Les chercheurs de la NSA et du CISA ont évalué le niveau de sécurité de plus de 1000 segments réseau, principalement dans des environnements Microsoft Windows et Active Directory au sein du ministère de la défense (DoD), de l’administration civile fédérale (FCEB), des gouvernements étatiques, locaux, tribaux et territoriaux (SLTT) et du secteur privé.
À la suite de leur investigation, les deux agences américaines ont publié un avis dans lequel ils identifient les 10 principales erreurs de configurations de sécurité comprenant :
- Les configurations par défaut des logiciels et applications ;
- Les séparations inadéquates des privilèges utilisateur/administrateur ;
- La surveillance insuffisante du réseau interne ;
- Le manque de segmentation du réseau ;
- La mauvaise gestion des correctifs ;
- Le contournement des contrôles d’accès au système ;
- Les méthodes d’authentification multifacteur (
MFA) faibles ou mal configurées ; - Les listes de contrôle d’accès (
ACL) insuffisantes sur les partages et les services réseau ; - La mauvaise hygiène des informations d’identification ;
- L’exécution de code sans restriction.
Les chercheurs ont également détaillé les Techniques, Tactiques et Procédures (TTPs) utilisées par les attaquants et proposent des mesures d’atténuation pour chaque erreur répertoriée. Les erreurs de configuration sont effectivement régulièrement identifiées et exploitées par les acteurs de la menace pour obtenir un accès initial au réseau ciblé.
Parmi les récentes attaques de ce type, trois ont retenu notre attention :
Une Campagne d’attaques de type AiTM (adversary-in-the-middle) par Storm-1167 cible le secteur bancaire
Les chercheurs de Microsoft auraient observé une campagne d’attaques exploitant des techniques de phishing de type AiTM (adversary-in-the-middle) et BEC (business email compromise), abusant des relations de confiance entre des vendeurs et des fournisseurs à des fins de fraude financière.
L’utilisation d’un proxy indirect aurait permis aux attaquants d’adapter les pages de phishing en fonction des centres d’intérêt des cibles pour voler les cookies de session. Une fois connectés avec les cookies volés par le biais d’une attaque par relecture de session, les acteurs de la menace auraient exploité la mauvaise configuration du processus d’authentification multifactorielle (MFA) pour changer les identifiants. Une seconde campagne de phishing aurait ensuite été lancée. Plus de 16 000 courriels auraient ainsi été envoyés à partir des comptes initialement compromis.
Le mode opératoire Storm-1167 aurait utilisé un kit de phishing AiTM sur mesure, basé sur un proxy capable de contourner l’authentification multifacteur (MFA). Par cette technique, le mode opératoire n’a pas besoin d’usurper l’identité graphique de sites légitimes, puisque son objectif est de rediriger l’ensemble du flux d’authentification de façon transparente entre la victime et la ressource souhaitée. Cette technique permet de récupérer le nom d’utilisateur, le mot de passe mais également un token valide d’authentification via le vol du cookie de session et permet donc à l’attaquant de se passer de l’authentification MFA.
TeamTNT cible les instances cloud à des fins de cryptomining et de vol de données
Les chercheurs de SentinelOne et Permiso ont détecté au mois de juin 2023 une campagne d’attaques sophistiquée associée à TeamTNT. Le mode opératoire a exploité à plusieurs reprises les mauvaises configurations et les vulnérabilités des services cloud d’Amazon Web Services (AWS), d’Azure et la Google Cloud Platform (GCP) à des fins de cryptomining et vol de données.
D’après les investigations de SentinelOne et Permiso, le mode opératoire a commencé à cibler les services Docker exposés depuis le mois dernier, en utilisant des scripts shell modifiés qui sont conçus pour déterminer l’environnement dans lequel ils se trouvent, établir le profil des systèmes, rechercher des fichiers d’informations d’identification et les exfiltrer. Les scripts observés par les chercheurs contiennent également une fonction permettant de collecter des détails sur les variables d’environnement, probablement utilisés pour déterminer s’il existe d’autres services importants sur le système à cibler ultérieurement.
Une fois les instances cloud compromises, TeamTNT diffuse un ver conçu pour faciliter le vol d’identifiants, le détournement de ressources et le déploiement d’une backdoor appelée Tsunami. TeamTNT fournit désormais un binaire ELF basé sur Golang qui dépose et exécute un autre script shell pour analyser une plage spécifiée par l’attaquant et se propager à d’autres instances vulnérables. Ce mécanisme de propagation cherche des systèmes répondant à un user-agent spécifique de la version de Docker.
La société Sysdig a mis à jour la semaine dernière un rapport publié pour la première fois en décembre, avec de nouveaux détails sur la campagne ScarletEel de vol d’informations d’identifiants dans le cloud et de cryptomining ciblant les services AWS et Kubernetes, que SentinelOne et Permiso ont liée à l’activité de TeamTNT. Sysdig a déterminé que l’un des principaux objectifs de la campagne est de voler des informations d’identification AWS et de les utiliser pour exploiter davantage les services Kubernetes.
Si TeamTNT s’est d’abord concentré sur des campagnes de cryptomining, le mode opératoire associé à l’acteur de la menace a récemment étendu ses activités au vol de données et au déploiement de backdoors, comme en témoigne la dernière campagne d’attaques observée par SentinelOne. Ces observations s’ajoutent à celles d’Aqua Security, ayant récemment détecté une activité malveillante ciblant les API Docker et JupyterLab orientées vers le public.
Erreurs de configuration dans les clusters de Kubernetes
Le 8 août 2023, les chercheurs d’Aquasec ont signalé une augmentation alarmante des erreurs de configuration de Kubernetes. Leurs investigations ont notamment révélé une erreur non-référencée dans les clusters Kubernetes. Plus de 350 organisations auraient été affectées par cette faille de sécurité, menant à la distribution de malwares. 60% des attaques observées par Aquasec étaient liées à des activités de cryptomining.
Parmi les principales erreurs de configuration identifiées par Aquasec, la première concerne l’octroi d’un accès anonyme avec privilèges, pouvant entraîner une intrusion non autorisée au sein du cluster Kubernetes, compromettant non seulement le cluster lui-même, mais aussi d’autres composants critiques du cycle de vie du développement logiciel (SDLC) de l’organisation ciblée. La deuxième erreur de configuration majeure consiste à exécuter la commande kubectl proxy avec certains arguments qui exposent par inadvertance le cluster à Internet.
Ces mauvaises configurations ont permis aux attaquants d’accéder à des ressources sensibles au sein du cluster Kubernetes, notamment des :
- Données clients,
- Dossiers financiers,
- Propriétés intellectuelles,
- Identifiants d’accès,
- Configurations des images de conteneurs,
- Clés de chiffrement, certificats, et bien plus encore.
Références
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a
- https://www.bleepingcomputer.com/news/security/nsa-and-cisa-reveal-top-10-cybersecurity-misconfigurations/
- https://www.sentinelone.com/labs/cloudy-with-a-chance-of-credentials-aws-targeting-cred-stealer-expands-to-azure-gcp/
- https://blog.aquasec.com/kubernetes-exposed-one-yaml-away-from-disaster
- https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article
