Vectra les clients doivent savoir que les événements mondiaux actuels liés à la reconnaissance par la Russie des régions séparatistes de l'Ukraine comportent le risque d'une augmentation de la cyberactivité menée par des acteurs au niveau de l'État russe. Il est notamment prouvé que le FSB, la principale organisation de renseignement en Russie, est responsable du DDoS contre les systèmes ukrainiens en février 2022[1]. [Il est à craindre que le choix des cibles ne s'étende au-delà des cibles régionales pour inclure, par exemple, des cibles politiquement ou économiquement utiles dans les pays de l'OTAN.
Cet avis a été rédigé pour informer de manière proactive les clients qui opèrent dans des industries ou des régions exposées à des risques accrus et pour mettre en évidence les moyens de protection que Vectra met à leur disposition pour gérer ces risques.
Bien que cet avis soit de nature informative, tous les clients qui pensent être victimes d'une attaque sont invités à nous contacter immédiatement - nous sommes là pour les aider.
Vectra Protection contre les APT russes
De nombreux groupes APT, quelle que soit leur origine, suivent un modèle d'attaque similaire. Par conséquent, sur la base des activités antérieures d'acteurs de niveau étatique, y compris d'acteurs de niveau étatique russe, les clients de Vectra peuvent s'attendre aux types généraux d'activités suivants s'ils sont ciblés :
- Compromettre l'objectif
- Reconnaissance du réseau
- S'implanter / persévérer
- Exfiltrer des données
À cette fin, outre les renseignements sur les menaces applicables, Vectra devrait informer les utilisateurs des détections suivantes :
Compromettre l'objectif
- Tunnel HTTP(S) caché
- Tunnel DNS caché
- Accès à distance externe - Ces détections sont liées à des activités connues de cybercriminels avancées utilisant des implants connus tels que Cobalt Strike, ainsi que des implants personnalisés.
Reconnaissance du réseau
- RPC recon / RPC Targeted Recon
- Balayage des ports
- Analyse interne du Darknet - De telles détections, associées à la catégorie précédente, indiquent qu'un hôte surveille le réseau. La reconnaissance RPC et la reconnaissance ciblée indiquent qu'un acteur de la menace pourrait cartographier des cibles de grande valeur à l'aide d'un outil tel que Bloodhound.
S'implanter / persévérer
- Exécution à distance suspecte (Schtask / WMI / appels RPC)
- Anomalie de privilège - Lorsqu'un attaquant tente d'utiliser des comptes volés au cours de la phase initiale de l'attaque, il essaiera probablement d'utiliser des services que le compte n'a jamais utilisés auparavant. Cela déclenchera la détection d'une anomalie de privilège montrant que le compte, l'hôte ou le service ne correspond pas au comportement habituel. Les attaquants utiliseront également les méthodes et canaux de communication existants pour propager l'implant à d'autres hôtes. Il peut ne pas s'agir du même implant initial, certains cybercriminels étant connus pour déposer des WebShells sur des hôtes afin d'y accéder des années plus tard.
Exfiltrer des données
- Contrebandier de données
- Tunnel DNS caché - Cette dernière étape est généralement très difficile à repérer. Le site russe de haut niveau cybercriminels , tel que Turla, s'installe à la périphérie d'un réseau et vole presque passivement des données. C'est également le cas pour les activités de threadjacking de courriels, où un attaquant s'insère dans une chaîne de courriels pour amener les cibles à cliquer sur des liens, à ouvrir des documents ou à participer à une activité malveillante d'une manière ou d'une autre.
Environnements Microsoft365 et cloud
Les attaques précédentes des acteurs étatiques russes ont utilisé l'environnement en ligne de la cible. Cela peut prendre la forme de prises de contrôle de comptes par force brute, de pulvérisation de mots de passe (en utilisant des VPN pour s'assurer que les protections par défaut ne les bloquent pas), de contournement du MFA ou de phishing, pour obtenir un accès initial, et une fois qu'un point d'ancrage est établi, il existe de nombreuses voies qu'un attaquant peut emprunter pour voler des informations et maintenir un point d'ancrage.
En mai 2021, des acteurs étatiques russes connus sous le nom de Nobelium ont compromis les environnements cloud de Microsoft afin de compromettre les chaînes d'approvisionnement. Ces attaques ont suivi des schémas qui ont également été observés dans d'autres compromissions par des acteurs étatiques dans des environnements cloud , et qui suivent des schémas similaires aux suivants :
- Abus de rôles privilégiés
- Abus des applications existantes
- Gagner en persévérance
- Exfiltrer des données
À cette fin, Vectra s'attend à ce que les utilisateurs soient informés des détections suivantes :
Abus de rôles privilégiés
- Tentative de force de Azure AD
- Azure AD Suspicious Sign On
- Azure AD MFA-Failed Suspicious Sign On (Échec de l'ouverture de session suspecte)
- O365 Suspicious Sign-On Activity - Cette étape de l'attaque peut parfois être la plus bruyante, mais avec une main-d'œuvre distante, la détection de cette activité devient quelque chose qu'une simple recherche dans les journaux ne suffit pas à faire. Detect for Cloud produira des détections telles que celles énumérées ci-dessus pour aider les analystes à trouver l'activité.
Abus des applications existantes
- Modification de la configuration de l'IP de confiance dans Azure AD
- Opération suspecte Azure AD
- O365 Suspicious Teams Application - Les applications et les services principaux qui possèdent des droits d'accès importants sont modifiés avec des secrets supplémentaires, créant essentiellement une "porte dérobée" que les attaquants utilisent pour effectuer des actions privilégiées au nom de ces applications.
Gagner en persévérance
- Compte d'administrateur Azure AD nouvellement créé
- Création d'un accès redondant à Azure AD
- Opération suspecte Azure AD
- Azure AD Moteur de script inhabituelUsage
- Spearphishing interne O365
- O365 Suspicious Exchange TransportRule (règle de transport d'échange suspecte)
- Redirection du courrier suspect O365
- O365 Suspicious MailboxManipulation - Il existe de nombreuses façons d'obtenir la persistance dans un environnement cloud . De nombreuses détections dans Detect for Cloud sont conçues pour trouver des activités, allant de la création de comptes dans Azure AD à l'installation de règles de transport, qui peuvent rediriger le courrier électronique ou, dans des attaques antérieures, ont été utilisées comme implant de commande et de contrôle[1].
Exfiltrer des données
- Opération d'échange risquée avec O365
- Activité de téléchargement suspecte O365
- Redirection du courrier suspect O365
- Manipulation suspecte d'une boîte aux lettres O365
- O365 Suspicious Sharing Activity - Au cours de cette étape, outre l'ouverture des droits de partage vers des destinations non locales, les autorisations de la boîte aux lettres de la cible sont modifiées pour donner à un autre utilisateur (contrôlé par l'attaquant) un accès en lecture aux courriels de la cible, suivi d'une exfiltration périodique des courriels.
cloud Cette liste n'est pas exhaustive, car les attaquants utilisent un large éventail de tactiques dans l'environnement riche en cibles du site cloud. Les prochains blogs de Vectra Security Research décriront d'autres comportements attendus. Les informations ci-dessus proviennent d'observations d'acteurs de l'État russe lors d'une compromission active.
Ce que nous dit l'histoire
Le site russe cybercriminels opère à tous les niveaux de complexité et de stratégie contre les organisations. Par exemple, non seulement les attaques DDoS constituent une menace de la part de groupes tels que le FSB et d'autres, mais des groupes tels que Turla (Snake, Venomous Bear, Uroburous) opèrent en marge d'un réseau, avec des techniques nouvelles et très avancées et malware.
Parmi les exemples concrets des activités récentes des acteurs étatiques russes, on peut citer les attaques SolarFlare / SUNBURST de 2020, au cours desquelles les opérateurs étatiques russes Nobelium (Cozy Bear, APT29) ont compromis l'infrastructure et les mécanismes de déploiement de code de SolarWinds. En outre, ce groupe a compromis l'infrastructure o365 avec des approches furtives très basses pour compromettre de grandes quantités de données clients avec des identifiants o365 volés pour se déplacer latéralement et rester caché tout en volant des données, en effectuant une reconnaissance et en préparant les prochaines étapes de l'attaque.
Cependant, la Russie ne sera pas la seule à être impliquée dans les cyberattaques mondiales. Par exemple, après l'annexion de la Crimée en 2014, de nombreux sites cybercriminels ont utilisé l'événement comme prétexte pour inclure des leurres dans des documents et des courriels malveillants afin de compromettre des organisations à des fins qui n'ont rien à voir avec les objectifs de l'État russe.
Le bilan
Vectra protège contre tous les niveaux de menace, depuis les attaques de réseau et le trafic Command and Control jusqu'aux prises de contrôle de comptes et aux activités malveillantes de Microsoft Office 365. Les clients des services gérés de détection et de réponse de Vectra (Sidekick) sont en outre protégés par Spot Priority, qui permet aux analystes de Vectra d'être immédiatement informés des hôtes présentant une activité liée à l'APT russe cybercriminels.
En outre, Vectra intègre une fonction de renseignement sur les menaces, ce qui signifie que pour tout hôte ayant fait l'objet d'une détection, s'il y a un comportement de l'infrastructure de l'attaquant, une détection décrivant l'activité sera ajoutée au conteneur de l'hôte.
Bien qu'il soit intéressant de comprendre les spécificités de chaque groupe de cybercriminels, ces derniers partagent de nombreuses similiaritudes. L'intelligence de Vectra AI identifie rapidement les comportements suspects afin d'expulser les cybercriminels avant qu'ils ne causent des dommages.
--
[1] https://www.gov.uk/government/news/uk-assess-russian-involvement-in-cyber-attacks-on-ukraine
[2] https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf
[3] https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf - la source n'est plus disponible
[5] https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/