Titre réécrit : UNC3944 : Mandiant dévoile les nouvelles tactiques du groupe de cybercriminels

Mandiant, une entreprise leader dans le domaine de la sécurité informatique, a récemment révélé les nouvelles méthodes employées par UNC3944, un groupe de cybercriminels notoire.

Les chercheurs de Mandiant ont réussi à identifier la manière dont le groupe UNC3944 a adapté ses stratégies pour mener des attaques plus sophistiquées. Le groupe de cybercriminels est connu pour cibler des entreprises et des organisations à travers le monde, exploitant les vulnérabilités des systèmes informatiques pour voler des données sensibles et causer des dommages importants.

Ces nouvelles informations sur les modes opératoires de UNC3944 sont d’une grande importance pour la communauté de la cybersécurité, car elles permettent de mieux comprendre les tactiques des cybercriminels et donc de mettre en place des mesures de défense plus efficaces.

Selon les experts de Mandiant, UNC3944 a modifié ses techniques d’attaque pour devenir plus imprévisible et difficile à détecter. Le groupe a également commencé à utiliser de nouveaux outils et logiciels malveillants pour infiltrer les systèmes de ses cibles.

Les chercheurs de Mandiant ont également découvert que UNC3944 a commencé à exploiter des failles de sécurité plus complexes et moins connues, ce qui rend leur détection et leur prévention encore plus difficile.

Ces nouvelles tactiques du groupe de cybercriminels UNC3944 montrent l’évolution constante des menaces en matière de cybersécurité. Les entreprises et les organisations doivent donc rester vigilantes et continuer à investir dans des solutions de sécurité informatique robustes pour se protéger contre ces menaces.

En révélant les nouvelles méthodes de UNC3944, Mandiant espère aider la communauté de la cybersécurité à anticiper et à prévenir les futures attaques de ce groupe de cybercriminels. La société encourage également les entreprises à partager leurs propres expériences et connaissances en matière de cybersécurité pour contribuer à la lutte collective contre les cybercriminels.

En conclusion, la divulgation par Mandiant des dernières tactiques de UNC3944 souligne l’importance de la coopération et de l’échange d’informations dans le domaine de la cybersécurité. Cela permet non seulement de renforcer les défenses contre les cyberattaques, mais aussi de sensibiliser davantage aux menaces en constante évolution dans le paysage numérique.

par | Juil 9, 2024 | Tech | 0 commentaires

"

Voir plus

Derniers Articles

titre réécrit : unc3944 : mandiant dévoile les nouvelles tactiques

Le groupe de cybercriminels UNC3944, notoire pour ses actions nuisibles axées sur le SIM swapping, emploie une multitude de stratégies, méthodes et procédures. Leur dernière manoeuvre en cours est l’augmentation des droits d’accès sur les plateformes vSphere et Azure, en utilisant des logiciels d’authentification unique pour établir des machines virtuelles compromises, leur permettant ainsi de poursuivre leurs activités de surveillance.

UNC3944, également connu sous les noms de Scattered Spider, 0ktapus, Octo Tempest ou Scatter Swine, est un groupe de cybercriminels très agiles. Ce groupe est surveillé par Mandiant depuis mai 2022, et il est spécialisé dans les attaques par échange de SIM et l’ingénierie sociale ciblant les services clients des entreprises de télécommunications et de sous-traitance de processus métiers. Un rapport récent de cette filiale de Google Cloud spécialisée en cybersécurité a révélé que ce groupe de cybercriminels a ciblé des applications SaaS au cours des 10 derniers mois, et a donné un aperçu de ses méthodes, techniques et procédures (TTP) changeantes en fonction des objectifs visés.

« Un aspect de ces intrusions implique une méthode de persistance plus agressive qui se produit par la création de nouvelles machines virtuelles », indique le fournisseur. « Dans plusieurs cas, Mandiant a observé que UNC3944 accède à vSphere et Azure, en utilisant des applications d’authentification unique, pour créer de nouvelles machines virtuelles à partir desquelles ils ont mené toutes les activités de suivi. Ce qui est important ici, c’est l’observation de l’abus des groupes d’administration ou des permissions normales des administrateurs liées aux applications SSO pour créer ensuite cette méthode de persistance. » Une fois créées, ces nouvelles VM sont reconfigurées avec différents outils tels que MAS_AIO et privacy-script.bat pour désactiver certains garde fous de protection de vie privée et de sécurité dont Microsoft Defender.

Déploiement du ransomware ALPHV sur les hyperviseurs ESXI

Ensuite, le groupe de cybercriminels télécharge des outils tels que Mimikatz, ADRecon et divers outils de tunnelisation secrète comme NGROK, RSOCX et Localtonet. L’objectif ? Accéder à un système sans avoir à utiliser de VPN ou de MFA. D’autres outils ont également été utilisés pour leur activité de compromission, y compris l’installation de bibliothèques Python, comme IMPACKET. Pour contourner les contrôles d’authentification, UNC3944 utilise un fichier ISO (PCUnlocker) qui est attaché à des machines virtuelles existantes via l’appliance vCenter pour réinitialiser les mots de passe des administrateurs locaux, ce qui permet de contourner les contrôles de domaine normaux. « Cette ISO nécessite un redémarrage et une modification des paramètres du BIOS pour démarrer dans cette image montable afin de contourner efficacement les contrôles de domaine. La surveillance du temps de fonctionnement des machines virtuelles, voire de brefs impacts, permettrait d’éventuelles possibilités de détection », explique Mandiant.

A découvrir :  Impossible de réécrire le titre car il s'agit d'un lien URL et non d'un titre d'article.

Dans le cadre de son enquête, la société de cybersécurité a également découvert que le groupe de cybercriminels déployait le ransomware ALPHV contre les systèmes de fichiers des machines virtuelles, sur les hyperviseurs ESXI eux-mêmes, afin de provoquer des actions destructrices au sein d’un environnement. « En conséquence, les machines virtuelles déployées par l’attaquant sont généralement cryptées et les preuves d’activités au sein du réseau sont détruites », avertit Mandiant. Bien que la filiale de Google n’ait observé aucune exploitation de ce vecteur d’attaque depuis le début de l’année, elle appelle tout de même à la vigilance : « des preuves ont montré que l’activité observée dans les environnements des victimes visait principalement à découvrir l’infrastructure clé et les cibles potentielles d’exfiltration, telles que les bases de données et le contenu web. Une fois localisées, les données ont été exfiltrées via ces machines virtuelles vers diverses ressources à haute réputation telles que Google Cloud Platform et Amazon Web Services », poursuit Mandiant.

Utilisation d’identifiants volés pour accéder à des applications SaaS

Dans son rapport, la filiale de Google Cloud a également révélé que UNC3944 a utilisé des identifiants volés pour accéder à des applications SaaS protégées par des fournisseurs SSO. Cela a conduit à des accès illégitimes à de nombreuses applications AWS, Azure, Crowdstrike, CyberArk, GCP, Salesforce, vCenter ou encore Workday. Mandiant a observé l’utilisation d’outils de détection et de réponse pour tester l’accès à l’environnement et une exfiltration de données via des utilitaires de synchronisation cloud, tels qu’Airbyte et Fivetran pour les déplacer par exemple sur des buckets S3 contrôlés par le groupe de cybercriminels.

Mais face à l’évolution des modes opératoires de UNC3944, les entreprises ne sont pas entièrement sans défense. Mandiant recommande plusieurs actions pour limiter la persistance et les capacités d’accès de ses attaques sur un environnement cible. La société conseille l’utilisation à la fois de certificats basés sur l’hôte et d’une authentification multifactorielle pour tout accès VPN. « De plus, la mise en place de politiques d’accès conditionnel plus strictes pour contrôler ce qui est visible à l’intérieur d’une instance cloud peut limiter l’impact global », assure Mandiant. Parmi les autres recommandations : « une surveillance accrue des applications SaaS, afin de centraliser les journaux des applications SaaS importantes, les enregistrements MFA et l’infrastructure des machines virtuelles, en particulier en ce qui concerne le temps de fonctionnement et la création de nouveaux systèmes […] Pour les applications contenant des informations propriétaires ou protégées, s’assurer que les entreprises disposent d’une solide capacité de journalisation que leurs équipes de sécurité peuvent examiner pour détecter des signes d’intention malveillante. »

A découvrir :  Décryptage du DSI type français et européen

Articles relatifs:

  1. Titre : « Les 60 principales banques mondiales détiennent 1 350 milliards de dollars en « actifs fossiles », selon une récente recherche »

    Selon une recherche récente, les 60 banques les plus importantes à travers le monde sont liées à des « actifs fossiles » évalués à 1 350 milliards de dollars. Cette situation présente un risque considérable pour l’économie mondiale. Les actifs fossiles comprennent les investissements dans les industries du charbon, du pétrole et du gaz, qui sont des sources majeures de gaz à effet de serre, responsables du changement climatique.

    L’étude indique que malgré les promesses de nombreuses banques de réduire leur empreinte carbone et de soutenir les objectifs de l’accord de Paris sur le climat, elles continuent à financer massivement les énergies fossiles. Cela met en lumière le décalage entre les engagements de ces institutions financières et leurs actions concrètes.

    Il est à noter que l’exposition des banques aux actifs fossiles peut avoir des conséquences financières négatives. En effet, avec les efforts mondiaux pour réduire les émissions de gaz à effet de serre et passer à des sources d’énergie renouvelables, ces actifs pourraient devenir « stranded », c’est-à-dire qu’ils pourraient perdre leur valeur et devenir des actifs toxiques pour les banques.

    De plus, l’étude souligne que les banques jouent un rôle clé dans le financement de la transition vers une économie à faible émission de carbone. Cela signifie qu’elles ont une responsabilité importante dans la lutte contre le changement climatique. Elles doivent donc prendre des mesures concrètes pour réduire leur exposition aux actifs fossiles et augmenter leurs investissements dans les énergies renouvelables.

    En conclusion, cette étude met en évidence le rôle crucial des banques dans la lutte contre le changement climatique et la nécessité pour elles de revoir leurs pratiques d’investissement. Il est clair que le secteur financier a un rôle à jouer dans la transition vers une économie verte et durable, et que les banques doivent prendre des mesures concrètes pour aligner leurs actions avec leurs engagements en matière de climat.
  2. Titre réécrit : « Plaidoyer pour des exigences prudentielles dans le financement des énergies fossiles pour prévenir une crise économique »

    Le monde financier pourrait jouer un rôle majeur dans la prévention d’une future crise économique liée à l’exploitation des énergies fossiles. En effet, des voix s’élèvent pour demander l’instauration de règles prudentielles plus strictes en matière de financement de ces énergies.

    L’idée est de mettre en place une politique du « un pour un », c’est-à-dire qu’à chaque dollar investi dans les énergies fossiles, un dollar serait consacré à la transition énergétique et aux énergies renouvelables. Ce dispositif aurait pour objectif de limiter l’impact économique et environnemental de ces énergies, tout en permettant le développement de solutions plus durables.

    La mise en place de telles mesures est présentée comme une nécessité pour éviter une crise économique majeure. En effet, l’économie mondiale est fortement dépendante des énergies fossiles, et toute perturbation de ce secteur pourrait avoir des répercussions importantes. De plus, l’exploitation de ces énergies a un impact environnemental majeur, qui pourrait à terme menacer la stabilité économique.

    Il est donc urgent d’agir pour limiter ces risques. Les énergies fossiles, bien que toujours nécessaires, doivent progressivement laisser la place à des solutions plus respectueuses de l’environnement. C’est pourquoi il est essentiel de mettre en place des mesures qui encouragent le financement de ces nouvelles énergies, tout en limitant les risques associés à l’exploitation des énergies fossiles.

    Plusieurs acteurs du monde financier ont déjà exprimé leur soutien à cette idée, soulignant l’importance d’une transition énergétique maîtrisée pour la stabilité économique mondiale. Ils appellent à une prise de conscience de la part des institutions financières, pour que celles-ci prennent en compte les risques environnementaux et économiques liés à l’exploitation des énergies fossiles.

    En conclusion, l’appel en faveur de règles prudentielles plus strictes pour le financement des énergies fossiles est de plus en plus fort. Il semble que la mise en place d’un tel dispositif soit une nécessité pour prévenir une future crise économique, et favoriser une transition énergétique durable.
  3. Protéger la France d’une crise des ‘subprimes fossiles’ avec 6,5 mois de bénéfices bancaires
  4. Majorité de Français pour plus de flexibilité dans les règles budgétaires européennes post-pandémie
A découvrir :  Migration informatique hors normes du CCF : retour sur l'opération
Tech

Derniers articles catégorie "Tech"

alain-barru
Mathilde Précault

Auteur

Mathilde Précault est une figure passionnée et reconnue dans le monde de la formation en technologies et compétences numériques pour les entreprises. Dotée d'une expertise approfondie en matière de nouvelles technologies, Mathilde a consacré sa carrière à aider les professionnels à naviguer et à exceller dans le paysage numérique en constante évolution. Sa pédagogie unique, alliant théorie et pratique, permet aux apprenants de tous niveaux d'acquérir des compétences essentielles, de la maîtrise des outils de base à l'exploration des dernières innovations technologiques. En tant qu'autrice pour Techdécouverte.com, Mathilde partage ses connaissances et son enthousiasme pour la technologie, offrant aux lecteurs des perspectives enrichissantes et des conseils pratiques pour rester à la pointe de l'ère numérique

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *