Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Attaques sur la chaîne logistique & exploitations de vulnérabilités 0-day : des techniques particulièrement efficaces pour cibler les organisations

novembre 2021 par Emmanuelle Lamandé

La compromission de logiciels légitimes via des attaques sur la chaîne logistique ou l’exploitation de vulnérabilités 0-day sont des techniques récurrentes et particulièrement efficaces pour cibler les organisations. A l’occasion des Assises de la Sécurité, Mathieu Tartare, Malware Researcher, ESET France, revient sur quelques exemples d’attaques visant la « supply chain » découvertes par les chercheurs d’ESET, ainsi que sur les vulnérabilités des serveurs Microsoft Exchange massivement exploitées par une dizaine de groupes APT cette année.

L’industrie du jeu vidéo ciblée par une attaque sur la chaîne d’approvisionnement…

Les attaques sur les chaînes d’approvisionnement sont malheureusement pléthore, et les chercheurs d’ESET en font le constat régulièrement. Parmi elles, Mathieu Tartare peut citer par exemple l’attaque ayant ciblé l’industrie du jeu vidéo en 2018 en Asie. Deux jeux et une application de plateforme de jeu, dont le jeu Infestation produit par le développeur thaïlandais Electronics Extreme, ont été compromis par une payload malveillante, afin d’intégrer la même porte dérobée dans le code. Toutefois, la backdoor était rendue inactive si le langage était russe ou chinois.
L’analyse de ces logiciels malveillants par les experts d’ESET a permis d’identifier la présence du malware Winnti, associé au groupe Winnti/APT41. Ce groupe de cyberespionnage a plusieurs cordes à son arc, mais est bien connu dans l’écosystème cybercriminel pour ses activités ciblant l’univers du jeu vidéo. Attaquer ce type de logiciels permet de compromettre énormément de victimes, et s’avère donc particulièrement lucratif pour les cybercriminels.

… tout comme le logiciel Able Desktop

Able Desktop est un logiciel de chat qui fait partie de la suite de gestion d’entreprise Able utilisée en Mongolie. Plus de 430 organisations étatiques discuteraient via ce système dans le pays. A la mi-2018, les chercheurs d’ESET ont observé une première occurrence de l’application légitime Able Desktop utilisée pour télécharger et exécuter HyperBro, une porte dérobée communément attribuée à LuckyMouse. Able Desktop a également été utilisé pour télécharger et exécuter le RAT Tmanger, attribué au groupe TA428, et le RAT Korplug.
En plus des applications légitimes d’Able Desktop utilisées pour déposer et exécuter HyperBro, probablement via son système de mises à jour, ils ont également trouvé deux installateurs d’Able Desktop qui étaient en fait des chevaux de Troie et qui contenaient la porte dérobée HyperBro et la RAT Korplug.

L’autorité de certification vietnamienne VGCA victime du groupe TA428

Suite à l’attaque sur la chaîne logistique ayant ciblé le logiciel Able Desktop, c’est l’Autorité de certification du gouvernement vietnamien (VGCA) qui en a fait les frais. Les signatures digitales sont extrêmement courantes au Vietnam, et ont autant de valeur que les signatures « classiques ». Ainsi, l’Autorité de certification VGCA délivre régulièrement des certificats et fournit une boîte à outils de signature numérique, communément utilisée par le gouvernement vietnamien, mais aussi par des entreprises privées.
Selon les chercheurs d’ESET, le site web de VGCA, ca.gov.vn, a été compromis a minima du 23 juillet au 16 août 2020. Deux des installeurs disponibles au téléchargement ont été modifiés pour y installer un dropper, ainsi que la porte dérobée Smanager. Cette backdoor a beaucoup de similarités avec Tmanger, puisqu’elles sont l’œuvre du même développeur, associé au groupe TA428.

Cet exemple nous démontre bien que même une signature numérique validée par une autorité de certification réputée peut être compromise. Il ne faut donc jamais relâcher sa vigilance, même quand l’on se sent dans un cadre de confiance.

Plus de 10 groupes de pirates exploitent les vulnérabilités de Microsoft Exchange

Concernant les vulnérabilités 0-day (c’est-à-dire non-patchées), les chercheurs d’ESET ont notamment mis en lumière en début d’année l’exploitation de la chaîne de vulnérabilités de Microsoft Exchange, baptisée ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065). Cette série de vulnérabilités de pré-authentification par exécution de code à distance (RCE) permet à un attaquant de s’emparer de n’importe quel serveur Exchange accessible, sans avoir besoin de connaître les identifiants d’un compte valide, ce qui rend les serveurs Exchange connectés à Internet particulièrement vulnérables. Ce type de vulnérabilités s’avère donc particulièrement critique, puisqu’il ne nécessite aucune intervention de l’utilisateur.

Selon les chercheurs d’ESET, la première exploitation de ces vulnérabilités est attribuée au groupe Hafnium le 3 janvier 2021. D’autres groupes cybercriminels ont ensuite exploités ce bon filon : Tick, Lucky Mouse (APT27), Calypso et Websiic, mais aussi Winnti Group, quelques heures avant la publication des correctifs de Microsoft le 2 mars. La communication autour de ces correctifs a attiré dès le lendemain d’autres groupes malveillants, comme Tonto Team, ShadowPad, « Opera » Cobalt Strike, Mikroceen et DLTMiner. Au total, ce sont plus de 10 groupes de pirates qui ont pu prendre le contrôle de serveurs de messagerie Exchange dans le monde entier.

Parmi les contre-mesures à adopter, il recommande notamment de patcher bien évidemment tous les serveurs Exchange. Toutefois, en cas de compromission, patcher ne sera pas suffisant. Les administrateurs doivent chercher et supprimer les webshells, modifier les identifiants et rechercher toute activité malveillante supplémentaire. Enfin, ce type d’incident nous rappelle que les applications complexes, telles que Microsoft Exchange ou SharePoint, ne doivent pas être ouvertes directement sur Internet.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants