Des acteurs de menaces inconnus ont été observés en train d’exploiter des outils open source dans le cadre d’une campagne présumée de cyberespionnage ciblant des organisations gouvernementales et du secteur privé à l’échelle mondiale.
Le groupe Insikt de Recorded Future suit l’activité sous le nom temporaire TAG-100, notant que l’adversaire a probablement compromis des organisations dans au moins dix pays d’Afrique, d’Asie, d’Amérique du Nord, d’Amérique du Sud et d’Océanie, y compris deux organisations intergouvernementales d’Asie-Pacifique non nommées.
Sont également pointées du doigt depuis février 2024 des entités diplomatiques, gouvernementales, de chaîne d’approvisionnement en semi-conducteurs, à but non lucratif et religieuses situées au Cambodge, à Djibouti, en République dominicaine, aux Fidji, en Indonésie, aux Pays-Bas, à Taïwan, au Royaume-Uni, aux États-Unis et au Vietnam.
« TAG-100 utilise des capacités d’accès à distance open source et exploite divers appareils connectés à Internet pour obtenir un accès initial », a déclaré la société de cybersécurité dit. « Le groupe a utilisé des portes dérobées Go open source Pantegana et Spark RAT post-exploitation. »
Les chaînes d’attaque impliquent l’exploitation de failles de sécurité connues affectant divers produits connectés à Internet, notamment Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances (ASA), Palo Alto Networks GlobalProtect et Fortinet FortiGate.
Le groupe a également été observé en train de mener une vaste opération de reconnaissance visant des appareils connectés à Internet appartenant à des organisations dans au moins quinze pays, dont Cuba, la France, l’Italie, le Japon et la Malaisie. Il comprenait également plusieurs ambassades cubaines situées en Bolivie, en France et aux États-Unis.
« À partir du 16 avril 2024, TAG-100 a mené une activité probable de reconnaissance et d’exploitation ciblant les appareils Palo Alto Networks GlobalProtect d’organisations, principalement basées aux États-Unis, dans les secteurs de l’éducation, de la finance, du droit, des collectivités locales et des services publics », a déclaré la société.
Cet effort aurait coïncidé avec la publication publique d’un exploit de preuve de concept (PoC) pour CVE-2024-3400 (score CVSS : 10,0), une vulnérabilité critique d’exécution de code à distance affectant les pare-feu Palo Alto Networks GlobalProtect.
L’accès initial réussi est suivi du déploiement de Pantegana, Spark RAT et Cobalt Strike Beacon sur les hôtes compromis.
Les résultats montrent comment les exploits PoC peuvent être combinés avec des programmes open source pour orchestrer des attaques, réduisant ainsi efficacement la barrière à l’entrée pour les acteurs de menaces moins sophistiqués. De plus, ce type de savoir-faire permet aux adversaires de compliquer les efforts d’attribution et d’échapper à la détection.
« Le ciblage généralisé des appareils connectés à Internet est particulièrement attrayant car il offre un point d’ancrage au sein du réseau ciblé via des produits qui ont souvent une visibilité limitée, des capacités de journalisation et une prise en charge des solutions de sécurité traditionnelles, réduisant ainsi le risque de détection après exploitation », a déclaré Recorded Future.