Pour gérer vos consentements :
Categories: Cybersécurité

Ukraine : la menace cyber devient vraiment protéiforme

Face aux tensions internationales actuelles, que surveiller sur le front cyber ? L’ANSSI avait publié un rapport à ce sujet début mars. Elle y avait intégré des IoC relatifs à quatre menaces :

– Le mode opératoire Nobelium, déjà impliqué notamment dans l’attaque dite SolarWinds
– Cyclops Blink, un outil d’exfiltration de données sur des équipements réseau
– IsaacWiper et HermeticWiper, deux malwares destructeurs de données

Cette liste n’a pas changé depuis lors. Mais d’autres éléments ont évolué. Une première mise à jour du rapport était intervenue le 7 mars. Pour préciser trois points :

– Risque de rebond
– Hameçonnage opportuniste
– Nécessité de précaution vis-à-vis des indicateurs de compromission communiqués

L’ANSSI a à nouveau actualisé le document ce 15 mars. Elle y a ajouté deux éléments :

– Un paragraphe « Vulnérabilités »
Objet : inviter à installer « le plus tôt possible » les correctifs des éditeurs. À l’appui, une liste des dix vulnérabilités les plus marquantes parmi celles que l’ANSSI a traitées en 2021.

– Un lien vers un guide ; sujet : comment réagir en cas d’incident

Cobalt Strike et un wiper de plus

Doit-on s’attendre à voir arriver davantage d’IoC dans le rapport ? Possiblement, sachant qu’un wiper supplémentaire ciblant l’Ukraine vient d’être découvert. ESET, qui l’a baptisé CaddyWiper, affirme l’avoir détecté sur « quelques dizaines de systèmes ». Propagé par l’intermédiaire d’une GPO, il s’en prend aux disques locaux, mais n’attaque pas les contrôleurs de domaines. Pas de similitude relevée avec HermeticWiper et IsaacWiper.

Du côté du CERT ukrainien, on a émis une alerte d’une autre nature. Elle concerne la diffusion de deux backdoors (GraphSteel et GrimPlant). Le vecteur : un implant Cobalt Strike, lui-même distribué sous la forme d’une apparente mise à jour de Bitdefender pour Windows. L’attaque est attribuée, avec un niveau de confiance limité, à un groupe russe déjà impliqué dans des offensives cyber contre la Géorgie.

En parallèle, FBI et CISA attirent l’attention sur une attaque contre une ONG. Dans l’absolu, pas toute nouvelle : elle remonterait au moins à mai 2021. Ils l’attribuent à la Russie.

Au départ, il y a une connexion indésirable à un VPN, suivie d’accès à un contrôleur de domaine par RDP… et du vol d’identifiants. La suite : le contournement de Cisco Duo. En deux temps :

– D’abord en réenregistrant un appareil pour un compte désactivé sur cette solution MFA, mais resté présent dans l’Active Directory. Les paramètres par défaut le permettaient – et ce n’est pas spécifique à Duo.

– Ensuite, en exploitant la faille PrintNightmare afin d’obtenir les privilèges nécessaires pour rediriger les appels Duo vers l’hôte local et non le serveur. Ce qui désactivait le MFA pour l’ensemble des comptes actifs du domaine (fail open par défaut).

Photo d’illustration © datacorpltdviaVisualhunt.com / CC BY-NC

Recent Posts

Charles Souillard, nouveau CEO de Bonitasoft

Charles Souillard succède à Miguel Valdés Faura comme CEO de Bonitasoft. Cofondateur, il était jusqu'à…

2 heures ago

Stéphane Lapierre, nouveau DSI dédié à la relation client de AG2R La Mondiale

Stéphane Lapierre rejoint le spécialiste de l'assurance en qualité de Directeur des systèmes d’information relation…

5 heures ago

Cloudflare : 1,25 Md$ pour financer des start-up en phase d’amorçage

Le fournisseur de services d’optimisation réseau fait équipe avec des capital-risqueurs. De jeunes pousses utilisatrices…

6 heures ago

Green IT : un « référentiel carbone » pour la dématérialisation

Un référentiel ouvert pour mesurer l'empreinte carbone de la chaîne de dématérialisation à travers 21…

7 heures ago

SAP Universal ID : la « phase deux » touche à sa fin

SAP entend boucler d'ici à fin 2022 la deuxième phase de son programme Universal ID.…

9 heures ago

SSO et passwordless à l’expérimentation sur Azure Virtual Desktop

Microsoft expérimente, sur son VDI, l'authentification unique (SSO) et sans mot de passe, avec fédération…

11 heures ago