Crédit : Dreamstime
Les chercheurs en sécurité avertissent qu’une variété croissante d’agresseurs utilisent des télécommandes légitimes outils de surveillance et de gestion (RMM) dans leurs attaques pour obtenir un accès et un contrôle à distance des systèmes.
Ces outils sont fréquemment utilisés par les fournisseurs gérés (MSP) et les bureaux d’assistance informatique, de sorte que leur existence sur le réseau d’une organisation et les systèmes pourraient ne pas éveiller les soupçons.
Les scientifiques de Cisco Talos ont rapporté cette semaine qu’un outil RMM commercial particulier appelé Syncro a été observé dans un tiers des cas d’action d’incident auxquels l’entreprise a participé au cours du 4e trimestre 2022 . Cependant, ce n’était pas le seul outil de ce type utilisé.
Indépendamment dans un avis conjoint aujourd’hui, les États-Unis L’Agence de cybersécurité et de sécurité des infrastructures (CISA), la société de sécurité nationale (NSA) et le Centre de partage et d’analyse d’informations multi-États (MS-ISAC) ont mis en garde contre l’utilisation de RMM pour ols dans une arnaque de remboursement qui ciblait les membres du personnel de plusieurs entreprises fédérales.
» Cette campagne met en évidence le danger d’une cyberactivité nuisible liée à une application logicielle RMM authentique : après avoir accédé au réseau cible par hameçonnage ou D’autres techniques, des cyberstars nuisibles – des cyber-méchants aux APT parrainés par les États– sont censées utiliser le logiciel RMM légitime comme une porte dérobée pour la persévérance et/ou le commandement et le contrôle (C2), » les entreprises ont écrit dans leur avis.
Expédition sous forme d’exécutables portables autonomes
Lors des attaques découvertes par CISA et ses partenaires, un groupe d’ennemis a envoyé des e-mails de phishing sur le thème du service d’assistance aux membres du personnel à la fois sur leurs adresses e-mail émises par le gouvernement et individuelles.
Ces e-mails les informaient généralement d’un renouvellement d’adhésion coûteux facturé sur leur compte et demandaient aux destinataires de contacter le service d’assistance aux consommateurs s’ils souhaitaient annuler et rembourser.
L’e-mail l ink a donné lieu à un site Web qui a déclenché un téléchargement exécutable. S’il est exécuté, ce fichier est lié à un 2ème domaine géré par les ennemis et télécharge des outils RMM tels que ScreenConnect (maintenant ConnectWise Control) et AnyDesk dans un format exécutable portable autonome.
Ces exécutables portables ne nécessitent pas des privilèges d’installation ou d’administration et sont préconfigurés pour se connecter à un serveur RMM exploité par les agresseurs, ce qui leur donne un accès à distance à la machine.
Dans ce projet, des opérateurs nuisibles ont conseillé aux victimes via l’application logicielle RMM de ouvrir leur compte d’épargne dans le navigateur Web, puis utiliser leur accès pour modifier le relevé bancaire afin de révéler qu’un remboursement supérieur à la normale a été effectué sur le compte de la victime.
Les victimes sont ensuite invitées à retourner le montant excédentaire à l’exploitant. C’est ce qu’on appelle une fraude au remboursement et c’est en fait assez courant depuis plusieurs années maintenant.
» Bien que cette campagne semble motivée financièrement, les organisations auteurs estiment qu’elle pourrait conduire à d’autres types d’activités destructrices « , CISA et ses partenaires composés dans le conseil. » Les stars pourraient vendre l’accès au compte de la victime à d’autres cybercriminels ou acteurs de menaces cohérentes avancées (APT). «
Des fraudeurs aux gangs de rançongiciels et au-delà
On d’autre part, l’utilisation destructrice de RMM observée par Talos a en fait été principalement associée à des attaques de ransomwares, ce qui montre que d’autres types de cybercriminels sautent sur ce schéma. En réalité, les agresseurs de ransomwares sont restés la principale cause d’engagements de réaction aux incidents pour Talos au cours du trimestre précédent.
Dans un cas, les agresseurs utilisant le ransomware Royal, qui est une retombée de l’ancien Conti, a publié AnyDesk RMM en tant que service sur l’appareil victime pour assurer la persistance. Le même affilié a également déployé des cadres d’équipe rouge tels que Cobalt Strike et Mimikatz, poursuivant la tendance à abuser des outils à double usage.
Dans un nombre croissant d’occurrences qui se terminent par le déploiement du rançongiciel Royal, les opposants utilisent d’abord un compte-gouttes de logiciels malveillants appelé BatLoader, qui libère ensuite Cobalt Strike et d’autres outils et enfin la charge utile du ransomware. BatLoader est un implant de malware relativement nouveau et les scientifiques ont découvert qu’il partageait des IOC avec l’activité précédente de Conti, consistant en le déploiement d’un agent RMM d’Atera.
Un outil RMM encore plus régulièrement abusé était Syncro, qui a également été déployé par BatLoader mais aussi d’autres adversaires, comprenant ceux qui utilisent Qakbot, un voleur de détails de longue date.
Les distributeurs de Qakbot ont également été vus abusant d’un autre RMM appelé SplashTop avec différents outils à double usage pour la cartographie de site Active Directory comme ADFind et SharpHound.
» Ce trimestre, près de 40 % des engagements comprenaient des e-mails de phishing utilisés comme méthode pour développer un accès initial, suivis de l’exécution par l’utilisateur d’un document ou d’un lien malveillant, » ont déclaré les chercheurs de Talos dans leur rapport.
» Dans de nombreux engagements, les comptes légitimes et/ou les comptes avec des mots de passe faibles ont également aidé à faciliter l’accès initial, grâce auquel l’ennemi a tiré parti des qualifications compromises. Il est essentiel de garder à l’esprit e Dans la plupart des cas, Talos IR n’a pas pu identifier correctement le vecteur initial en raison de pénuries d’exploitation forestière ou d’une absence de présence dans l’environnement touché. «
Outre les outils RMM, la procédure de bureau à distance (RDP) intégrée de Microsoft continue d’être exploitée par les attaquants pour l’accès initial en raison de la mauvaise santé des mots de passe et des contrôles de sécurité faibles.
L’absence d’authentification multifacteur (MFA) sur les réseaux d’entreprise reste l’un des points faibles les plus importants. Dans près de 30 % des cas examinés par Talos, l’authentification MFA était totalement absente ou n’était activée que pour quelques services importants. et comptes.
» Talos IR observe régulièrement des incidents de ransomware et de phishing qui auraient pu être évités si l’authentification multifacteur avait été rendue possible de manière appropriée sur des services cruciaux, tels que les options de réponse de détection des terminaux (EDR) ou les VPN, » ont déclaré les scientifiques.
» Pour aider à minimiser l’accès préliminaire aux vecteurs, Talos IR recommande de désactiver l’accès VPN pour tous les comptes qui n’utilisent pas l’authentification à deux facteurs. «
PsExec, un remplacement léger de telnet qui permet aux attaquants d’exécuter des applications sur d’autres systèmes, reste un outil populaire pour les mouvements latéraux. Talos recommande aux entreprises de désactiver PsExec sur leurs systèmes et environnements et d’utiliser Microsoft AppLocker pour bloquer l’accès à d’autres outils à double usage couramment utilisés par les attaquants.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
