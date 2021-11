Une campagne de malwares déploie des Webshells de type Godzilla pour détruire des systèmes de santé, de défense et d'énergie.



Ce week-end, la société de cybersécurité Palo Alto Networks a publié une analyse détaillée d'une campagne de piratage en cours visant les secteurs de la technologie, de la défense, de la santé, de l'énergie et de l'éducation. L'attaque vise le système de gestion des mots de passe ManageEngine ADSelfService Plus de Zoho et utilise la vulnérabilité CVE-2021-40539 pour obtenir l'exécution de code à distance sur les serveurs affectés.







Le 16 septembre dernier, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a lancé une alerte pour signaler les attaques en cours. Depuis lors, Palo Alto Networks a surveillé les attaques et a constaté qu'"au moins neuf entités mondiales" ont été compromises sur quelque 370 systèmes vulnérables.



Une fois que les attaquants ont obtenu l'accès, ils introduisent le webshell Godzilla et, parfois, la porte dérobée NGLite. En utilisant les fonctions fournies par ces outils, les attaquants traversaient les réseaux pour trouver des contrôleurs de domaine, où ils installaient ce que Palo Alto appelle "KdcSponge", un nouvel outil de vol d'informations d'identification. Selon Palo Alto Networks, l'objectif des attaquants semble être principalement d'ouvrir une brèche et de maintenir l'accès à ces réseaux, bien que des données privilégiées aient également été volées.



Godzilla est un webshell comme beaucoup d'autres, permettant un accès à distance à la machine compromise via des requêtes HTTP. La principale caractéristique de ce shell particulier est qu'il utilise le chiffrement AES pour l'ensemble de son trafic réseau. Cette caractéristique, ainsi que divers autres aspects de sa conception, lui confèrent un taux de détection extrêmement faible parmi les produits de sécurité disponibles sur le marché.



NGLite, quant à lui, est un cheval de Troie à porte dérobée qui n'accepte les commandes que par le biais de son canal de commande et de contrôle (C2). Ce n'est pas inhabituel en soi, mais le canal C2 de NGLite l'est : il utilise la blockchain décentralisée New Kind of Network (NKN) pour communiquer entre le système compromis et les acteurs de la menace. En raison de la nature décentralisée de NKN, il est très difficile de bloquer ou de détecter l'accès à NGLite après l'infection.



Enfin, KdcSponge est un nouvel outil apparemment créé par les acteurs de la menace à l'origine de ces attaques. Il s'accroche au service LSASS (Local Security Authority Subsystem Service) de Windows pour récupérer les informations d'identification. Pour ce faire, il utilise des fonctions API non documentées dans le module Kerberos. Une fois les informations d'identification volées, il les écrit dans un format crypté simple dans un fichier appelé "system.dat" où elles peuvent être récupérées par l'un des autres outils.



Palo Alto Networks ne souhaite pas attribuer ces attaques à une agence ou un groupe particulier, mais note que la méthodologie de ces attaques correspond exactement à celle du "Threat Group 3390", également connu sous les noms d'Emissary Panda, APT27, Iron Tiger, Bronze Union, et d'autres noms. TG-3390 est un groupe de menace parrainé par le gouvernement chinois. Si vous pensez avoir été touché par ces attaques, Palo Alto met à votre disposition une adresse e-mail à contacter au bas de son article de blog.



HOTHARDWARE