Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une activité russe présumée visant des entités gouvernementales et commerciales dans le monde entier

décembre 2021 par Mandiant Threat Intelligence

Alors qu’arrive le premier anniversaire de la découverte de la compromission de la chaîne d’approvisionnement de SolarWinds, Mandiant reste déterminé à traquer l’un des acteurs les plus coriaces rencontrés. Ces acteurs russes présumés pratiquent une sécurité opérationnelle de premier ordre et des techniques de pointe. Cependant, ils sont faillibles, et nous continuons à découvrir leurs activités et à apprendre de leurs erreurs. En fin de compte, ils restent une menace adaptable et évolutive qui doit être étudiée de près par les défenseurs qui cherchent à garder une longueur d’avance.

Par Luke Jenkins, Sarah Hawley, Parnian Najafi et Doug Bienstock

Mandiant continue de suivre de nombreux groupes d’activités d’intrusion présumées russes qui ont ciblé des entreprises et des entités gouvernementales dans le monde entier. Sur la base de notre évaluation de ces activités, nous avons identifié deux groupes d’activités distincts, UNC3004 et UNC2652. Ces deux groupes sont associés à UNC2452, également appelé Nobelium par Microsoft.

Parmi les tactiques que Mandiant a récemment observées, citons :

• Compromission de plusieurs fournisseurs de solutions cloud et de fournisseurs de services managés depuis 2020.
• Utilisation d’informations d’identification probablement obtenues à partir d’une campagne de logiciels malveillants voleurs d’informations par un acteur tiers pour obtenir un accès initial aux organisations.
• Utilisation de comptes avec des privilèges d’usurpation d’identité d’application pour récolter des données de messagerie sensibles depuis le premier trimestre 2021.
• Utilisation de services proxy IP résidentiels et d’une infrastructure géographique récemment mise en place pour communiquer avec des victimes compromises.
• Utilisation de nouvelles TTP pour contourner les restrictions de sécurité dans les environnements, y compris, mais sans s’y limiter, l’extraction de machines virtuelles pour déterminer les configurations de routage internes.
• Utilisation d’un nouveau « downloader » sur mesure que nous appelons CEELOADER.

Dans la plupart des cas, les activités postérieures à la compromission comprenaient le vol de données pertinentes pour les intérêts russes. Dans certains cas, le vol de données semble avoir été obtenu principalement pour créer de nouvelles voies d’accès à d’autres environnements victimes. Les opérateurs continuent d’innover et d’identifier de nouvelles techniques et de nouveaux savoir-faire pour maintenir un accès persistant aux environnements des victimes, entraver la détection et confondre les efforts d’attribution.

Les sections ci-dessous mettent en évidence l’activité d’intrusion de plusieurs interventions sur incident qui sont actuellement attribués à de multiples groupes non catégorisés (UNC). Mandiant soupçonne ces groupes d’être reliés à une menace russe commune. Les informations ci-dessous couvrent certaines des tactiques, techniques et procédures (TTP) utilisées par les opérateurs pour la compromission initiale, l’établissement dans le réseau, la collecte de données et le mouvement latéral ; comment les opérateurs approvisionnent l’infrastructure ; et les indicateurs de compromission associés. Ces informations sont partagées pour sensibiliser les organisations et leur permettre de mieux se défendre.

Compromission initiale

Compromission de fournisseurs de solutions de cloud computing Mandiant a identifié de multiples cas où l’attaquant a compromis des fournisseurs de services et a utilisé l’accès privilégié et les informations d’identification appartenant à ces fournisseurs pour compromettre des clients en aval.

Dans au moins un cas, l’acteur menaçant a identifié et compromis un compte VPN local et a utilisé ce compte VPN pour effectuer une reconnaissance et obtenir un accès supplémentaire aux ressources internes de l’environnement du CSP de la victime, ce qui a finalement conduit à la compromission de comptes de domaine internes.

Accès obtenu grâce à une campagne de logiciels malveillants voleurs d’informations

Mandiant a identifié une campagne dans laquelle les opérateurs ont obtenu un accès à l’environnement Microsoft 365 de l’organisation cible à l’aide d’un identificateur de session volé. Mandiant a analysé les postes de travail appartenant à l’utilisateur final et a découvert que certains systèmes avaient été infectés par CRYPTBOT, un malware voleur d’informations, peu de temps avant la génération de l’identificateur de session volé.

Mandiant estime avec une confiance modérée que l’attaquant a obtenu le jeton de session auprès des opérateurs du malware voleur d’informations. Ces identifiants ont été utilisés par l’acteur via des fournisseurs de VPN publics pour s’authentifier auprès de l’environnement Microsoft 365 de la cible.

Activité post compromission via la compromission du fournisseur de solutions de cloud computing

Compromisison :

Dans au moins un cas, l’attaquant a compromis un compte Microsoft Azure AD au sein d’un fournisseur Cloud Solution Provider (CSP). Le compte possédait un rôle Azure AD spécifique qui lui permettait d’utiliser la fonction Admin on Behalf Of (AOBO). Avec AOBO, les utilisateurs ayant un rôle spécifique dans le fournisseur CSP ont un accès RBAC Owner Azure aux abonnements Azure dans les fournisseurs de leurs clients qui ont été créés par le programme CSP. L’accès RBAC Owner donne au titulaire du rôle un contrôle complet sur toutes les ressources de l’abonnement Azure. L’attaquant a exploité les informations d’identification du CSP compromis et la fonction AOBO pour obtenir un accès privilégié aux abonnements Azure utilisés pour héberger et gérer les systèmes des clients en aval. L’acteur a exécuté des commandes avec des privilèges NT AUTHORITY\SYSTEM dans les VM Azure à l’aide de la fonction Azure Run Command. La fonction Azure Run Command permet à un utilisateur d’exécuter des scripts PowerShell dans une VM Azure à l’aide du portail Azure, de l’API REST ou de PowerShell sans connaître les informations d’identification Windows valides sur la VM elle-même.




Voir les articles précédents

    

Voir les articles suivants