Informatique

Mandiant se penche sur les nouveaux outils des groupes liés

Mandiant se penche sur les nouveaux outils des groupes liés à l'attaque sur Solarwinds


Un groupe de pirates soutenu par le gouvernement russe et lié à l’attaque de SolarWinds a développé un nouveau logiciel malveillant qui a été utilisé pour mener des attaques contre des entreprises et des gouvernements en Amérique du Nord et en Europe. Ces attaques ont eu lieu dans le cadre d’une campagne visant à compromettre secrètement les réseaux, à voler des informations et à jeter les bases de futures attaques.

Des nouvelles des pirates de Solarwinds


Les attaques impliquent également la compromission de plusieurs fournisseurs de services cloud et de services gérés dans le cadre d’une campagne conçue pour permettre aux pirates d’accéder aux clients en aval des fournisseurs dans les attaques visant la chaîne d’approvisionnement logicielle.


Cette campagne de grande envergure a été détaillée par les chercheurs en cybersécurité de la société Mandiant, qui l’ont liée à deux groupes de pirates baptisés UNC3004 et UNC2652.


Mandiant associe ces groupes à UNC2452 – également connu sous le nom de Nobelium chez Microsoft – une groupe qui travaille pour le compte du service de renseignement extérieur russe et qui est à l’origine de la cyberattaque contre SolarWinds.


Cependant, bien que chacun de ces groupes agit depuis la Russie et semble partager des objectifs similaires, les chercheurs ne peuvent pas affirmer avec certitude qu’elles font toutes partie d’une même unité.


« Bien qu’il soit plausible qu’il s’agisse d’un seul et même groupe, Mandiant ne dispose pas actuellement de suffisamment d’éléments pour déterminer avec certitude qu’il s’agit bien du même groupe », indique le rapport.

Ceeloader, denominateur commun


Les campagnes nouvellement détaillées incluent l’utilisation d’un loader de malware développé sur mesure que les chercheurs ont appelé Ceeloader.


Écrit en langage de programmation C, ce logiciel malveillant déchiffre les charges utiles de type shellcode pour les exécuter dans la mémoire de la machine Windows de la victime, permettant ainsi la distribution d’autres logiciels malveillants. Ceeloader évite la détection grâce à l’utilisation de gros blocs de code inutiles qui rendent le code malveillant indétectable par les logiciels antivirus.


« Un outil d’obscurcissement a été utilisé pour dissimuler le code de Ceeloader entre de gros blocs de code inutiles contenant des appels sans signification à l’API Windows. Les appels significatifs à l’API Windows sont cachés dans des fonctions d’enveloppe qui déchiffrent le nom de l’API et le résolvent dynamiquement avant de l’appeler », indique le rapport.


La façon dont Ceeloader est distribué n’est pas claire, mais il fournit une passerelle furtive pour d’autres activités malveillantes.


Parmi les autres tactiques utilisées par les attaquants, citons l’utilisation abusive de l’outil de test d’intrusion Cobalt Strike pour placer une porte dérobée sur le système compromis. Celle-ci peut être utilisée pour exécuter des commandes et transférer des fichiers, ainsi que pour fournir un enregistreur de frappe qui peut être utilisé pour voler des noms d’utilisateur et des mots de passe.


En plus du déploiement de logiciels malveillants, les attaquants ont compromis des cibles via des services cloud.


Comme d’autres campagnes liées à la Russie, ces attaques ciblent également les identifiants de connexion au protocole de bureau à distance (RDP).

Victimologie et mode operatoire


Mais, quelle que soit la manière dont le réseau a été compromis, les organisations attaquées semblent s’aligner sur celles visées par les campagnes précédentes attribuées à l’État russe.


« Nous avons vu cet acteur malveillant cibler en fin de compte des entités gouvernementales, des organisations de conseil et des ONG en Amérique du Nord et en Europe qui disposent directement de données intéressant le gouvernement russe. Dans certains cas, ils ont d’abord compromis des entreprises de solutions technologiques, de services et de revendeurs en Amérique du Nord et en Europe qui ont accès à des cibles qui les intéressent en dernier ressort », a déclaré à ZDNet Douglas Bienstock, responsable du conseil chez Mandiant.


Pour les attaquants, cibler les fournisseurs de services cloud via les méthodes de compromission nouvelles et existantes détaillées par le rapport reste l’une des méthodes clés pour compromettre un large éventail d’organisations. En compromettant le fournisseur, ils ont la possibilité d’accéder aux systèmes des clients.


Des incidents tels que l’attaque de SolarWinds attribuée à l’État russe, ainsi que des activités cybercriminelles telles que la compromission de Kaseya et les attaques par ransomware qui en ont découlé ont démontré la puissance de cet outil dans le cadre de campagnes d’attaques informatiques. C’est pourquoi les fournisseurs de cloud computing et leurs services restent une cible importante.


« En compromettant l’environnement d’un seul fournisseur de services cloud, l’acteur malveillant peut être en mesure d’accéder aux réseaux de plusieurs organisations qui l’intéressent et qui sont clientes de ce fournisseur. De cette façon, l’acteur peut concentrer ses efforts sur un petit nombre d’organisations et récolter ensuite de grandes récompenses », a déclaré M. Bienstock.


Les chercheurs de Mandiant disent avoir connaissance de quelques dizaines d’organisations qui ont été touchées par des campagnes en 2021 et, dans les cas où elles ont été compromises par des attaquants, des mesures ont été prises pour les en informer.


Source : « ZDNet.com »




Source link

Articles similaires

Bouton retour en haut de la page