Titre réécrit : UNC3944 : Mandiant dévoile les nouvelles tactiques du groupe de cybercriminels

Mandiant, une entreprise leader dans le domaine de la sécurité informatique, a récemment révélé les nouvelles méthodes employées par UNC3944, un groupe de cybercriminels notoire.

Les chercheurs de Mandiant ont réussi à identifier la manière dont le groupe UNC3944 a adapté ses stratégies pour mener des attaques plus sophistiquées. Le groupe de cybercriminels est connu pour cibler des entreprises et des organisations à travers le monde, exploitant les vulnérabilités des systèmes informatiques pour voler des données sensibles et causer des dommages importants.

Ces nouvelles informations sur les modes opératoires de UNC3944 sont d’une grande importance pour la communauté de la cybersécurité, car elles permettent de mieux comprendre les tactiques des cybercriminels et donc de mettre en place des mesures de défense plus efficaces.

Selon les experts de Mandiant, UNC3944 a modifié ses techniques d’attaque pour devenir plus imprévisible et difficile à détecter. Le groupe a également commencé à utiliser de nouveaux outils et logiciels malveillants pour infiltrer les systèmes de ses cibles.

Les chercheurs de Mandiant ont également découvert que UNC3944 a commencé à exploiter des failles de sécurité plus complexes et moins connues, ce qui rend leur détection et leur prévention encore plus difficile.

Ces nouvelles tactiques du groupe de cybercriminels UNC3944 montrent l’évolution constante des menaces en matière de cybersécurité. Les entreprises et les organisations doivent donc rester vigilantes et continuer à investir dans des solutions de sécurité informatique robustes pour se protéger contre ces menaces.

En révélant les nouvelles méthodes de UNC3944, Mandiant espère aider la communauté de la cybersécurité à anticiper et à prévenir les futures attaques de ce groupe de cybercriminels. La société encourage également les entreprises à partager leurs propres expériences et connaissances en matière de cybersécurité pour contribuer à la lutte collective contre les cybercriminels.

En conclusion, la divulgation par Mandiant des dernières tactiques de UNC3944 souligne l’importance de la coopération et de l’échange d’informations dans le domaine de la cybersécurité. Cela permet non seulement de renforcer les défenses contre les cyberattaques, mais aussi de sensibiliser davantage aux menaces en constante évolution dans le paysage numérique.

par | Juil 9, 2024 | Tech | 0 commentaires

titre réécrit : unc3944 : mandiant dévoile les nouvelles tactiques

Le groupe de cybercriminels UNC3944, notoire pour ses actions nuisibles axées sur le SIM swapping, emploie une multitude de stratégies, méthodes et procédures. Leur dernière manoeuvre en cours est l’augmentation des droits d’accès sur les plateformes vSphere et Azure, en utilisant des logiciels d’authentification unique pour établir des machines virtuelles compromises, leur permettant ainsi de poursuivre leurs activités de surveillance.

UNC3944, également connu sous les noms de Scattered Spider, 0ktapus, Octo Tempest ou Scatter Swine, est un groupe de cybercriminels très agiles. Ce groupe est surveillé par Mandiant depuis mai 2022, et il est spécialisé dans les attaques par échange de SIM et l’ingénierie sociale ciblant les services clients des entreprises de télécommunications et de sous-traitance de processus métiers. Un rapport récent de cette filiale de Google Cloud spécialisée en cybersécurité a révélé que ce groupe de cybercriminels a ciblé des applications SaaS au cours des 10 derniers mois, et a donné un aperçu de ses méthodes, techniques et procédures (TTP) changeantes en fonction des objectifs visés.

« Un aspect de ces intrusions implique une méthode de persistance plus agressive qui se produit par la création de nouvelles machines virtuelles », indique le fournisseur. « Dans plusieurs cas, Mandiant a observé que UNC3944 accède à vSphere et Azure, en utilisant des applications d’authentification unique, pour créer de nouvelles machines virtuelles à partir desquelles ils ont mené toutes les activités de suivi. Ce qui est important ici, c’est l’observation de l’abus des groupes d’administration ou des permissions normales des administrateurs liées aux applications SSO pour créer ensuite cette méthode de persistance. » Une fois créées, ces nouvelles VM sont reconfigurées avec différents outils tels que MAS_AIO et privacy-script.bat pour désactiver certains garde fous de protection de vie privée et de sécurité dont Microsoft Defender.

Déploiement du ransomware ALPHV sur les hyperviseurs ESXI

Ensuite, le groupe de cybercriminels télécharge des outils tels que Mimikatz, ADRecon et divers outils de tunnelisation secrète comme NGROK, RSOCX et Localtonet. L’objectif ? Accéder à un système sans avoir à utiliser de VPN ou de MFA. D’autres outils ont également été utilisés pour leur activité de compromission, y compris l’installation de bibliothèques Python, comme IMPACKET. Pour contourner les contrôles d’authentification, UNC3944 utilise un fichier ISO (PCUnlocker) qui est attaché à des machines virtuelles existantes via l’appliance vCenter pour réinitialiser les mots de passe des administrateurs locaux, ce qui permet de contourner les contrôles de domaine normaux. « Cette ISO nécessite un redémarrage et une modification des paramètres du BIOS pour démarrer dans cette image montable afin de contourner efficacement les contrôles de domaine. La surveillance du temps de fonctionnement des machines virtuelles, voire de brefs impacts, permettrait d’éventuelles possibilités de détection », explique Mandiant.

A découvrir :  Impossible de réécrire le titre car il s'agit d'un lien URL et non d'un titre d'article.

Dans le cadre de son enquête, la société de cybersécurité a également découvert que le groupe de cybercriminels déployait le ransomware ALPHV contre les systèmes de fichiers des machines virtuelles, sur les hyperviseurs ESXI eux-mêmes, afin de provoquer des actions destructrices au sein d’un environnement. « En conséquence, les machines virtuelles déployées par l’attaquant sont généralement cryptées et les preuves d’activités au sein du réseau sont détruites », avertit Mandiant. Bien que la filiale de Google n’ait observé aucune exploitation de ce vecteur d’attaque depuis le début de l’année, elle appelle tout de même à la vigilance : « des preuves ont montré que l’activité observée dans les environnements des victimes visait principalement à découvrir l’infrastructure clé et les cibles potentielles d’exfiltration, telles que les bases de données et le contenu web. Une fois localisées, les données ont été exfiltrées via ces machines virtuelles vers diverses ressources à haute réputation telles que Google Cloud Platform et Amazon Web Services », poursuit Mandiant.

Utilisation d’identifiants volés pour accéder à des applications SaaS

Dans son rapport, la filiale de Google Cloud a également révélé que UNC3944 a utilisé des identifiants volés pour accéder à des applications SaaS protégées par des fournisseurs SSO. Cela a conduit à des accès illégitimes à de nombreuses applications AWS, Azure, Crowdstrike, CyberArk, GCP, Salesforce, vCenter ou encore Workday. Mandiant a observé l’utilisation d’outils de détection et de réponse pour tester l’accès à l’environnement et une exfiltration de données via des utilitaires de synchronisation cloud, tels qu’Airbyte et Fivetran pour les déplacer par exemple sur des buckets S3 contrôlés par le groupe de cybercriminels.

Mais face à l’évolution des modes opératoires de UNC3944, les entreprises ne sont pas entièrement sans défense. Mandiant recommande plusieurs actions pour limiter la persistance et les capacités d’accès de ses attaques sur un environnement cible. La société conseille l’utilisation à la fois de certificats basés sur l’hôte et d’une authentification multifactorielle pour tout accès VPN. « De plus, la mise en place de politiques d’accès conditionnel plus strictes pour contrôler ce qui est visible à l’intérieur d’une instance cloud peut limiter l’impact global », assure Mandiant. Parmi les autres recommandations : « une surveillance accrue des applications SaaS, afin de centraliser les journaux des applications SaaS importantes, les enregistrements MFA et l’infrastructure des machines virtuelles, en particulier en ce qui concerne le temps de fonctionnement et la création de nouveaux systèmes […] Pour les applications contenant des informations propriétaires ou protégées, s’assurer que les entreprises disposent d’une solide capacité de journalisation que leurs équipes de sécurité peuvent examiner pour détecter des signes d’intention malveillante. »

Derniers articles catégorie "Tech"

alain-barru
Mathilde Précault

Auteur

Mathilde Précault est une figure passionnée et reconnue dans le monde de la formation en technologies et compétences numériques pour les entreprises. Dotée d'une expertise approfondie en matière de nouvelles technologies, Mathilde a consacré sa carrière à aider les professionnels à naviguer et à exceller dans le paysage numérique en constante évolution. Sa pédagogie unique, alliant théorie et pratique, permet aux apprenants de tous niveaux d'acquérir des compétences essentielles, de la maîtrise des outils de base à l'exploration des dernières innovations technologiques. En tant qu'autrice pour Techdécouverte.com, Mathilde partage ses connaissances et son enthousiasme pour la technologie, offrant aux lecteurs des perspectives enrichissantes et des conseils pratiques pour rester à la pointe de l'ère numérique

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *