La société de cybersécurité Palo Alto Networks a mis en garde ce week-end contre une campagne de piratage en cours qui a déjà entraîné la compromission d’au moins neuf organisations dans le monde dans des secteurs critiques, notamment la défense, la santé, l’énergie, la technologie et l’éducation.
Pour percer les réseaux des organisations, les acteurs de la menace derrière cette campagne de cyberespionnage ont exploité une vulnérabilité critique (CVE-2021-40539) dans la solution de gestion des mots de passe d’entreprise de Zoho connue sous le nom de ManageEngine ADSelfService Plus, qui permet d’exécuter du code à distance sur des systèmes non corrigés sans authentification.
Les attaques observées par les chercheurs de Palo Alto Networks ont commencé le 17 septembre avec des analyses de serveurs vulnérables, neuf jours après que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti qu’elle avait détecté des exploits utilisés dans la nature et un jour après un un avis conjoint a été publié par la CISA, le FBI et le United States Coast Guard Cyber Command (CGCYBER).
Les tentatives d’exploitation ont commencé le 22 septembre après cinq jours de récolte d’informations sur des cibles potentielles qui n’avaient pas encore patché leurs systèmes.
« Bien que nous manquions d’informations sur la totalité des organisations qui ont été exploitées au cours de cette campagne, nous pensons qu’au moins neuf entités dans les secteurs de la technologie, de la défense, de la santé, de l’énergie et de l’éducation ont été compromises » les chercheurs ont dit.
« Grâce à la télémétrie mondiale, nous pensons que l’acteur a ciblé au moins 370 serveurs Zoho ManageEngine rien qu’aux États-Unis. Compte tenu de l’ampleur, nous estimons que ces analyses étaient en grande partie de nature aveugle, les cibles allant de l’éducation aux entités du ministère de la Défense. «
À la suite de l’avis conjoint, les chercheurs ont observé une autre série d’attaques non liées qui n’ont pas réussi à compromettre leurs cibles, faisant allusion à d’autres groupes de piratage soutenus par l’État ou à motivation financière susceptibles de se joindre pour exploiter des entreprises utilisant des serveurs Zoho.
Cibles sur les identifiants, la persistance
Après avoir réussi à prendre pied sur les systèmes de leurs victimes à l’aide des exploits CVE-2021-40539, les acteurs de la menace ont d’abord déployé un compte-gouttes de logiciels malveillants qui a livré des shells Web Godzilla sur des serveurs compromis pour obtenir et maintenir l’accès aux réseaux des victimes, ainsi qu’aux logiciels malveillants, y compris une porte dérobée open source connue sous le nom de NGLite.
Ils ont également utilisé KdcSponge, un malware connu sous le nom de voleur d’informations d’identification, qui se connecte aux fonctions de l’API Windows LSASS pour capturer les informations d’identification (c’est-à-dire les noms de domaine, les noms d’utilisateur et les mots de passe) qui sont ensuite envoyées aux serveurs contrôlés par les attaquants.
« Après avoir eu accès au serveur initial, les acteurs ont concentré leurs efforts sur la collecte et l’exfiltration d’informations sensibles des contrôleurs de domaine locaux, tels que le fichier de base de données Active Directory (ntds.dit) et la ruche SYSTEM du registre », ont découvert les chercheurs.
« En fin de compte, l’acteur était intéressé par le vol d’informations d’identification, le maintien de l’accès et la collecte de fichiers sensibles sur les réseaux des victimes pour exfiltration. »
Attaques liées aux pirates de l’État chinois APT27
Même si les chercheurs s’efforcent d’attribuer ces attaques à un groupe de piratage spécifique, ils soupçonnent qu’il s’agit du travail d’un groupe de menaces parrainé par la Chine connu sous le nom de APT27 (également suivi comme TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger et LuckyMouse).
L’attribution partielle est basée sur des outils et des tactiques malveillants utilisés dans cette campagne qui correspondent à l’activité précédente d’APT27 en tant que groupe de piratage actif depuis au moins 2010 et ciblant le même éventail de secteurs industriels (par exemple, la défense, la technologie, l’énergie, l’aérospatiale, le gouvernement et fabrication) dans des campagnes de cyberespionnage.
Le rapport de Palo Alto Networks comprend également une analyse des partenaires du gouvernement américain, y compris le Cybersecurity Collaboration Center de la NSA, un composant conçu pour prévenir et bloquer les cybermenaces étrangères contre les systèmes de sécurité nationale (NSS), le ministère de la Défense et la base industrielle de défense (DIB) avec l’aide de partenaires de l’industrie privée.
Début mars, APT27 était également lié à des attaques exploitant des bugs critiques (appelés ProxyLogon) pour réaliser l’exécution de code à distance sans authentification sur des serveurs Microsoft Exchange sur site non corrigés dans le monde entier.
Les États-Unis et leurs alliés, dont l’Union européenne, le Royaume-Uni et l’OTAN, ont officiellement blâmé la Chine en juin pour la vaste campagne de piratage Microsoft Exchange de cette année.