Des entités gouvernementales au Moyen-Orient et en Afrique ont été la cible d’attaques de cyberespionnage soutenues qui exploitent des techniques inédites et rares de vol d’informations d’identification et d’exfiltration d’e-mails Exchange.
« L’objectif principal des attaques était d’obtenir des informations hautement confidentielles et sensibles, spécifiquement liées aux politiciens, aux activités militaires et aux ministères des affaires étrangères », Lior Rochberger, chercheur principal sur les menaces chez Palo Alto Networks, a dit dans une plongée technique approfondie publiée la semaine dernière.
L’équipe Cortex Threat Research de la société est suivi l’activité sous le nom temporaire CL-STA-0043 (où CL signifie cluster et STA signifie motivation soutenue par l’État), le décrivant comme une « véritable menace persistante avancée ».
La chaîne d’infection est déclenchée par l’exploitation de services d’information Internet sur site vulnérables (IIS) et Microsoft Exchange sert à infiltrer les réseaux cibles.
Palo Alto Networks a déclaré avoir détecté des tentatives infructueuses d’exécution du shell Web China Chopper dans l’une des attaques, incitant l’adversaire à changer de tactique et à tirer parti d’un implant Visual Basic Script en mémoire à partir du serveur Exchange.
Une effraction réussie est suivie d’une activité de reconnaissance pour cartographier le réseau et identifier les serveurs critiques qui contiennent des données de valeur, notamment les contrôleurs de domaine, les serveurs Web, les serveurs Exchange, les serveurs FTP et les bases de données SQL.
CL-STA-0043 a également été observé en utilisant des outils Windows natifs pour l’élévation des privilèges, lui permettant ainsi de créer des comptes d’administrateur et d’exécuter d’autres programmes avec des privilèges élevés.
Une autre méthode d’escalade des privilèges implique l’abus des fonctionnalités d’accessibilité de Windows, c’est-à-dire le « touches collantes » utilitaire (sethc.exe) – qui permet de contourner les exigences de connexion et de détourner les systèmes.
« Lors de l’attaque, l’attaquant remplace généralement le binaire sethc.exe ou les pointeurs/références vers ces binaires dans le registre par cmd.exe », a expliqué Rochberger. « Lorsqu’il est exécuté, il fournit un shell d’invite de commande élevé à l’attaquant pour exécuter des commandes arbitraires et d’autres outils. »
Une approche similaire utilisant le gestionnaire d’utilitaires (utilman.exe) pour établir un accès de porte dérobée persistant à l’environnement d’une victime a été documentée par CrowdStrike au début du mois d’avril.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Outre l’utilisation de Mimikatz pour le vol d’informations d’identification, le modus operandi de l’acteur de la menace se distingue par l’utilisation d’autres méthodes novatrices pour voler des mots de passe, effectuer des mouvements latéraux et exfiltrer des données sensibles, telles que –
Il convient de souligner que l’utilisation de composants logiciels enfichables Exchange PowerShell pour exporter des données de boîte aux lettres a déjà été signalée dans le cas d’un groupe parrainé par l’État chinois appelé Silk Typhoon (anciennement Hafnium), qui a été révélé pour la première fois en mars 2021 en relation avec l’exploitation de Microsoft Exchange Server.
« Le niveau de sophistication, d’adaptabilité et de victimologie de ce groupe d’activités suggère un acteur de menace APT hautement capable, et il est soupçonné d’être un acteur de menace d’État-nation », a déclaré Rochberger.