Informatique

Log4J : Crowdstrike identifie une campagne de

Log4J : Crowdstrike identifie une campagne de cyberespionnage exploitant la faille Log4Shell


La société de cybersécurité Crowdstrike a découvert une tentative d’infiltration d’une institution universitaire par un groupe basé en Chine, via la vulnérabilité Log4J.


Crowdstrike a baptisé le groupe « Aquatic Panda » et a déclaré qu’il s’agit d’un « groupe avec une double mission de collecte de renseignements et d’espionnage industriel » qui opère depuis au moins mai 2020.


L’objectif exact du groupe est inconnu car l’attaque a été interrompue, mais Crowdstrike a déclaré à ZDNet qu’Aquatic Panda est connu pour utiliser des outils lui permettant de se maintenir dans les environnements afin de pouvoir accéder à la propriété intellectuelle et à d’autres secrets commerciaux industriels.


« Les opérations d’Aquatic Panda se sont principalement concentrées sur les entités des secteurs des télécommunications, de la technologie et du gouvernement. Aquatic Panda s’appuie largement sur Cobalt Strike, et sa panoplie d’outils comprend un loader Cobalt Strike unique, connu sous le nom de FishMaster. Aquatic Panda a également été observé en train de livrer le logiciel malveillant njRAT à des cibles », explique la société dans un rapport.


Selon Crowdstrike, leur équipe a découvert « une activité suspecte provenant d’un processus Tomcat s’exécutant sous une instance VMWare Horizon vulnérable dans une grande institution universitaire, ce qui a conduit à l’interruption d’une intrusion active. »

Log4Shell intégré à la panoplie


Après avoir observé le groupe et examiné les données de télémétrie, CrowdStrike pense qu’une version modifiée de l’exploit Log4j a probablement été utilisée au cours des opérations du groupe malveillant.


L’équipe de Crowdstrike a constaté que le groupe a utilisé un projet GitHub public datant du 13 décembre 2021 afin d’accéder à l’instance vulnérable de VMWare Horizon.


 » Aquatic Panda a poursuivi sa reconnaissance depuis l’hôte, en utilisant des binaires natifs du système d’exploitation pour comprendre les niveaux de privilèges actuels ainsi que les détails du système et du domaine « . Les analystes d’OverWatch ont également observé une tentative de découverte et d’arrêt d’un service tiers de détection et de réponse sur les terminaux (EDR). OverWatch a continué à suivre le comportement malveillant de l’acteur malveillant, qui a téléchargé des scripts supplémentaires, puis a exécuté une commande codée en Base64 via PowerShell pour récupérer des logiciels malveillants dans sa boîte à outils », explique la société.


« Tout au long de l’intrusion, OverWatch a suivi de près l’activité de l’attaquant afin de fournir des mises à jour continues à l’organisation victime. Sur la base des renseignements exploitables fournis par OverWatch, l’organisation victime a été en mesure de mettre rapidement en œuvre son protocole de réponse aux incidents, ce qui a finalement permis de corriger l’application vulnérable et d’empêcher toute autre activité de l’attaquant sur l’hôte. »


Les responsables de Crowdstrike ont déclaré à ZDNet qu’ils voyaient différents groupes à l’intérieur et à l’extérieur de la Chine tirer parti de la vulnérabilité Log4J, avec des adversaires allant des groupes de cyberespionnage avancés aux groupes cybercriminels plus classiques.


« En fin de compte, la viabilité de cet exploit est bien prouvée, avec une surface d’attaque substantielle toujours présente. Nous continuerons à voir des acteurs utiliser cette vulnérabilité jusqu’à ce que toutes les mesures d’atténuation recommandées soient mises en place », ont-ils déclaré dans une interview.

Des vulnérabilités à ne pas prendre à la légère 


La semaine dernière, les États-Unis, le Royaume-Uni, l’Australie et d’autres pays ont publié un avis sur Log4J en réponse à « l’exploitation active et mondiale par de nombreux acteurs malveillants ».


De nombreux groupes en Corée du Nord, Iran, Turquie et en Chine ont été vus en train d’exploiter la vulnérabilité avec une série de ransomware.


Selon Jen Easterly, directrice de l’agence américaine de cybersécurité, les vulnérabilités de Log4j constituent une menace grave et permanente pour les organisations et les gouvernements du monde entier.


« Nous implorons toutes les entités de prendre des mesures immédiates pour mettre en œuvre les dernières directives afin de protéger leurs réseaux », a déclaré Easterly. « Ces vulnérabilités sont les plus graves que j’ai vues dans ma carrière, et il est impératif que nous travaillions ensemble pour assurer la sécurité de nos réseaux. »


Source : « ZDNet.com »




Source link

Articles similaires

Bouton retour en haut de la page