Mandiant, Sophos détaille les dangereuses attaques ProxyShell

De multiples acteurs de la menace fusionnent désormais leur activité autour des vulnérabilités ProxyShell dans Microsoft Exchange Server, qui ont déclenché l’alarme dans les cercles de cybersécurité en août suite à un processus de divulgation bâclé.

C’est selon deux nouvelles recherches de Mandiant et Sophos, qui suivent toutes deux l’activité autour de ProxyShell depuis plusieurs semaines maintenant.

Mandiant a déclaré qu’il avait répondu à de multiples intrusions impliquant l’exploitation de ProxyShell dans divers clients et secteurs, et que la disponibilité généralisée des exploits de preuve de concept (PoC) n’aidait pas les choses.

« Exemples de preuve de concept [PoC] les exploits développés et rendus publics par les chercheurs en sécurité pourraient être exploités par n’importe quel groupe de menaces, conduisant à l’adoption par des groupes de menaces avec différents niveaux de sophistication », a déclaré l’équipe de recherche de Mandiant dans un article de blog.

« Mandiant a observé la chaîne d’exploit entraînant des activités post-exploitation, notamment le déploiement de shells Web, de portes dérobées et d’utilitaires de tunneling pour compromettre davantage les organisations de victimes. Depuis la publication de ce blog, Mandiant suit huit clusters indépendants. Mandiant prévoit que davantage de clusters seront formés à mesure que différents acteurs de la menace adopteront des exploits fonctionnels. »

Lors d’une attaque ProxyShell à laquelle son équipe de défense gérée a répondu, une université basée aux États-Unis a été ciblée par un acteur malveillant identifié par Mandiant sous le nom UNC2980. Il ne s’agit que de l’un des nombreux groupes d’activités menaçantes qui sont apparus au cours des dernières semaines et est évalué (bien qu’avec une faible confiance à ce stade) comme une opération de cyber-espionnage en provenance de Chine.

Mandiant a déclaré que le groupe exploitait les trois vulnérabilités et expositions communes (CVE) qui constituent collectivement ProxyShell pour télécharger des shells Web sur ses cibles afin d’obtenir un accès initial. Il utilise ensuite plusieurs outils accessibles au public, notamment Earthworm, Htran, Mimikatz et WMIExec, pour découvrir et s’enfuir avec son trésor de données volées.

Pendant ce temps, l’équipe de réponse aux incidents de Sophos a partagé les détails d’une enquête sur une série d’attaques récentes par une filiale de le gang des ransomwares Conti, qui a également utilisé ProxyShell pour établir l’accès initial avant de suivre le playbook Conti standard.

Conti n’est en aucun cas la première équipe de ransomware à avoir commencé à utiliser ProxyShell – ceux qui déploient le nouveau ransomware LockFile ont également fait du foin – mais les attaques Conti suivies par Sophos étaient inhabituelles car elles se sont déroulées en un temps record, a expliqué le chercheur principal sur les menaces de Sophos Labs. Sean Gallagher.

“Au fur et à mesure que les attaquants ont acquis de l’expérience avec les techniques, leur temps d’attente avant de lancer la charge utile finale du ransomware sur les réseaux cibles est passé de semaines à quelques jours à quelques heures”, a-t-il déclaré.

« Dans le cas de l’un des groupes d’attaques basées sur ProxyShell observés par Sophos, les filiales de Conti ont réussi à accéder au réseau de la cible et à configurer un shell Web distant en moins d’une minute. Trois minutes plus tard, ils ont installé un deuxième shell Web de sauvegarde. En moins de 30 minutes, ils avaient généré une liste complète des ordinateurs du réseau, des contrôleurs de domaine et des administrateurs de domaine.

« À peine quatre heures plus tard, les filiales de Conti avaient obtenu les informations d’identification des comptes d’administrateur de domaine et ont commencé à exécuter des commandes », a déclaré Gallagher. « Dans les 48 heures suivant l’obtention de cet accès initial, les attaquants avaient exfiltré environ 1 téraoctet de données. Au bout de cinq jours, ils ont déployé le ransomware Conti sur chaque machine du réseau, en ciblant spécifiquement les partages réseau individuels sur chaque ordinateur.

Au cours de l’attaque, la filiale de Conti a installé sept portes dérobées sur le réseau cible, comprenant deux shells Web, quatre outils commerciaux d’accès à distance – AnyDesk, Atera, Splashtop et Remote Utilities – et, inévitablement, Cobalt Strike.

Gallagher a exhorté les utilisateurs de Microsoft Exchange à appliquer des correctifs qui atténuent les exploits de ProxyShell, mais a noté que les correctifs disponibles nécessitent la mise à niveau d’une mise à jour cumulative récente d’Exchange Server, ce qui signifie que les utilisateurs doivent essentiellement réinstaller Exchange et subir une période d’arrêt, ce qui peut en retarder certains.