07 mars 2025Ravie LakshmananIntelligence / vulnérabilité des menaces

Des acteurs de menace de provenance inconnue ont été attribués à une campagne malveillante ciblant principalement les organisations au Japon depuis janvier 2025.

“L’attaquant a exploité la vulnérabilité CVE-2024-4577, un défaut d’exécution du code distant (RCE) dans la mise en œuvre de PHP-CGI de PHP sur Windows, pour accéder initial aux machines victimes”, a déclaré le chercheur de Cisco Talos Chetan Raghuprasad dit Dans un rapport technique publié jeudi.

“L’attaquant utilise les plugins de la présence publique Kit de frappe Cobalt ‘Taowu’ pour les activités d’exploitation des montants. “

Les cibles de l’activité malveillante comprennent des entreprises dans tous les secteurs de la technologie, des télécommunications, du divertissement, de l’éducation et du commerce électronique au Japon.

Tout commence par les acteurs de la menace exploitant la vulnérabilité CVE-2024-4577 pour obtenir un accès initial et exécuter des scripts PowerShell pour exécuter le cobalt strike inverse http shellcode la charge utile pour s’accorder un accès à distance persistant au critère d’évaluation compromis.

Cybersécurité

L’étape suivante implique de réaliser la reconnaissance, l’escalade des privilèges et les mouvements latéraux à l’aide d’outils comme la juicypotato, la rotation, la patate douce, le fscan et la ceinture de sécurité. Une persistance supplémentaire est établie via des modifications du registre Windows, des tâches planifiées et des services sur mesure à l’aide des plugins du kit de frappe Cobalt appelé Taowu.

“Pour maintenir la furtivité, ils effacent les journaux d’événements à l’aide de commandes Wevtutil, en supprimant les traces de leurs actions des journaux de sécurité, système et d’applications Windows”, a noté Raghuprasad. “Finalement, ils exécutent des commandes Mimikatz pour vider et exfilter les mots de passe et les hachages NTLM de la mémoire sur la machine de la victime.”

Les attaques culminent avec l’équipe de piratage volant des mots de passe et des hachages NTLM des hôtes infectés. Une analyse plus approfondie des serveurs de commandement et de contrôle (C2) associés à l’outil de frappe COBALT a révélé que l’acteur de menace a laissé les listes de répertoires accessibles sur Internet, exposant ainsi la suite complète d’outils et de cadres adversaires hébergés sur les serveurs de cloud Alibaba.

Notable parmi les outils est répertorié ci-dessous –

  • Framework d’exploitation du navigateur (bœuf), un logiciel de pentisting accessible au public pour exécuter des commandes dans le contexte du navigateur
  • Viper C2, un cadre modulaire C2 qui facilite l’exécution de la commande à distance et la génération de charges utiles de coque inverse de mètres
  • Blue-Lotus, un cadre d’attaque JavaScript Webshell Crosshell Scripting (XSS) qui permet de créer des charges utiles de shell web de la création de JavaScript pour mener des attaques XSS, capturer des captures d’écran, obtenir un shell inversé, voler des cookies de navigateur et créer de nouveaux comptes dans le système de gestion de contenu (CMS)

“Nous évaluons avec une confiance modérée que le motif de l’attaquant s’étend au-delà de la simple récolte d’identification, sur la base de notre observation d’autres activités post-exploitation, telles que l’établissement de la persistance, une augmentation du privilège au niveau du système et un accès potentiel à des cadres adversaires, indiquant la probabilité de futures attaques”, a déclaré Raghuprasad.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57