Les agences américaines de cybersécurité et de renseignement ont révélé mardi que plusieurs groupes de piratage d’États-nations ciblaient potentiellement le réseau d’entreprise d’une « base industrielle de défense (DIB) » dans le cadre d’une campagne de cyberespionnage.
« [Advanced persistent threat] les acteurs ont utilisé une boîte à outils open source appelée Impaquet pour prendre pied dans l’environnement et compromettre davantage le réseau, et ont également utilisé un outil d’exfiltration de données personnalisé, CovalentStealer, pour voler les données sensibles de la victime », ont déclaré les autorités a dit.
La conseil conjointqui a été rédigé par la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA), a déclaré que les adversaires avaient probablement un accès à long terme à l’environnement compromis.
Les résultats sont le résultat des efforts de réponse aux incidents de CISA en collaboration avec une société de sécurité tierce de confiance de novembre 2021 à janvier 2022. Il n’a pas attribué l’intrusion à un acteur ou à un groupe de menace connu.
Le vecteur d’infection initial utilisé pour violer le réseau est également inconnu, bien que certains des acteurs APT auraient obtenu une tête de pont numérique vers le serveur Microsoft Exchange de la cible dès la mi-janvier 2021.
Les activités ultérieures de post-exploitation en février ont entraîné une combinaison d’efforts de reconnaissance et de collecte de données, cette dernière ayant entraîné l’exfiltration d’informations sensibles liées au contrat. L’outil Impacket a également été déployé au cours de cette phase pour établir la persistance et faciliter les mouvements latéraux.
Un mois plus tard, les acteurs d’APT ont exploité les failles de ProxyLogon dans Microsoft Exchange Server pour installer 17 shells Web China Chopper et HyperFrèreune porte dérobée exclusivement utilisée par un groupe de menaces chinois appelé Lucky Mouse (alias APT27, Bronze Union, Budworm ou Emissary Panda).
Les intrus, de fin juillet à mi-octobre 2021, ont en outre utilisé une souche de malware sur mesure appelée CovalentStealer contre l’entité sans nom pour siphonner les documents stockés sur les partages de fichiers et les télécharger dans un dossier cloud Microsoft OneDrive.
Il est recommandé aux organisations de surveiller les journaux pour les connexions provenant de VPN inhabituels, l’utilisation de comptes suspects, l’utilisation de ligne de commande malveillante anormale et connue et les modifications non autorisées des comptes d’utilisateurs.