{"id":468288,"date":"2022-11-17T18:12:26","date_gmt":"2022-11-17T20:12:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-iraniens-ont-compromis-le-reseau-dune-agence-federale-americaine-a-laide-de-lexploit-log4shell\/"},"modified":"2022-11-17T18:12:28","modified_gmt":"2022-11-17T20:12:28","slug":"des-pirates-informatiques-iraniens-ont-compromis-le-reseau-dune-agence-federale-americaine-a-laide-de-lexploit-log4shell","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-iraniens-ont-compromis-le-reseau-dune-agence-federale-americaine-a-laide-de-lexploit-log4shell\/","title":{"rendered":"Des pirates informatiques iraniens ont compromis le r\u00e9seau d&#8217;une agence f\u00e9d\u00e9rale am\u00e9ricaine \u00e0 l&#8217;aide de l&#8217;exploit Log4Shell"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des acteurs de la menace parrain\u00e9s par le gouvernement iranien ont \u00e9t\u00e9 accus\u00e9s d&#8217;avoir compromis une agence f\u00e9d\u00e9rale am\u00e9ricaine en profitant de la vuln\u00e9rabilit\u00e9 Log4Shell dans un serveur VMware Horizon non corrig\u00e9.<\/p>\n<p>Les d\u00e9tails, qui ont \u00e9t\u00e9 partag\u00e9s par la US Cybersecurity and Infrastructure Security Agency (CISA), viennent en r\u00e9ponse aux efforts de r\u00e9ponse aux incidents entrepris par l&#8217;autorit\u00e9 de la mi-juin \u00e0 la mi-juillet 2022.<\/p>\n<p>&#8220;Les acteurs de la cyber-menace ont exploit\u00e9 la vuln\u00e9rabilit\u00e9 Log4Shell dans un serveur VMware Horizon non corrig\u00e9, install\u00e9 le logiciel de crypto-minage XMRig, d\u00e9plac\u00e9 lat\u00e9ralement vers le contr\u00f4leur de domaine (DC), compromis les informations d&#8217;identification, puis implant\u00e9 des proxys inverses Ngrok sur plusieurs h\u00f4tes pour maintenir la persistance&#8221;, CISA <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-320a\" target=\"_blank\">c&#8217;est not\u00e9<\/a>.<\/p>\n<p>LogShell, alias CVE-2021-44228, est une faille critique d&#8217;ex\u00e9cution de code \u00e0 distance dans la biblioth\u00e8que de journalisation Java Apache Log4j largement utilis\u00e9e.  Il a \u00e9t\u00e9 abord\u00e9 par les mainteneurs du projet open source en d\u00e9cembre 2021.<\/p>\n<p>Le dernier d\u00e9veloppement marque l&#8217;abus continu des vuln\u00e9rabilit\u00e9s Log4j dans les serveurs VMware Horizon par des groupes parrain\u00e9s par l&#8217;\u00c9tat iranien depuis le d\u00e9but de l&#8217;ann\u00e9e.  La CISA n&#8217;a pas attribu\u00e9 l&#8217;\u00e9v\u00e9nement \u00e0 un groupe de piratage particulier.<\/p>\n<p>Cependant, un avis conjoint publi\u00e9 par l&#8217;Australie, le Canada, le Royaume-Uni et les \u00c9tats-Unis en septembre 2022 a point\u00e9 du doigt le Corps des gardiens de la r\u00e9volution islamique (CGRI) iranien pour avoir tir\u00e9 parti de cette lacune pour mener des activit\u00e9s post-exploitation.<\/p>\n<p>L&#8217;organisation affect\u00e9e, selon la CISA, aurait \u00e9t\u00e9 viol\u00e9e d\u00e8s f\u00e9vrier 2022 en militarisant la vuln\u00e9rabilit\u00e9 pour ajouter une nouvelle r\u00e8gle d&#8217;exclusion \u00e0 Windows Defender qui a inscrit l&#8217;int\u00e9gralit\u00e9 du lecteur C: sur la liste d&#8217;autorisation.<\/p>\n<p>Cela a permis \u00e0 l&#8217;adversaire de t\u00e9l\u00e9charger un script PowerShell sans d\u00e9clencher d&#8217;analyse antivirus, qui, \u00e0 son tour, a r\u00e9cup\u00e9r\u00e9 le <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/analysis-reports\/ar22-320a\" target=\"_blank\">XMRig<\/a> logiciel de minage de crypto-monnaie h\u00e9berg\u00e9 sur un serveur distant sous la forme d&#8217;un fichier d&#8217;archive ZIP.<\/p>\n<p>L&#8217;acc\u00e8s initial a en outre permis aux acteurs d&#8217;aller chercher plus de charges utiles telles que <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0029\/\" target=\"_blank\">PsExec<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0002\/\" target=\"_blank\">Mimikatz<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/software\/S0508\/\" target=\"_blank\">Ngrok<\/a>en plus d&#8217;utiliser <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/001\/\" target=\"_blank\">RDP<\/a> pour le mouvement lat\u00e9ral et la d\u00e9sactivation de Windows Defender sur les terminaux.<\/p>\n<p>&#8220;Les acteurs de la menace ont \u00e9galement chang\u00e9 le mot de passe du compte d&#8217;administrateur local sur plusieurs h\u00f4tes en guise de sauvegarde si le compte d&#8217;administrateur de domaine non autoris\u00e9 \u00e9tait d\u00e9tect\u00e9 et r\u00e9sili\u00e9&#8221;, a not\u00e9 la CISA.<\/p>\n<p>Une tentative infructueuse de vidage du processus LSASS (Local Security Authority Subsystem Service) \u00e0 l&#8217;aide du Gestionnaire des t\u00e2ches de Windows a \u00e9galement \u00e9t\u00e9 d\u00e9tect\u00e9e, ce qui a \u00e9t\u00e9 bloqu\u00e9 par la solution antivirus d\u00e9ploy\u00e9e dans l&#8217;environnement informatique.<\/p>\n<p>Microsoft, dans un rapport du mois dernier, a r\u00e9v\u00e9l\u00e9 que les cybercriminels ciblent les informations d&#8217;identification dans le processus LSASS en raison du fait qu&#8217;il &#8220;peut stocker non seulement les informations d&#8217;identification du syst\u00e8me d&#8217;exploitation d&#8217;un utilisateur actuel, mais \u00e9galement celles d&#8217;un administrateur de domaine&#8221;.<\/p>\n<p>&#8220;Le vidage des informations d&#8217;identification LSASS est important pour les attaquants car s&#8217;ils r\u00e9ussissent \u00e0 vider les mots de passe du domaine, ils peuvent, par exemple, utiliser des outils l\u00e9gitimes tels que PsExec ou Windows Management Instrumentation (WMI) pour se d\u00e9placer lat\u00e9ralement sur le r\u00e9seau&#8221;, a d\u00e9clar\u00e9 le g\u00e9ant de la technologie. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2022\/10\/05\/detecting-and-preventing-lsass-credential-dumping-attacks\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/iranian-hackers-compromised-us-federal.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des acteurs de la menace parrain\u00e9s par le gouvernement iranien ont \u00e9t\u00e9 accus\u00e9s d&#8217;avoir compromis une agence f\u00e9d\u00e9rale am\u00e9ricaine en profitant de la vuln\u00e9rabilit\u00e9 Log4Shell dans un serveur VMware Horizon non corrig\u00e9. Les d\u00e9tails, qui ont \u00e9t\u00e9 partag\u00e9s par la US Cybersecurity and Infrastructure Security Agency (CISA), viennent en r\u00e9ponse aux efforts de r\u00e9ponse aux [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":468289,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[955,1653,4168,20350,4158,4165,4161,133,1326,2458,8154,10783,4157,4159,4171,4170,1151,20548,41108,4167,4160,4163,4162,249,4394,4810,4172,4169,4166,4164],"class_list":["post-468288","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-agence","tag-americaine","tag-comment-pirater","tag-compromis","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-dune","tag-federale","tag-informatiques","tag-iraniens","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-laide","tag-lexploit","tag-log4shell","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-pirates","tag-reseau","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/468288","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=468288"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/468288\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/468289"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=468288"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=468288"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=468288"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}