Zerologon : le groupe Cicada exploite la faille dans ses attaques

Zerologon : le groupe Cicada exploite la faille dans ses attaques

Des chercheurs ont mis au jour une campagne mondiale ciblant les entreprises grâce à la vulnérabilité ZeroLogon récemment dévoilée. La campagne serait l’œuvre du groupe Cicada, également connu sous les noms APT10, Stone Panda et Cloud Hopper.

Historiquement, ce groupe malveillant – découvert pour la première fois en 2009 et que les Etats Unis associent au gouvernement chinois – a ciblé des organisations liées au Japon. Cette dernière vague d’attaques ne semble pas être différente.

Les chercheurs de Symantec ont signalé des entreprises et leurs filiales dans 17 régions, impliquées dans l’industrie automobile, pharmaceutique, l’ingénierie et les fournisseurs de services gérés (MSP), qui ont été récemment ciblées par le groupe Cicada.

publicité

Une variété d’outils et de techniques

Selon l’entreprise, la dernière vague d’attaques de Cicada est active depuis la mi-octobre 2019 et s’est poursuivie au moins jusqu’en octobre de cette année.

Cicada semble disposer de ressources importantes et utilise une variété d’outils et de techniques. Cela comprend le chargement de DLL, la reconnaissance de réseau, le vol d’identifiants, l’utilisation d’outils en ligne, de commandes capables d’installer des certificats racine de navigateur et de décoder des données, des scripts PowerShell et des archives RAR et un fournisseur d’hébergement cloud légitime pour le téléchargement, le conditionnement et l’exfiltration d’informations volées.

Il convient de noter en particulier l’ajout récent à la boîte à outils du groupe d’un outil capable d’exploiter ZeroLogon. Identifiée comme CVE-2020-1472, avec un score de 10 pour le CVSS, cette vulnérabilité divulguée et corrigée par Microsoft en août peut être utilisée pour usurper des comptes de contrôleurs de domaine et détourner des domaines, ainsi que pour compromettre les services d’identité Active Directory.

Vol d’informations et cyberespionnage

Cicada a également eu recours à Backdoor.Hartip, une forme personnalisée de logiciel malveillant jamais employée auparavant par le groupe. Il semble que le groupe se concentre sur le vol d’informations et le cyberespionnage. Les données d’intérêt – y compris les dossiers d’entreprise, les documents des ressources humaines, les notes de réunion et les notes de frais – sont empaquetées et envoyées aux serveurs de commandement et de contrôle (C2) de Cicada.

« Le temps que les attaquants ont passé sur les réseaux des victimes a varié, les attaquants passant un temps important sur les réseaux de certaines victimes, alors qu’ils ne passent que quelques jours sur d’autres », indiquent les chercheurs. « Dans certains cas, les attaquants passaient aussi un certain temps sur un réseau, puis l’activité cessait, mais reprenait quelques mois plus tard. »

La campagne a été attribuée au groupe Cicada avec une note de confiance moyenne : cette attribution s’appuie sur des indices dans la manière dont le code est obscurci, de l’utilisation de DLL et de noms de DLL incluant “FuckYouAnti”, qui a été précédemment documenté dans un rapport de Cylance sur le même groupe APT. De plus, la charge utile finale combine QuasarRAT, utilisé dans le passé par Cicada, ainsi que Backdoor.Hartip.

« Il est clair que Cicada a encore accès à beaucoup de ressources et de compétences pour lui permettre de mener une campagne sophistiquée et de grande envergure comme celle-ci, donc le groupe reste très dangereux », affirme Symantec. « Son utilisation d’un outil pour exploiter la vulnérabilité ZeroLogon et une porte dérobée personnalisée […] montrent qu’elle continue à faire évoluer ses outils et ses tactiques pour cibler activement ses victimes. »

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *