Que s'est-il passé et qui l'a fait ?
Le 13 décembre, le Washington Post a rapporté que le groupe russe APT29 ou Cozy Bear avait pénétré dans les départements du Trésor et du Commerce des États-Unis, et que le FBI supposait que l'attaque avait commencé dès mars 2020.
FireEye a indiqué que l'intrusion avait pour origine une attaque bien exécutée de la chaîne d'approvisionnement par l'intermédiaire du logiciel SolarWinds Orion, afin de fournir une adresse malware nommée SUNBURST. SolarWinds Orion est un outil d'administration informatique populaire utilisé par plus de 300 000 organisations dans le monde, dont 425 des 500 premières entreprises du classement Fortune, les 10 plus grandes sociétés de télécommunications, toutes les branches de l'armée américaine et des agences gouvernementales américaines telles que la NSA, le Département d'État, le Pentagone, le Département de la Justice et la Maison Blanche. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) du gouvernement américain a donc publié une directive d'urgence demandant à "toutes les agences civiles fédérales américaines d'examiner leurs réseaux à la recherche d'indicateurs de compromission et de déconnecter ou d'éteindre immédiatement les produits SolarWinds Orion".
L'acteur étatique a compromis la solution SolarWinds Orion et a construit une porte dérobée dans Orion dès mars 2020. Cette porte a ensuite été utilisée pour infecter d'autres cibles lors de l'installation de la mise à jour infectée. Comme ce logiciel a été compromis au niveau du fournisseur, il a été signé numériquement avec des signatures valides et n'a pas été détecté par les protections de l'antivirus ou du système d'exploitation.
SolarWinds a publié un avis signalant que le logiciel SolarWinds Orion Platform publié entre mars 2020 et juin 2020 est affecté.
Comment cela s'est passé, et pourquoi il est impératif de surveiller les utilisateurs sur le site cloud
Une fois que la victime a installé le logiciel compromis, le groupe APT a continué à compromettre le réseau, en utilisant des comptes privilégiés pour se déplacer latéralement et finalement obtenir les informations d'identification d'un compte d'administrateur de domaine ou le certificat de signature SAML. Cela a permis aux attaquants de se déplacer latéralement vers n'importe quel appareil sur site ou n'importe quelle infrastructure cloud . Ce niveau d'accès pourrait être utilisé pour créer de nouveaux comptes privilégiés et s'implanter plus solidement au sein d'une organisation. L'attaquant a été observé par Microsoft en train d'effectuer des activités de confiance de la fédération de domaines, afin de s'implanter, ainsi que les techniques mentionnées précédemment pour s'implanter et compromettre.
Vectra Cognito offre plusieurs possibilités aux clients qui souhaitent enquêter ou détecter s'ils ont été compromis par cette attaque.
Vue d'ensemble des détections de Vectra
Les outils et les techniques d'APT 29 sont très sophistiqués et sont passés inaperçus pendant une longue période. Les tactiques du groupe restent similaires aux compromissions précédentes d'APT :
- Compromettre l'hôte
- Utiliser l'hôte pour voler des informations d'identification / élever les privilèges
- Utiliser les nouvelles références pour s'implanter dans les différentes parties du réseau
- Se déplacer dans l'environnement cloud
- Voler des données
Vectra sont protégés contre les attaques utilisant les tactiques et techniques signalées. Vous trouverez ci-dessous une vue d'ensemble des détections de Vectrabasées sur l'intelligence artificielle et basées sur les TTP.
Détections basées sur l'activité du réseau
Accès à distance externe / Tunnel HTTP caché / Tunnel HTTP caché
- Une communication C2 et une interaction avec l'hôte infecté sont attendues. Cette détection sera très probablement liée au domaine avsvmcloud[.]com.
Vectra Informations sur les menaces Match
- Les destinations malveillantes impliquées dans cette campagne sont surveillées dans le fil d'information sur les menaces Vectra .
Reconditionnement des CPR / Reconditionnement ciblé des CPR
- Les attaquants utiliseront les outils intégrés de Microsoft pour effectuer une reconnaissance et tenter d'exploiter une cible.
Exécution à distance suspecte
- Les attaquants créeront de nouveaux points d'appui en utilisant des implants et l'exécution de codes à distance.
Anomalies en matière d'accès privilégié
- Les attaquants s'appuieront sur les comptes de service, et plus particulièrement sur les comptes SolarWinds, pour s'attaquer latéralement aux serveurs de l'infrastructure.
- Les attaquants utiliseront de nouveaux comptes avec des privilèges élevés qui seront générés et utilisés contre les hôtes et l'infrastructure existants pour se déplacer dans le réseau.
Détections basées sur l'activité d'Office 365 et d'Azure AD
Activité de connexion suspecte
- Les attaquants sont connus pour utiliser des comptes cloud afin d'effectuer des actions administratives contre les infrastructures des organisations. Par conséquent, cette détection se déclencherait si le groupe utilisait le compte à partir d'un endroit extérieur à l'organisation.
Création d'un compte administratif
- Des attaquants ont été vus en train de créer des comptes administratifs.
Comptes administratifs nouvellement créés
- Comme pour la détection précédente, cela indiquerait l'utilisation d'un compte nouvellement créé par l'adversaire.
- Opération suspecte d'Azure AD
- Des attaquants ont été observés en train de créer de nouvelles fédérations de confiance et d'effectuer d'autres types d'opérations de haut niveau sur Azure AD afin de maintenir leur position.
Permissions d'application à risque
- Les attaquants ont utilisé des applications malveillantes dotées d'autorisations étendues pour maintenir la persistance dans un environnement.
Ce qu'il faut rechercher dans votre environnement :
Stream ou Recall , et ceux qui utilisent des outils qui collectent des métadonnées de réseau devraient immédiatement rechercher les éléments suivants dans leur environnement ;
Examiner l'activité relative au domaine lié à l'APT29 dans les flux de métadonnées de l'iSession
- resp_hostname:*. appsync-api.eu-west-1.avsvmcloud[.]com (Sans les crochets)
- resp_hostname:*. appsync-api.eu-west-2.avsvmcloud[.]com (Sans les crochets)
Examiner l'activité inattendue des systèmes SolarWinds dans toutes les métadonnées.
- orig_hostname :(solarwinds_01* OR SolarWinds_01*)
Examiner l'activité liée aux comptes AD administrateurs dans les métadonnées Kerberos_txn
- client :(*compte_admin* OR *compte_admin*)
Examiner l'activité liée aux comptes d'administrateur dans les métadonnées NTLM
- nom d'utilisateur :(*compte_admin* OR *compte_admin*)
Examiner l'activité liée aux comptes d'administrateur dans les métadonnées RDP (noter que les cookies RDP sont tronqués à 9 caractères).
- cookie :(admin_acc OR Admin_Acc)
- Le champ cookie peut également inclure le nom de domaine avant le nom d'utilisateur. Si cela semble être le cas, effectuez des recherches dont la source est un serveur SolarWinds.
Conclusion
SolarWinds conseille vivement à tous ses clients de passer à la version 2020.2.1 HF 1 de la plate-forme Ori on dès que possible pour garantir la sécurité de leur environnement, ou de désactiver l'accès à Internet pour la plate-forme Orion et de limiter les ports et les connexions au strict nécessaire.
Si vous êtes prêt à changer votre approche de la détection et de la réponse aux cyberattaques de ce type, et à voir de plus près comment Cognito peut trouver les outils et les exploits des attaquants, planifiez une démonstrationavec Vectra dès aujourd'hui.