Une r\u00e9cente attaque de ran\u00e7ongiciel Hive men\u00e9e par une filiale impliquait l’exploitation des vuln\u00e9rabilit\u00e9s “ProxyShell” dans Microsoft Exchange Server qui ont \u00e9t\u00e9 divulgu\u00e9es l’ann\u00e9e derni\u00e8re pour chiffrer le r\u00e9seau d’un client anonyme.<\/p>\n
“L’acteur a r\u00e9ussi \u00e0 atteindre ses objectifs malveillants et \u00e0 chiffrer l’environnement en moins de 72 heures \u00e0 compter de la compromission initiale”, a d\u00e9clar\u00e9 Nadav Ovadia, chercheur en s\u00e9curit\u00e9 chez Varonis. mentionn\u00e9<\/a> dans une analyse post-mortem de l’incident. <\/p>\n Hive, qui a \u00e9t\u00e9 observ\u00e9 pour la premi\u00e8re fois en juin 2021, suit le programme lucratif de ran\u00e7ongiciel en tant que service (RaaS) adopt\u00e9 par d’autres groupes cybercriminels ces derni\u00e8res ann\u00e9es, permettant aux affili\u00e9s de d\u00e9ployer le logiciel malveillant de cryptage de fichiers apr\u00e8s avoir pris pied chez leurs victimes. r\u00e9seaux.<\/p>\n ProxyShell – suivi en tant que CVE-2021-31207, CVE-2021-34523 et CVE-2021-34473 – implique une combinaison de contournement des fonctionnalit\u00e9s de s\u00e9curit\u00e9, d’\u00e9l\u00e9vation des privil\u00e8ges et d’ex\u00e9cution de code \u00e0 distance dans le serveur Microsoft Exchange, donnant ainsi \u00e0 l’attaquant la capacit\u00e9 pour ex\u00e9cuter du code arbitraire sur les serveurs concern\u00e9s.<\/p>\n Les probl\u00e8mes ont \u00e9t\u00e9 r\u00e9solus par Microsoft dans le cadre de ses mises \u00e0 jour Patch Tuesday pour avril et mai 2021.<\/p>\n Dans ce cas, l’exploitation r\u00e9ussie des failles a permis \u00e0 l’adversaire de d\u00e9ployer des shells Web sur le serveur compromis, en les utilisant pour ex\u00e9cuter du code PowerShell malveillant avec les privil\u00e8ges SYSTEM pour cr\u00e9er un nouvel utilisateur administrateur de porte d\u00e9rob\u00e9e, d\u00e9tourner le compte administrateur du domaine et effectuer un mouvement lat\u00e9ral.<\/p>\n Les shells Web utilis\u00e9s dans l’attaque proviendraient d’un r\u00e9f\u00e9rentiel git public<\/a> et donn\u00e9 des noms de fichiers contenant un m\u00e9lange al\u00e9atoire de caract\u00e8res pour \u00e9chapper \u00e0 la d\u00e9tection, a d\u00e9clar\u00e9 Ovadia. Un autre script PowerShell obscurci faisant partie du framework Cobalt Strike a \u00e9galement \u00e9t\u00e9 ex\u00e9cut\u00e9.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage.png\")
<\/a><\/div>\n![\"Ruche](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650575468_555_Un-nouveau-rapport-dincident-revele-comment-Hive-Ransomware-cible-les.jpg\" "\\"Ruche")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n