirates ont complété l’attaque par une tactique inhabituelle consistant à envoyer une note de rançon à une imprimante locale. La note comprend une adresse e-mail de contact et un compte Telegram pour discuter du déchiffrement et de la récupération. Cette approche suggère une petite opération qui s’appuie sur des processus manuels pour mettre en correspondance les victimes avec les clés de chiffrement utilisées pour verrouiller leurs données », ont déclaré les chercheurs en sécurité.
Les attaquants ont pu accéder aux réseaux en exploitant des vulnérabilités critiques de cybersécurité non corrigées. Afin de protéger les réseaux contre les cyberattaques, il est recommandé d’appliquer les correctifs de sécurité aussi rapidement que possible afin d’empêcher les intrus potentiels d’exploiter les vulnérabilités connues.
Les chercheurs recommandent également de mettre en place une authentification multifactorielle et de surveiller l’utilisation non autorisée ou suspecte d’outils et de services de partage de fichiers qui pourraient indiquer la présence d’attaquants sur le réseau.
Source : « ZDNet.com »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));