Nouvelle couverture de la plateforme Vectra AI pour Copilot et Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure

Cyberattaques russes : Ce que nous savons à ce jour

9 mars 2022
Luke Richards
Threat Intelligence Lead
Cyberattaques russes : Ce que nous savons à ce jour

Brève mise à jour de notre perspective : 9 mars 2022

Alors que nous entrons dans une nouvelle phase de l'invasion de l'Ukraine et des cyber-opérations auxquelles nous avons assisté, que devez-vous savoir ?

La réponse la plus importante à cette question est que Vectra Security Research et Threat intel travaillent d'arrache-pied pour assurer la meilleure couverture possible en matière de détection des menaces à tous les niveaux de votre réseau, et pour fournir les moyens de réagir rapidement et efficacement et de couper court aux attaques avant qu'elles ne deviennent la prochaine étude de cas de réponse à un incident.  

Sur le terrain et dans les médias, la guerre est passée d'une expansion rapide et agressive sur de nouveaux territoires à une bataille de mots. Les dirigeants mondiaux s'efforcent de sanctionner davantage et d'accroître leur emprise sur les milliardaires et les actifs russes. La pression sociale est de plus en plus forte pour que les entreprises retirent leurs produits de Russie ; la guerre est désormais beaucoup moins importante dans l'esprit des gens. En ce qui concerne le cyberespionnage et les batailles menées sur les réseaux informatiques, les tactiques ont également changé. Lorsque la guerre terrestre a commencé, on s'est efforcé de perturber les communications et les réseaux informatiques des forces qui se déplaçaient pour défendre leurs positions. Le monde a assisté au déploiement de trois types d'attaques discrètes. Tout d'abord, les systèmes ukrainiens ont fait l'objet d'une attaque DDoS massive, suivie par le célèbre HermeticWiper malware utilisé pour détruire les systèmes, et Microsoft a vu le déploiement d'un nouveau cheval de Troie, FoxBlade.  

Le passage aux opérations clandestines

Mandiant a récemment publié un rapport détaillant une attaque en cours d'APT41 visant des cibles du gouvernement américain5. Cet acteur d'État chinois a été décrit comme ayant utilisé de multiples tentatives pour compromettre ses cibles, allant de son propre jour zéro dans une application Web, à l'utilisation des vulnérabilités Log4J bien distribuées pour atteindre l'objectif. Dans ces cas, l'acteur de la menace a déployé son propre site sophistiqué malware en utilisant un comportement traditionnel de type C2 et en déployant également une persistance grâce à l'utilisation de techniques de "dead drop" pour mettre à jour les adresses IP C2.

Et maintenant ?

Une fois de plus, on nous demande : si c'est comme d'habitude, que devrions-nous faire ?  

Tout d'abord, nous devons rester vigilants, car il a été démontré que si les activités qui font les gros titres attirent notre attention sur celles qui se déroulent à l'étranger, nous devons également garder un œil sur ce que nous savons être vrai : Les criminels sauteront sur l'occasion d'utiliser un événement mondial pour répandre leur propre malware, des acteurs APT sophistiqués tenteront d'utiliser l'écran de fumée créé par malware pour infiltrer des cibles d'intérêt dans une guerre terrestre, et enfin, ce n'est pas parce que cela se passe à l'étranger que nous devons nous désintéresser de nos propres réseaux et de notre sécurité.  

--

[1] https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

[ 2 ] https://twitter.com/dsszzi/status/1499740427783651336?s=20&t=fDgbTX1ydsnTRjocdQUopw

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook

[4] https://www.vectra.ai/blog/customer-advisory-bulletin-mitigating-detecting-and-responding-to-russian-cyberactivity

Contenu antérieur : 2 mars 2022

Il y a une semaine, nous avons écrit sur la façon dont les acteurs étatiques russes et d'autres groupes associés opèrent lors d'une attaque de cybersécurité ou lors d'un conflit terrestre en cours. En revenant sur les sept derniers jours, nous souhaitons offrir une perspective actualisée en jetant un regard neuf sur ce que nous savons de la manière dont cybercriminels opère depuis la Russie.

En outre, nous aimerions attirer l'attention sur le fait que Microsoft a également identifié un nouveau cheval de Troie capable d'être utilisé dans le cadre d'une attaque DDoS, connu sous le nom de FoxBlade.A!dha et son parent dropper FoxBlade.B!dha. Ceux-ci ont été identifiés juste avant les premiers mouvements de l'armée russe pour s'emparer de territoires en Ukraine, ce qui montre à quel point les opérations militaires et cybernétiques russes sont vraiment coordonnées.

Malware les opérateurs afflueront vers la défense russe

Comme dans tout conflit, il y a toujours des volontaires, et cette guerre hybride terrestre/cybernétique n'est pas différente. L'un des premiers groupes à prêter allégeance à la Russie a été le groupe Conti / TrickBot, bien qu'il ait depuis assoupli sa position. Ce groupe est responsable de certaines des campagnes de ransomware les plus importantes et les plus réussies de ces cinq dernières années. TrickBot et son rôle dans le déploiement d'IcedID, de CobaltStrike et de nombreuses campagnes de ransomware, est un nom que la plupart des opérateurs de l'équipe bleue connaissent bien. Fin février, il a été rapporté que le projet TrickBot avait été arrêté, ce qui a porté un coup dur au gang. Conti, cependant, reste en place, ayant récemment pris le contrôle de BazarBackdoor malware.

Les clients de Vectra doivent rechercher les détections de Vectra Threat Intel Match dont l'acteur de la menace est WIZARD SPIDER ou WIZARDSPIDER, qui est le nom interne du groupe. BazarBackdoor, déposé par BazarLoader malware , communique par HTTP et DNS avec les domaines [.]bazar. Les clients doivent rechercher les détections Hidden HTTP Tunnel, Hidden HTTPS Tun nel et Hidden DNS Tunnel, car il s'agit des principales méthodes de communication de la porte dérobée. Ces détections permettront d'établir une corrélation entre les infections potentielles.

La porte dérobée comporte également plusieurs composants modulaires qui peuvent exécuter des commandes PowerShell sur l'hôte infecté. D'autres détections sont donc à surveiller, notamment l'exécution à distance suspecte qui utilise des méthodes WMI pour exécuter des commandes sur d'autres hôtes. Ce groupe de menaces est également connu pour utiliser le planificateur de tâches et SMB afin de se propager latéralement ; recherchez donc schtask en tant qu'opération dans les détections d'exécution à distance sus pecte.

Au début de la campagne terrestre, deux nouvelles familles de malware sont apparues dans le conflit de la sécurité de l'information, notamment WhisperGate et Hermetic wiper. Il s'agit dans les deux cas de types de malware destructeurs / Ransomware Lite, qui détruisent les systèmes et demandent parfois un paiement, mais ne proposent pas d'option de récupération. Pour l'instant, il n'y a pas d'IOC de réseau à rechercher, mais Vectra est toujours en mesure de repérer les attaques de ransomware au moment où elles se produisent, et de permettre aux intervenants de réagir rapidement. Un exemple en est donné ici dans un rapport post incident où un client a justement fait cela en utilisant Cognito Detect. Le directeur technique de Vectra a également publié un article de blog sur la vague actuelle de ransomwares.

Les équipes de services et de renseignements sur les menaces de Vectra rassemblent également des centaines d'indicateurs et de rapports afin de mieux servir nos clients. À cette fin, nous avons publié jusqu'à présent trois nouvelles recherches sauvegardées sur Recall:

  • Cogntio - TTP - iSession - Cyclops Blink Adresses IP C2 codées en dur : Cette recherche sauvegardée est conçue pour trouver des communications avec les adresses IP C2 codées en dur du Cyclops Blink. malware
  • Cognito - TTP - Fichiers SMB - Lockbit Note de rançon connue et extension
  • Cognito - TTP - Fichiers SMB - Lockbit Known Named Pipe: Ces deux recherches sont conçues pour trouver l'activité de LockBit sur le réseau en recherchant la communication Named Piped utilisée par malware pour rester cachée. Elles visent également à identifier le transfert de fichiers potentiellement malveillants.

Sensibilisation supplémentaire et meilleures pratiques

Actuellement, Vectra travaille d'arrache-pied pour s'assurer que tous les clients sont protégés. Si vous êtes un client Sidekick, l'équipe d'analystes fournit une couverture pratique et travaille directement avec les services de renseignements sur les menaces de Vectra pour fournir la meilleure priorité et le meilleur service possible. Pour l'ensemble des clients, Vectra threat intelligence rassemble des milliers d'indicateurs et de rapports indépendants afin d'assurer la meilleure couverture possible pour tous. Nous poursuivons également notre travail de confirmation des comportements des opérateurs connus et engagés sur malware et cybercriminels, afin de nous assurer que les détections correspondent aux comportements connus de malware et des acteurs de la menace.

Les détections notables à surveiller sont les suivantes :

  • Tunnel caché [HTTP, HTTPS, DNS]: Ces détections permettent de repérer les comportements malware Command and Control .
  • Accès à distance externe: Ici encore, on trouvera des canaux de commande et de contrôle plus traditionnels sur le site Malware .
  • Exécution à distance suspecte: De nombreux sites cybercriminels tentent de se propager latéralement dans un environnement en utilisant les canaux existants, ce qui rend ces détections plus pertinentes à l'heure actuelle.
  • Détection des anomalies de privilèges: Ces détections révèlent une utilisation suspecte des comptes. De nombreux sites cybercriminels recherchent des comptes dotés de niveaux de privilèges élevés sur un réseau afin de propager leur site malware ou de s'attaquer à des cibles de grande valeur telles que Active Directory.

Il n'y a pas encore eu de nombreux rapports d'attaques basées sur Cloud , mais il est probable que pendant que ces attaques destructrices et bruyantes se produisent, des attaques discrètes qui se concentrent sur cloud se produisent également. Les acteurs étatiques russes se tournent vers le site cloud pour leurs attaques. La CISA a publié un rapport en février 2022 indiquant que des attaquants parrainés par l'État russe ont violé l'infrastructure cloud des entreprises de défense. Sur la base des recherches effectuées sur les compromissions précédentes et du comportement connu des acteurs de la menace, Detect pour Azure AD et les environnements Office 365 s'attend à voir les types de détections suivants.

  • Tentative de force de Azure AD
  • Azure AD Suspicious Sign On
  • Azure AD MFA-Failed Suspicious Sign On (Échec de l'ouverture de session suspecte)
  • O365 Suspicious Sign-On Activity - Cette étape de l'attaque peut parfois être la plus bruyante, mais avec une main-d'œuvre distante, la détection de cette activité devient quelque chose qu'une simple recherche dans les journaux ne suffit pas à faire. Detect for Cloud produira des détections telles que celles énumérées ci-dessus pour aider les analystes à trouver l'activité.
  • Modification de la configuration de l'IP de confiance dans Azure AD
  • Opération suspecte Azure AD
  • O365 Suspicious Teams Application - les applications et les services principaux qui possèdent des droits d'accès importants sont modifiés avec des secrets supplémentaires, créant essentiellement une "porte dérobée" que les attaquants utilisent pour effectuer des actions privilégiées au nom de ces applications.
  • Compte d'administrateur Azure AD nouvellement créé
  • Création d'un accès redondant à Azure AD
  • Opération suspecte Azure AD
  • Utilisation inhabituelle du moteur de script d'Azure AD
  • O365 Internal Spear phishing
  • Règle de transport des échanges suspects dans O365
  • Redirection du courrier suspect O365
  • O365 Suspicious Mailbox Manipulation - Il existe de nombreuses façons d'obtenir la persistance dans un environnement cloud . De nombreuses détections dans Detect for Cloud sont conçues pour trouver des activités, allant de la création de comptes dans Azure AD à l'installation de règles de transport, qui peuvent rediriger le courrier électronique ou, dans des attaques antérieures, ont été utilisées comme implant de commande et de contrôle.
  • Opération d'échange risquée avec O365
  • Activité de téléchargement suspecte O365
  • Redirection du courrier suspect O365
  • Manipulation suspecte d'une boîte aux lettres O365
  • O365 Suspicious Sharing Activity - Au cours de cette étape, outre l'ouverture des droits de partage vers des destinations non locales, les autorisations de la boîte aux lettres de la cible sont modifiées pour donner à un autre utilisateur (contrôlé par l'attaquant) un accès en lecture au courrier électronique de la cible, suivi d'une exfiltration périodique des courriers électroniques.

Enfin, ces TTP, telles qu'elles sont décrites à l'adresse MITRE ATT&CK , ont toujours été associées à des acteurs étatiques russes et ont été mises à jour pour inclure les attaques destructrices les plus récentes :

Foire aux questions