La CISA a réagi à un incident de cybersécurité dans une agence fédérale américaine après que son outil de détection et de réponse des points d'extrémité a signalé une activité suspecte. L'agence a été compromise en exploitant la CVE-2024-36401 dans deux GeoServers. Cette vulnérabilité, divulguée peu avant son exploitation, a permis aux attaquants d'obtenir l'exécution de code à distance. Les attaquants sont restés indétectés pendant trois semaines, période pendant laquelle ils se sont déplacés latéralement vers d'autres serveurs. Les principales leçons tirées de cet engagement mettent en évidence des défaillances critiques en matière de sécurité. La remédiation rapide des vulnérabilités, en particulier dans les systèmes exposés au public, est essentielle. Les organisations doivent tester et mettre à jour régulièrement leurs plans de réponse aux incidents, en veillant à ce qu'ils facilitent l'assistance de tiers. L'examen continu des alertes de détection et de réponse des points d'extrémité est crucial pour la détection rapide des menaces. La mise en œuvre d'une journalisation complète et centralisée est également essentielle pour une analyse efficace des incidents. Les attaquants ont utilisé des outils disponibles publiquement pour la reconnaissance, le développement de ressources et diverses étapes de leur attaque. Ils ont utilisé des web shells, des cron jobs et des comptes valides pour la persistance. Des tentatives d'escalade de privilèges ont été effectuées à l'aide d'exploits Linux connus. Les tactiques d'évasion de la défense comprenaient l'exécution indirecte de commandes et l'utilisation d'outils tels que RingQ. L'accès aux identifiants a été obtenu par des techniques de force brute et l'exploitation de comptes de service. Les efforts de découverte comprenaient la numérisation du réseau et des outils d'évaluation des vulnérabilités. La CISA fournit des indicateurs de compromission et des détails techniques pour aider les organisations à prévenir des attaques similaires.

"Cette mise en garde, émise par plusieurs agences internationales de cybersécurité, détaille les cyberattaques parrainées par l'État chinois ciblant les réseaux mondiaux. Ces attaques, souvent liées à des entités chinoises spécifiques, se concentrent sur les réseaux de télécommunications, de gouvernement et d'infrastructure. Les attaquants compromettent des appareils, y compris des routeurs, pour obtenir un accès initial, puis basculent vers d'autres réseaux en utilisant des connexions de confiance. Ils exploitent des vulnérabilités connues, en particulier sur les appareils de périphérie, et exploitent activement de nouvelles vulnérabilités découvertes. Les techniques incluent la modification des contrôles d'accès, l'ouverture de ports et l'utilisation de tunnels pour maintenir un accès persistant, souvent en dissimulant leur véritable origine. L'objectif est de voler des données pour l'espionnage, y compris le suivi des communications et des déplacements. La mise en garde fournit des détails sur les tactiques, les techniques et les procédures (TTP) et encourage les défenseurs de réseaux à mettre en œuvre des mesures d'atténuation. Plusieurs groupes de menaces connus sont liés à cette activité, bien que la mise en garde utilise un terme générique "acteurs APT". Les attaquants exploitent plusieurs vulnérabilités CVE, notamment celles ciblant les produits Cisco, Palo Alto et Ivanti. Les organisations sont invitées à signaler les détails de la compromission pour améliorer la défense collective."

L'Agence de cybersécurité et de sécurité des infrastructures (CISA) et la Garde côtière américaine (USCG) ont mené une chasse à la cybersécurité au sein d'une organisation d'infrastructure critique. Cet avis partage leurs conclusions afin d'aider d'autres organisations à améliorer leur posture de sécurité. Bien qu'aucune activité malveillante n'ait été découverte, plusieurs risques en matière de cybersécurité ont été identifiés. Il s'agissait notamment d'une journalisation insuffisante, d'identifiants stockés de manière non sécurisée et d'identifiants d'administrateur local partagés. L'organisation disposait également d'un accès à distance sans restriction pour les comptes d'administrateur local. De plus, il y avait une segmentation réseau insuffisante entre les actifs informatiques et les technologies opérationnelles (OT), ainsi que plusieurs mauvaises configurations d'appareils. Des recommandations de mitigation ont été fournies, conformément aux objectifs de performance en matière de cybersécurité de la CISA et du NIST. Les mesures d'atténuation clés impliquent la gestion sécurisée des identifiants, l'évitement du stockage en texte brut et l'application du principe du moindre privilège. Il est instamment demandé aux organisations de mettre en œuvre ces mesures pour prévenir les compromissions potentielles. Des mots de passe administrateur uniques et une authentification multifacteur pour tout accès administratif sont cruciaux. Des politiques strictes devraient être appliquées pour l'accès aux réseaux OT, en utilisant des hôtes bastion durcis. Une journalisation complète et détaillée sur tous les systèmes est également recommandée.

Le ransomware Interlock, apparu pour la première fois à la fin septembre 2024, cible les entreprises et les infrastructures critiques en Amérique du Nord et en Europe. Ce ransomware motivé par des gains financiers utilise un modèle d'extorsion double, chiffrant les données après exfiltration. L'accès initial est obtenu par des méthodes inhabituelles telles que des téléchargements par drive-by à partir de sites web compromis et de l'ingénierie sociale, en particulier la technique ClickFix. Après l'infection, Interlock utilise divers outils pour la reconnaissance, le vol d'informations d'identification et le mouvement latéral dans le réseau. Le ransomware cible principalement les machines virtuelles, chiffrant les fichiers avec des extensions .interlock ou .1nt3rlock. Les demandes de rançon ne sont pas initialement affichées, mais sont communiquées via un code unique et une URL .onion après contact avec les victimes. Le FBI, CISA, HHS et MS-ISAC publient cet avis pour partager des indicateurs de compromission et des tactiques, techniques et procédures pour aider aux efforts de mitigation. L'avis met en avant l'importance de mettre en œuvre des outils de détection et de réponse robustes pour les points de terminaison (EDR) pour se protéger contre Interlock. Des similarités entre Interlock et le ransomware Rhysida sont notées. Les organisations sont encouragées à suivre les recommandations de mitigation fournies pour réduire les risques. L'avis se conclut avec un tableau listant les outils utilisés par les acteurs.

L'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) publie un avis en réponse aux acteurs de ransomware qui utilisent des instances non corrigées d'une vulnérabilité dans SimpleHelp Remote Monitoring and Management (RMM) pour compromettre les clients d'un fournisseur de logiciel de facturation d'utilité. Les acteurs de ransomware ciblent les organisations depuis janvier 2025 à travers des versions non corrigées de SimpleHelp RMM. Les versions 5.5.7 de SimpleHelp et antérieures contiennent plusieurs vulnérabilités, notamment CVE-2024-57727, qui est une vulnérabilité de traversal de chemin. La CISA a ajouté CVE-2024-57727 à son catalogue des vulnérabilités exploitées connues (KEV) le 13 février 2025. La CISA exhorte les vendeurs de logiciels, les clients en aval et les utilisateurs finaux à mettre en œuvre immédiatement les mesures d'atténuation recommandées en cas de compromission confirmée ou de risque de compromission. Les mesures d'atténuation incluent l'isolement de l'instance du serveur SimpleHelp de l'internet ou l'arrêt du processus du serveur, la mise à jour vers la dernière version de SimpleHelp et la réalisation d'actions de chasse aux menaces pour détecter des signes de compromission. La CISA recommande également la mise en œuvre de mesures d'atténuation proactives pour réduire les risques, comme la tenue d'un inventaire des actifs robuste, la réalisation de sauvegardes système quotidiennes et l'établissement de canaux de communication ouverts avec les fournisseurs tiers. Si un système a été chiffré par du ransomware, la CISA recommande de déconnecter le système affecté de l'internet, de réinstaller le système d'exploitation, de nettoyer le système et de restaurer les données à partir d'une sauvegarde propre.

Le FBI et la CISA ont publié un avis conjoint sur le malware LummaC2, qui peut infiltrer les réseaux informatiques et exfiltrer des informations sensibles d'individus et d'organisations dans plusieurs secteurs d'infrastructure critique des États-Unis. Le malware a été observé récemment en mai 2025, avec des indicateurs de compromis remontant à novembre 2023. LummaC2 est généralement déployé à travers des liens et des pièces jointes de phishing ciblés, et peut contourner les mesures de sécurité informatique standard. Une fois infecté, le malware peut exfiltrer des informations sensibles d'utilisateur, notamment des informations personnelles, des informations d'identification personnelle, des coordonnées bancaires et des détails d'authentification multifactorielle. Le malware utilise un serveur de commande et de contrôle pour recevoir des instructions, et peut voler des données, prendre des captures d'écran et se supprimer lui-même. L'avis comprend des indicateurs de compromis, et recommande que les organisations enquêtent et vérifient ces indicateurs avant de prendre des mesures. Le FBI et la CISA encouragent les organisations à mettre en œuvre les recommandations du chapitre Mitigations de l'avis pour réduire la probabilité et l'impact du malware LummaC2. L'avis utilise le framework MITRE ATT&CK Matrix for Enterprise pour mapper l'activité des acteurs de menace à des tactiques et des techniques. Le malware LummaC2 a été observé à la vente sur des forums de cybercriminels russophones depuis 2022, et a été utilisé pour voler des informations sensibles à plus de 21 000 victimes.

Le flux rapide est une technique malveillante où les attaquants modifient rapidement les enregistrements DNS pour cacher l'emplacement de leurs serveurs et éviter la détection. Cela pose une menace significative pour la sécurité nationale, permettant aux cybercriminels et aux acteurs étatiques de maintenir une infrastructure de commandement et de contrôle (C2) résiliente. L'avis, publié conjointement par plusieurs agences, met en garde les organisations et les fournisseurs de services contre les activités malveillantes activées par le flux rapide. Il exhorte les fournisseurs, en particulier les fournisseurs de DNS publics, à développer des capacités de détection et de blocage du flux rapide. Le document fournit des conseils sur la détection et la mitigation du flux rapide en utilisant l'analyse DNS, la surveillance du réseau et l'intelligence menaçante. Le flux rapide utilise des techniques telles que le flux simple et double, en utilisant des hôtes compromis et des botnets pour le proxying. Cela facilite la résilience, l'anonymat et la circumvention efficace du blocage d'adresses IP, permettant ainsi le phishing et les marchés malveillants. L'avis recommande une approche en couches pour la détection, incluant les flux d'intelligence menaçante, la détection d'anomalies et l'analyse TTL. Les stratégies de mitigation impliquent le blocage des domaines et des adresses IP malveillants, la filtration de réputation et la surveillance renforcée. La collaboration et le partage d'informations sont essentiels pour défendre contre le flux rapide.

En 2023, des acteurs cyber malveillants ont exploité plus de vulnérabilités zero-day pour compromettre les réseaux d'entreprise, leur permettant de mener des opérations contre des cibles de haute priorité. La majorité des vulnérabilités les plus fréquemment exploitées ont été initialement exploitées comme vulnérabilités zero-day, ce qui représente une augmentation par rapport à 2022. Les agences d'autorité, notamment la CISA, le FBI, la NSA, l'ACSC, le CCCS, le NCSC-NZ et le CERT NZ, ont élaboré ce conseil de sécurité conjoint pour fournir des détails sur les 15 vulnérabilités les plus exploitées par des acteurs cyber malveillants en 2023. Ces vulnérabilités incluent l'injection de code, le débordement de tampon, l'élévation de privilèges, l'injection de commandes, l'injection SQL, le contrôle d'accès brisé, l'exécution de code à distance, la validation d'entrée incorrecte et la divulgation d'informations. Le conseil fournit également des recommandations pour les vendeurs, les concepteurs, les développeurs et les organisations d'utilisateurs finals pour réduire le risque de compromission par des acteurs cyber malveillants.

Microsoft a publié des mises à jour de sécurité pour résoudre les vulnérabilités dans plusieurs produits. Un acteur de la menace cyber pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d'un système affecté. La CISA encourage les utilisateurs et les administrateurs à examiner ce qui suit et à appliquer les mises à jour nécessaires : Guide de mise à jour de sécurité Microsoft pour octobre

CISA a mis à jour son catalogue des vulnérabilités exploitées connues avec une nouvelle vulnérabilité, CVE-2024-8963, qui est une vulnérabilité de parcours de chemin dans l'appliance de services cloud Ivanti (CSA). Ce type de vulnérabilité est fréquemment exploité par des acteurs malveillants et pose un risque significatif pour l'entreprise fédérale. Le catalogue des vulnérabilités exploitées connues a été établi par la directive opérationnelle contraignante (DOC) 22-01 pour identifier et traiter les vulnérabilités qui présentent des risques significatifs pour l'entreprise fédérale. La DOC 22-01 exige que les agences de la branche exécutive civile fédérale (FCEB) remédient aux vulnérabilités identifiées d'ici la date d'échéance spécifiée pour protéger leurs réseaux contre les menaces actives. CISA exhorte vivement toutes les organisations à accorder la priorité à la réparation rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités. Le catalogue des vulnérabilités exploitées connues est une liste vivante des vulnérabilités CVE connues qui présentent des risques significatifs pour l'entreprise fédérale. CISA continuera d'ajouter des vulnérabilités au catalogue qui répondent aux critères spécifiés. La fiche d'information sur la DOC 22-01 fournit plus d'informations sur la directive.

Le FBI, CISA et NSA ont identifié l'unité GRU 29155 de la Russie comme responsable des opérations cyber contre des entités mondiales depuis 2020, visant l'espionnage, le sabotage et la réputation. Cette unité, distincte d'autres groupes cyber GRU, a déployé le malware destructeur WhisperGate contre des organisations ukrainiennes en janvier 2022. Pour atténuer cette menace, les organisations doivent privilégier les mises à jour système, la segmentation du réseau et l'authentification à plusieurs facteurs. Ce guide pratique expose les tactiques, techniques et procédures employées par l'unité 29155, y compris leur utilisation d'outils et de vulnérabilités publics. Le FBI estime que les acteurs cyber de l'unité 29155 sont de jeunes officiers GRU qui gagnent de l'expérience à travers des opérations cyber et comptent sur des individus non-GRU pour leur soutien. L'industrie de la cybersécurité suit ce groupe sous divers noms, tels que Cadet Blizzard, Ember Bear et Frozenvista. En plus de l'Ukraine, l'unité 29155 a ciblé des membres de l'OTAN et d'autres pays en Europe, en Amérique latine et en Asie centrale. Leurs activités comprennent des défacements de sites web, des scans d'infrastructure, des exfiltrations de données et des fuites de données publiques. Depuis le début de 2022, leur focus s'est déplacé vers la perturbation de l'aide à l'Ukraine. Le FBI a observé plus de 14 000 instances de scan de domaine dans 26 pays membres de l'OTAN et plusieurs pays de l'UE. L'unité 29155 cible les secteurs d'infrastructure critique, y compris les services gouvernementaux, la finance, les transports, l'énergie et la santé. Leurs techniques de reconnaissance comprennent l'utilisation d'outils comme Acunetix, Amass, MASSCAN et Shodan pour scanner les vulnérabilités et collecter des informations. Ils ont été observés en train d'obtenir des scripts d'exploitation pour divers CVE et de les utiliser pour accéder initialement. Le groupe utilise fréquemment des techniques de red teaming courantes et des outils publics, comptant sur les forums sombres pour obtenir des malwares et des chargeurs. Ils ont exploité des vulnérabilités dans les caméras IP Dahua pour contourner l'authentification et ont exfiltré des données. L'unité 29155 a employé diverses méthodes pour le mouvement latéral, y compris l'utilisation de Shodan pour identifier les appareils IoT et l'exploitation de vulnérabilités dans les caméras IP pour accéder et vider les paramètres de configuration. Le guide pratique fournit une liste d'indicateurs de compromission (IOCs) pour aider à identifier et à atténuer les menaces potentielles associées à ce groupe.

L'avis conjoint de sécurité informatique du FBI, de la CISA, du MS-ISAC et du HHS vise à fournir des informations sur la variante de ransomware RansomHub, qui a été identifiée comme un modèle de ransomware-as-a-service qui a attiré des affiliés de premier plan d'autres variantes notables. RansomHub a chiffré et exfiltré des données de au moins 210 victimes dans divers secteurs. Les affiliés utilisent des e-mails de phishing, exploitent des vulnérabilités connues et des attaques de type 'password spraying' pour accéder initialement au système. Ils effectuent ensuite des scans de réseau, désactivent les produits antivirus et se déplacent à l'intérieur du réseau en utilisant des outils tels que Mimikatz, Cobalt Strike et d'autres. Les méthodes d'exfiltration des données varient, mais incluent des outils comme PuTTY, des buckets AWS S3 et des requêtes HTTP POST. Le ransomware utilise un algorithme de cryptographie elliptique pour chiffrer les fichiers, en ajoutant une clé unique et un checksum à la fin de chaque fichier. L'exécutable du ransomware ne chiffre pas les fichiers exécutables et supprime les copies d'ombre de volume pour empêcher la récupération du système.

Le FBI, la CISA et le DC3 mettent en garde contre les acteurs cyber iraniens qui exploitent des organisations américaines et étrangères pour des attaques de ransomware. Ces acteurs exploitent les vulnérabilités des appareils distants, comme CVE-2024-3400, CVE-2024-24919 et CVE-2023-3519, pour accéder initialement au réseau. Une fois à l'intérieur, ils créent des comptes, désactivent les logiciels de sécurité et élargissent leurs privilèges. Ils collaborent avec des affiliés de ransomware, y compris NoEscape, Ransomhouse et ALPHV (également connu sous le nom de BlackCat), pour faciliter les opérations d'encryption. Le FBI estime que ces acteurs sont parrainés par l'État et s'engagent dans des activités d'espionnage, y compris le vol de données, pour soutenir le gouvernement de l'Iran. Les victimes comprennent des organisations dans les secteurs de l'éducation, de la finance, de la santé, de la défense et du gouvernement. Les mesures d'atténuation incluent la mise à jour des appareils vulnérables, la mise en œuvre de politiques de confiance zéro et la surveillance de l'activité du réseau pour détecter tout comportement suspect. Si une organisation est compromise, elle doit contacter le FBI ou signaler l'incident à la CISA.

Meilleures pratiques en matière de journalisation des événements pour la mitigation des menaces cyber Ce guide définit les meilleures pratiques en matière de journalisation des événements afin d'améliorer la sécurité cyber et la visibilité du réseau, en abordant les défis tels que les techniques de "vivre sur le terrain" utilisées par les acteurs malveillants. Quatre facteurs clés pour une journalisation efficace - Politique de journalisation des événements approuvée par l'entreprise : Établit une approche cohérente à la journalisation dans tous les environnements. - Accès centralisé aux journaux d'événements et corrélation : Permet une surveillance et une analyse efficaces des journaux d'événements. - Stockage sécurisé et intégrité des journaux d'événements : Préserve l'intégrité et l'accessibilité des journaux d'événements. - Stratégie de détection pour les menaces pertinentes : Cible la journalisation sur l'identification des activités malveillantes et des indicateurs de compromission. Qualité des journaux d'événements - Les journaux d'événements de haute qualité fournissent des informations détaillées sur les événements de sécurité, aidant à l'identification des incidents et à la détection des menaces. - Les considérations pertinentes pour la détection LOTL incluent la capture de journaux sur des commandes et des outils spécifiques utilisés par les acteurs malveillants. Détails des journaux d'événements capturés - Les journaux d'événements doivent contenir suffisamment d'informations pour que les défenseurs du réseau puissent enquêter et répondre aux incidents, y compris les timestamps, les types d'événements et les identifiants de système. - L'utilisation de paires clé-valeur pour la mise en forme des données simplifie l'analyse des journaux. Considérations sur la technologie opérationnelle - Les appareils OT ont souvent des capacités de journalisation limitées, nécessitant des solutions supplémentaires ou des communications de journalisation hors bande. Consistance et synchronisation - Les formats de journalisation cohérents et les timestamps synchronisés entre les systèmes facilitent la recherche et la corrélation des journaux. - Les sources de temps précises aident à identifier les liens entre les événements. Ressources supplémentaires - Le manuel de sécurité de l'information de l'ASD : Fournit des lignes directrices pour l'enregistrement des journaux d'événements. - La directive M-21-31 du CISA : Décrit les priorités pour la collecte des journaux. - Le guide de sécurité OT du NIST : Aborde les considérations spécifiques à la journalisation des événements OT.

CISA a ajouté six nouvelles vulnérabilités à son catalogue des vulnérabilités exploitées connues, y compris des vulnérabilités dans Microsoft Project, le moteur de script Windows et le noyau Windows. Ces vulnérabilités sont activement exploitées et présentent des risques significatifs pour les agences fédérales et les organisations. Le BOD 22-01 exige que les agences FCEB remédient à ces vulnérabilités d'ici des dates d'échéance spécifiées. Bien que le BOD 22-01 ne s'applique qu'aux agences FCEB, CISA recommande à toutes les organisations de prioriser la remédiation des vulnérabilités du catalogue pour réduire les risques d'attaque informatique. CISA continuera de mettre à jour le catalogue avec des vulnérabilités qui répondent à des critères spécifiques d'exploitation active.

Le FBI et ses partenaires alertent les organisations d'une activité de cyber-espionnage en cours menée par le Bureau de renseignement 3 du Bureau de renseignement de la Corée du Nord (RGB), connu sous le nom d'Andariel. Ce groupe cible les entités de défense, aéronautique, nucléaire et d'ingénierie pour acquérir des informations techniques sensibles pour les programmes militaires et nucléaires de Pyongyang. Le groupe mène des campagnes de phishing et exploite des vulnérabilités logicielles, telles que Log4j, pour accéder initialement aux réseaux. Ils utilisent des implants de malware personnalisés et des outils open-source pour le mouvement latéral, l'exfiltration de données et l'accès à distance. Le groupe finance ses opérations par des attaques de ransomware contre des entités de santé américaines. Les organisations d'infrastructure critique sont invitées à corriger les vulnérabilités, à protéger les serveurs web contre les shells web et à renforcer les protections d'authentification et d'accès à distance. La victimologie inclut des chars lourds, des avions de chasse, des sous-marins, des centrales nucléaires et la technologie de construction navale. Les techniques du groupe s'alignent sur le cadre MITRE ATT&CK, y compris la reconnaissance, l'exploitation et l'exécution. En partageant ce rapport, les agences auteurs visent à aider les organisations à se défendre contre les activités de cyber-espionnage malveillantes d'Andariel.

CISA a mené une évaluation SILENTSHIELD sur une organisation du gouvernement fédéral civil, simulant des opérations cyber de l'État-nation. L'équipe rouge a obtenu l'accès initial via une vulnérabilité de serveur web non corrigée et a ensuite compromis le réseau Windows via une attaque de phishing. L'équipe a pleinement compromis le domaine et a pivoté vers une organisation externe, soulignant l'importance de la défense en profondeur. L'organisation n'avait pas suffisamment de contrôles pour prévenir et détecter les activités malveillantes, une collecte et une analyse de logs inefficaces, et des barrières bureaucratiques entravant les défenseurs du réseau. Les constatations de l'équipe ont mis en évidence la valeur des indicateurs de compromis basés sur le comportement, de l'approche "allowlist" et de la défense en profondeur. CISA recommande d'appliquer ces principes, y compris une segmentation robuste du réseau, la mise en place de la circulation du trafic réseau et la focalisation sur la détection basée sur le comportement. Les fabricants de logiciels sont encouragés à mettre en œuvre des principes de sécurité par conception et à éliminer les mots de passe par défaut pour améliorer la sécurité du réseau. En abordant ces vulnérabilités, les organisations peuvent réduire le risque de compromission du domaine et des activités cyber malveillantes.

Cette note d'orientation détaille les activités et les menaces posées par un groupe de cyber-attaquants parrainé par l'État chinois connu sous le nom d'APT40, ciblant les réseaux australiens et internationaux. Aperçu des activités : - APT40 utilise des techniques sophistiquées pour exploiter les vulnérabilités dans des logiciels populaires (par exemple, Log4J, Atlassian Confluence, Microsoft Exchange) et pénétrer dans les réseaux. - Le groupe compromet souvent des infrastructures vulnérables accessibles au public et utilise des appareils compromis comme infrastructure opérationnelle. - APT40 met l'accent sur l'établissement de la persistance et l'obtention de crédentials valides pour maintenir l'accès. Techniques notables : - APT40 a tendance à utiliser des appareils SOHO (Small Office/Home Office) compromis comme infrastructure C2. - L'utilisation par le groupe d'infrastructures acquises ou louées comme infrastructure C2 a diminué. Outils : - L'ACSC d'ASD a fourni des échantillons de fichiers malveillants pour l'analyse et la détection. Études de cas : - Deux rapports d'enquête anonymisés mettent en évidence les techniques et les pratiques d'APT40. - Dans l'un des cas, l'organisation a été ciblée intentionnellement et des données sensibles ont été exfiltrées. - L'enquête a révélé la capacité du groupe à se déplacer latéralement dans le réseau et à obtenir des crédentials privilégiés. Conclusion : APT40 demeure une menace significative pour les organisations dans le monde entier. Comprendre leurs tactiques, techniques et procédures est crucial pour mettre en œuvre des mesures d'atténuation efficaces.

Cette Cybersecurity Advisory (CSA) vise à fournir des informations sur Black Basta, une variante de ransomware-as-a-service, pour aider les organisations à se protéger. D'abord identifié en avril 2022, Black Basta a touché de nombreuses organisations dans les secteurs d'infrastructure critique à l'échelle mondiale. Les affiliés de Black Basta exploitent des vulnérabilités courantes, telles que des e-mails de phishing et des défauts logiciels, pour accéder aux systèmes des victimes. Ils emploient une tactique de double-extorsion en chiffrant les données et en les volant pour une utilisation future. Les victimes ont un délai pour répondre aux demandes de rançon, généralement communiquées via une URL .onion, ou risquent de voir leurs données publiées sur le site Tor "Basta News". Les acteurs de Black Basta ciblent les organisations de santé en raison de leur nature critique et de leur accès potentiel à des données personnelles sensibles. Les organisations sont fortement encouragées à examiner et à mettre en œuvre les recommandations de mitigation fournies pour renforcer leurs défenses contre Black Basta et d'autres menaces de ransomware similaires. L'avis détaille les tactiques et les techniques de Black Basta, en les cartographiant sur le cadre MITRE ATT&CK pour une compréhension exhaustive. Il expose leurs méthodes d'accès initial, d'élévation de privilèges, d'évasion de défense, d'exécution et des outils utilisés à chaque étape. De plus, le CSA fournit une liste d'indicateurs de compromission (IOCs), y compris des hachages de fichiers associés à Black Basta, aidant les organisations à détecter d'éventuelles infections. Les victimes d'attaques de ransomware Black Basta sont invitées à signaler l'incident au FBI ou à la CISA pour obtenir de l'aide et du soutien.

Cette Cybersecurity Advisory traite du ransomware Akira, en exposant ses tactiques, techniques et procédures, ainsi que les indicateurs de compromis, pour aider les organisations à renforcer leurs défenses. Depuis son apparition en 2023, Akira a ciblé divers secteurs dans le monde entier, affectant plus de 250 organisations et accumulant une somme estimée à 42 millions de dollars en paiements de rançon. Le ransomware exploite les vulnérabilités dans les services VPN, RDP, la phishing ciblée et les informations d'identification compromises pour accéder initialement au système. Après l'infiltration, les acteurs d'Akira établissent une persistance, augmentent leurs privilèges et mènent des recherches au sein du réseau compromis. Ils emploient des techniques d'évasion de défense, y compris la désactivation des logiciels de sécurité, et utilisent un modèle d'extorsion double, exfiltrant des données avant de crypter les systèmes. L'exfiltration des données est réalisée à l'aide d'outils tels que FileZilla, WinRAR et RClone, avec des canaux de commande et de contrôle établis via AnyDesk, MobaXterm et des outils similaires. La cryptographie est réalisée en utilisant une méthode hybride robuste qui combine les algorithmes ChaCha20 et RSA, rendant difficile la récupération du système. Les victimes reçoivent des notes de rançon avec des instructions pour contacter les acteurs menaçants, avec des paiements demandés en Bitcoin. L'avis détaille également les outils utilisés, les indicateurs de compromis et deux variants distincts d'Akira, y compris la nouvelle variante Akira_v2, mettant en évidence ses fonctionnalités améliorées et son évolution.

Le ransomware Phobos, un modèle de ransomware-as-a-service (RaaS), a été observé ciblant les gouvernements d'État, locaux, tribaux et territoriaux, ainsi que les entités d'infrastructure critique, depuis mai 2019. Les acteurs de Phobos utilisent des campagnes de phishing, des outils de scan IP et des attaques de force brute sur les ports RDP exposés pour accéder initialement aux réseaux vulnérables. Ils utilisent également divers outils open source tels que Smokeloader, Cobalt Strike et Bloodhound pour maintenir la persistance et accroître les privilèges dans les environnements compromis. Les variantes de ransomware Phobos, y compris Elking, Eight, Devos, Backmydata et Faust, ont été liées à Phobos en raison de TTP similaires observés dans les intrusions de Phobos. Le ransomware utilise des commandes pour supprimer les copies d'ombre de volume, désactiver le pare-feu Windows et définir la politique de démarrage du système pour ignorer tous les échecs. Il supprime également le catalogue de sauvegarde du système et affiche une note de rançon à l'utilisateur final. Les acteurs de Phobos utilisent divers fournisseurs d'email pour la communication et l'exfiltration, et ils ont été connus pour lister les victimes et héberger des données volées sur des sites onion.

Le SVR, un groupe d'espionnage cybernetique sophistiqué, a adapté ses tactiques pour cibler les infrastructures cloud, en utilisant la force brute, le pulvérisage de mots de passe et en exploitant les comptes système et inactifs. Ils utilisent également des jetons d'accès volés pour contourner les mots de passe et l'authentification à plusieurs facteurs (AMF) par le biais de "bombardements AMF". Pour se défendre contre ces activités, les organisations devraient mettre en œuvre l'authentification à plusieurs facteurs, désactiver les comptes inactifs et appliquer le principe du moindre privilège pour les comptes système et de service. Ils devraient également configurer des politiques d'inscription de dispositifs, surveiller les journaux d'application et d'hôte, et utiliser l'inscription zéro-contact lorsque cela est possible. Le NCSC et les partenaires internationaux ont observé ces tactiques au cours des 12 derniers mois, et les conseils de ce rapport visent à aider les défenseurs de réseaux à atténuer les vecteurs d'accès initial du SVR.

Cybercriminels exploitent activement des vulnérabilités dans les passerelles Ivanti Connect Secure et Policy Secure, ce qui leur permet d'exécuter des commandes arbitraires avec des privilèges élevés. Ces vulnérabilités affectent toutes les versions prises en charge et sont utilisées dans une chaîne d'exploits pour contourner l'authentification et élaborer des requêtes malveillantes. Malgré l'outil de vérification d'intégrité d'Ivanti (ICT), la CISA a conclu qu'il est insuffisant pour détecter la compromission, car les cybercriminels ont réussi à le tromper et à maintenir une persistance de niveau racine même après les réinitialisations d'usine. Les défenseurs du réseau devraient supposer que les informations d'identification des utilisateurs et des comptes de service sont compromises, chasser l'activité malveillante, exécuter la dernière version de l'ICT et appliquer les correctifs dès qu'ils sont disponibles. En cas de compromission, les organisations devraient mettre en quarantaine les hôtes affectés, les réinitialiser, réinitialiser les mots de passe, identifier et supprimer les comptes administrateurs malveillants, et collecter et analyser les artefacts. La CISA recommande aux organisations de considérer le risque significatif d'accès et de persistance de l'adversaire sur les passerelles Ivanti et d'évaluer si elles doivent continuer à les exploiter. La directive d'urgence fédérale (DE) 24-01 exige que les agences du gouvernement fédéral des États-Unis (FCEB) prennent des mesures spécifiques sur les produits affectés. Le Centre canadien pour la cybersécurité a émis une alerte avec des mises à jour périodiques pour les professionnels de la technologie de l'information affectés. Des indicateurs de compromission (IC) et des règles YARA sont fournis pour aider à détecter l'activité cybercriminelle. Les défenseurs du réseau devraient cartographier l'activité cybercriminelle malveillante au framework MITRE ATT&CK pour améliorer la détection et la réponse.

Un acteur de menace non identifié a compromis les informations d'identification d'un administrateur réseau d'un ancien employé pour accéder à l'environnement local d'une organisation gouvernementale d'État via un réseau privé virtuel (VPN). L'acteur a utilisé des comptes compromis et exécuté des requêtes LDAP pour collecter des informations sur les utilisateurs et les hôtes, qui ont ensuite été publiées sur un site de courtage sombre. Points clés: - Les acteurs de menace exploitent fréquemment les comptes d'anciens employés pour accéder aux organisations. - L'acteur de menace a compromis un compte d'administrateur de domaine global, lui accordant des privilèges administratifs sur les environnements à la fois locaux et Azure. - L'acteur a exécuté des requêtes LDAP pour collecter des informations détaillées sur les utilisateurs, les hôtes et les relations de confiance. - L'acteur s'est authentifié auprès de divers services, y compris CIFS, pour la découverte du réseau et l'exploration des fichiers. - L'organisation victime n'avait pas désactivé le compte de l'employé compromis immédiatement après son départ. - L'organisation victime a pris des mesures rapides pour désactiver les comptes compromis et supprimer les privilèges d'administrateur après avoir découvert la publication sur le web sombre. Mitigations: - Désactivez les comptes des anciens employés immédiatement après leur départ. - Mettez en œuvre l'authentification à plusieurs facteurs (AMF) pour tous les comptes administratifs. - Effectuez régulièrement des audits et des surveillances des comptes du répertoire actif pour détecter les activités suspectes. - Mettez en place des outils de surveillance et de détection du réseau pour détecter l'accès non autorisé. - Réalisez des évaluations de sécurité régulières pour identifier et résoudre les vulnérabilités.

Les agences américaines, y compris la CISA, la NSA et le FBI, ont identifié que les acteurs cyber étatiques chinois connus sous le nom de Volt Typhoon ciblent les organisations d'infrastructure critique aux États-Unis. Volt Typhoon a compromis les réseaux IT dans des secteurs tels que les communications, l'énergie, les transports et les systèmes d'eau, principalement via des vulnérabilités connues ou des exploits zero-day. Le comportement du groupe suggère qu'ils se positionnent pour des attaques disruptives ou destructrices sur les actifs OT pendant les tensions géopolitiques ou les conflits militaires. Volt Typhoon mène une reconnaissance pré-exploitation extensive pour adapter leurs tactiques à l'environnement ciblé et maintenir un accès persistant grâce à des techniques LOTL et une sécurité opérationnelle solide. Ils élèvent souvent les privilèges pour obtenir des informations d'administrateur, ce qui leur permet de se déplacer latéralement vers les contrôleurs de domaine et d'autres appareils, y compris les systèmes OT. Volt Typhoon utilise des binaires LOTL et PowerShell pour extraire des informations sensibles des journaux d'événements et du fichier NTDS.dit, contournant les mécanismes de verrouillage de fichiers. Ils emploient le cracking de mots de passe hors ligne pour obtenir des mots de passe en clair et un accès élevé pour une infiltration et une découverte ultérieures. Volt Typhoon a démontré la capacité d'accéder et de manipuler les actifs OT, tels que les systèmes de climatisation et les contrôles énergétiques, ce qui pose une menace potentielle pour l'infrastructure critique. Les partenaires internationaux estiment que la menace pour l'infrastructure dans leurs pays respectifs est plus faible, mais pourrait être affectée par les perturbations de l'infrastructure américaine. Les organisations d'infrastructure critique sont instamment priées de mettre en œuvre des mesures d'atténuation et de chasser l'activité malveillante pour prévenir ou répondre aux incidents.

Le Bureau Fédéral d'Investigation (FBI) et l'Agence de Sécurité des Infrastructures et de la Cybersécurité (CISA) ont publié un Avis de Cybersécurité conjoint pour traiter des indicateurs de compromis connus (IOCs) et des tactiques, techniques et procédures (TTPs) associés aux acteurs de menace déployant le malware Androxgh0st. Ce malware est utilisé pour établir un botnet qui peut identifier et compromettre des réseaux vulnérables. L'avis fournit une liste d'IOCs et de TTPs, y compris la recherche de sites web utilisant le framework d'application web Laravel, la ciblage du module PHPUnit, et l'exploitation de CVE-2017-9841 pour l'exécution de code à distance. Il met également en évidence la capacité du malware à accéder aux bases de données et à voler des informations d'identification pour des services tels que AWS, SendGrid et Twilio. L'avis encourage les organisations à mettre en œuvre des stratégies d'atténuation pour réduire la probabilité et l'impact des incidents de cybersécurité causés par les infections Androxgh0st.