Vectra AI à la conférence RSA 2024
Réservez une démonstration de 15 minutes

Cyberattaques russes : Ce que nous savons à ce jour

9 mars 2022
Luke Richards
Threat Intelligence Lead
Cyberattaques russes : Ce que nous savons à ce jour

Brève mise à jour de notre perspective : 9 mars 2022

Alors que nous entrons dans une nouvelle phase de l'invasion de l'Ukraine et des cyber-opérations auxquelles nous avons assisté, que devez-vous savoir ?

La réponse la plus importante à cette question est que Vectra Security Research et Threat intel travaillent d'arrache-pied pour assurer la meilleure couverture possible en matière de détection des menaces à tous les niveaux de votre réseau, et pour fournir les moyens de réagir rapidement et efficacement et de couper court aux attaques avant qu'elles ne deviennent la prochaine étude de cas de réponse à un incident.  

Sur le terrain et dans les médias, la guerre est passée d'une expansion rapide et agressive sur de nouveaux territoires à une bataille de mots. Les dirigeants mondiaux s'efforcent de sanctionner davantage et d'accroître leur emprise sur les milliardaires et les actifs russes. La pression sociale est de plus en plus forte pour que les entreprises retirent leurs produits de Russie ; la guerre a désormais beaucoup moins d'ampleur dans l'esprit des gens. En ce qui concerne le cyberespionnage et les batailles menées sur les réseaux informatiques, les tactiques ont également changé. Lorsque la guerre terrestre a commencé, on s'est efforcé de perturber les communications et les réseaux informatiques des forces qui se déplaçaient pour défendre leurs positions. Le monde a assisté au déploiement de trois types d'attaques discrètes. Tout d'abord, les systèmes ukrainiens ont fait l'objet d'une attaque DDoS massive, suivie du célèbre logiciel malveillant HermeticWiper utilisé pour détruire des systèmes, et Microsoft a également vu le déploiement d'un nouveau cheval de Troie, FoxBlade.  

Le passage aux opérations clandestines

Mandiant a récemment publié un rapport détaillant une attaque en cours d'APT41 visant des cibles du gouvernement américain5. Cet acteur d'État chinois a été décrit comme utilisant de multiples tentatives pour compromettre ses cibles, allant de son propre jour zéro dans une application Web, à l'utilisation des vulnérabilités Log4J bien distribuées pour atteindre l'objectif. Dans ces cas, l'acteur de la menace a déployé ses propres logiciels malveillants sophistiqués en utilisant un comportement traditionnel de type C2 et en déployant également une persistance grâce à l'utilisation de techniques de "dead drop" pour mettre à jour les adresses IP C2.

Et maintenant ?

Une fois de plus, on nous demande : si c'est comme d'habitude, que devrions-nous faire ?  

Tout d'abord, nous devons rester vigilants, car il a été démontré que si les activités qui font les gros titres attirent notre attention sur celles qui se déroulent à l'étranger, nous devons également garder un œil sur ce que nous savons être vrai : Les criminels sauteront sur l'occasion d'utiliser un événement mondial pour diffuser leurs propres logiciels malveillants, les acteurs APT sophistiqués tenteront d'utiliser l'écran de fumée créé par les logiciels malveillants destructeurs pour infiltrer des cibles d'intérêt dans une guerre terrestre, et enfin, ce n'est pas parce que cela se passe à l'étranger que nous devons perdre de vue nos propres réseaux et notre propre sécurité.  

--

[1] https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

[ 2 ] https://twitter.com/dsszzi/status/1499740427783651336?s=20&t=fDgbTX1ydsnTRjocdQUopw

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook

[4] https://www.vectra.ai/blog/customer-advisory-bulletin-mitigating-detecting-and-responding-to-russian-cyberactivity

Contenu antérieur : 2 mars 2022

Il y a une semaine, nous avons écrit sur la façon dont les acteurs de l'État russe et d'autres groupes associés opèrent lors d'une attaque de cybersécurité ou d'un conflit terrestre en cours. En nous penchant sur les sept derniers jours, nous souhaitons offrir une perspective actualisée en jetant un regard neuf sur ce que nous savons de la manière dont les acteurs de la menace en provenance de Russie opèrent.

En outre, nous aimerions attirer l'attention sur le fait que Microsoft a également identifié un nouveau cheval de Troie capable d'être utilisé dans le cadre d'une attaque DDoS, connu sous le nom de FoxBlade.A!dha et son parent dropper FoxBlade.B!dha. Ceux-ci ont été identifiés juste avant les premiers mouvements de l'armée russe pour s'emparer de territoires en Ukraine, ce qui montre à quel point les opérations militaires et cybernétiques russes sont vraiment coordonnées.

Les opérateurs de logiciels malveillants vont affluer vers la défense russe

Comme dans tout conflit, il y a toujours des volontaires, et cette guerre hybride terrestre/cybernétique n'est pas différente. L'un des premiers groupes à prêter allégeance à la Russie a été le groupe Conti / TrickBot, bien qu'il ait depuis assoupli sa position. Ce groupe est responsable de certaines des campagnes de ransomware les plus importantes et les plus réussies de ces cinq dernières années. TrickBot et son rôle dans le déploiement d'IcedID, de CobaltStrike et de nombreuses campagnes de ransomware, est un nom que la plupart des opérateurs de l'équipe bleue connaissent bien. Fin février, il a été rapporté que le projet TrickBot avait été arrêté, ce qui a porté un coup dur au gang. Conti, cependant, prévaut, ayant récemment pris le contrôle du logiciel malveillant BazarBackdoor.

Vectra Les clients doivent rechercher les détections de Vectra Threat Intel Match dont l'acteur de la menace est WIZARD SPIDER ou WIZARDSPIDER, qui est le nom interne du groupe. La porte dérobée BazarBackdoor, déposée par le logiciel malveillant BazarLoader, communique par HTTP et DNS avec les domaines [.]bazar. Les clients doivent rechercher les détections de tunnel HTTP caché, de tunnel HTTPS caché et de tunnel DNS caché, car il s'agit des principales méthodes de communication de la porte dérobée. Ces détections permettront d'établir une corrélation entre les infections potentielles.

La porte dérobée comporte également plusieurs composants modulaires qui peuvent exécuter des commandes PowerShell sur l'hôte infecté. D'autres détections sont donc à surveiller, notamment l'exécution à distance suspecte qui utilise des méthodes WMI pour exécuter des commandes sur d'autres hôtes. Ce groupe de menaces est également connu pour utiliser le planificateur de tâches et SMB afin de se propager latéralement ; recherchez donc schtask en tant qu'opération dans les détections d'exécution à distance sus pecte.

Au début de la campagne terrestre, deux nouvelles familles de logiciels malveillants sont apparues dans le conflit de la sécurité de l'information, notamment WhisperGate et Hermetic wiper. Il s'agit dans les deux cas de logiciels malveillants destructeurs / Ransomware Lite, qui détruisent les systèmes et demandent parfois un paiement, mais ne proposent pas d'option de récupération. Pour l'instant, il n'y a pas de CIO de réseau à rechercher, mais Vectra est toujours en mesure de repérer les attaques de ransomware au moment où elles se produisent, et de permettre aux intervenants de réagir rapidement. On peut en voir un exemple ici, dans une analyse après incident, où un client a justement fait cela en utilisant Cognito Detect. VectraLe directeur technique de Cognito Detect a également publié un article de blog sur la vague actuelle de ransomwares.

Les équipes de services et de renseignements sur les menaces de Vectra rassemblent également des centaines d'indicateurs et de rapports afin de mieux servir nos clients. À cette fin, nous avons publié jusqu'à présent trois nouvelles recherches sauvegardées sur Recall:

  • Cogntio - TTP - iSession - Cyclops Blink Hardcoded C2 IP Addresses: Cette recherche sauvegardée est conçue pour trouver des communications avec les adresses IP C2 codées en dur du logiciel malveillant Cyclops Blink.
  • Cognito - TTP - Fichiers SMB - Lockbit Note de rançon connue et extension
  • Cognito - TTP - SMB Files - Lockbit Known Named Pipe: Ces deux recherches sont conçues pour trouver l'activité de LockBit sur le réseau en recherchant la communication Named Piped utilisée par le logiciel malveillant pour rester caché. Elles visent également à identifier le transfert de fichiers potentiellement malveillants.

Sensibilisation supplémentaire et meilleures pratiques

Actuellement, Vectra travaille d'arrache-pied pour s'assurer que tous les clients sont protégés. Si vous êtes un client Sidekick, l'équipe d'analystes assure une couverture pratique et travaille directement avec les services de renseignements sur les menaces de Vectra afin de fournir la meilleure priorité et le meilleur service possible. Pour l'ensemble des clients, Vectra threat intelligence rassemble des milliers d'indicateurs et de rapports indépendants afin d'assurer la meilleure couverture possible pour tous. Nous poursuivons également notre travail de confirmation des comportements des opérateurs de logiciels malveillants et des acteurs de la menace connus et engagés, afin de garantir que les détections correspondent aux comportements connus des logiciels malveillants et des acteurs de la menace.

Les détections notables à surveiller sont les suivantes :

  • Tunnel caché [HTTP, HTTPS, DNS]: Ces détections permettent de repérer les comportements des logiciels malveillants sur le site Command and Control .
  • Accès à distance externe: Ici encore, on trouve des canaux de commande et de contrôle plus traditionnels pour les logiciels malveillants.
  • Exécution à distance suspecte: De nombreux acteurs de la menace tenteront de se propager latéralement dans un environnement en utilisant les canaux existants, ce qui rend ces détections plus pertinentes à l'heure actuelle.
  • Détection des anomalies de privilèges: Ces détections révèlent une utilisation suspecte des comptes. De nombreux acteurs de la menace recherchent des comptes avec des niveaux élevés de privilèges sur un réseau pour diffuser leurs logiciels malveillants ou s'attaquer à des cibles de grande valeur telles que l'Active Directory.

Il n'y a pas encore eu de nombreux rapports d'attaques basées sur Cloud , mais il est probable que pendant que ces attaques destructives et bruyantes se produisent, des attaques discrètes qui se concentrent sur cloud se produisent également. Les acteurs étatiques russes se tournent vers le site cloud pour leurs attaques. La CISA a publié un rapport en février 2022 indiquant que des attaquants parrainés par l'État russe ont violé l'infrastructure cloud des entreprises de défense. Sur la base des recherches effectuées sur les compromissions précédentes et du comportement connu des acteurs de la menace, Detect pour Azure AD et les environnements Office 365 s'attend à voir les types de détections suivants.

  • Tentative de force de Azure AD
  • Azure AD Suspicious Sign On
  • Azure AD MFA-Failed Suspicious Sign On (Échec de l'ouverture de session suspecte)
  • O365 Suspicious Sign-On Activity - Cette étape de l'attaque peut parfois être la plus bruyante, mais avec une main-d'œuvre distante, la détection de cette activité devient quelque chose qu'une simple recherche dans les journaux ne suffit pas à faire. Detect for Cloud produira des détections telles que celles énumérées ci-dessus pour aider les analystes à trouver l'activité.
  • Modification de la configuration de l'IP de confiance dans Azure AD
  • Opération suspecte Azure AD
  • O365 Suspicious Teams Application - les applications et les services principaux qui possèdent des droits d'accès importants sont modifiés avec des secrets supplémentaires, créant essentiellement une "porte dérobée" que les attaquants utilisent pour effectuer des actions privilégiées au nom de ces applications.
  • Compte d'administrateur Azure AD nouvellement créé
  • Création d'un accès redondant à Azure AD
  • Opération suspecte Azure AD
  • Utilisation inhabituelle du moteur de script d'Azure AD
  • O365 Internal Spear phishing
  • Règle de transport des échanges suspects dans O365
  • Redirection du courrier suspect O365
  • O365 Suspicious Mailbox Manipulation - Il existe de nombreuses façons d'obtenir la persistance dans un environnement cloud . De nombreuses détections dans Detect for Cloud sont conçues pour trouver des activités, allant de la création de comptes dans Azure AD à l'installation de règles de transport, qui peuvent rediriger le courrier électronique ou, dans des attaques antérieures, ont été utilisées comme implant de commande et de contrôle.
  • Opération d'échange risquée avec O365
  • Activité de téléchargement suspecte O365
  • Redirection du courrier suspect O365
  • Manipulation suspecte d'une boîte aux lettres O365
  • O365 Suspicious Sharing Activity - Au cours de cette étape, outre l'ouverture des droits de partage vers des destinations non locales, les autorisations de la boîte aux lettres de la cible sont modifiées pour donner à un autre utilisateur (contrôlé par l'attaquant) un accès en lecture au courrier électronique de la cible, suivi d'une exfiltration périodique des courriers électroniques.

Enfin, ces TTP, telles qu'elles sont décrites à l'adresse MITRE ATT&CK , ont toujours été associées à des acteurs étatiques russes et ont été mises à jour pour inclure les attaques destructrices les plus récentes :