Un acteur chinois sophistiqué des menaces persistantes avancées (APT) a exploité une vulnérabilité de sécurité critique dans le pare-feu de Sophos qui a été révélée plus tôt cette année pour infiltrer une cible sud-asiatique anonyme dans le cadre d’une attaque très ciblée. « L’attaquant a mis en place une porte dérobée intéressante, a créé une forme secondaire de persistance et a finalement lancé des attaques contre le personnel du client », a déclaré Volexity dans un rapport. « Ces attaques visaient à violer davantage les serveurs Web hébergés dans le cloud hébergeant les sites Web publics de l’organisation. » La faille zero-day en question est identifiée comme CVE-2022-1040 (score CVSS : 9,8) et concerne une vulnérabilité de contournement d’authentification qui peut être armée pour exécuter du code arbitraire à distance. Cela affecte les versions 18.5 MR3 (18.5.3) et antérieures de Sophos Firewall. La société de cybersécurité, qui a publié un correctif pour la faille le 25 mars 2022, a noté qu’elle avait été utilisée abusivement pour « cibler un petit ensemble d’organisations spécifiques principalement dans la région de l’Asie du Sud » et qu’elle avait directement informé les entités concernées. Selon Volexity, les premières preuves de l’exploitation de la faille ont commencé le 5 mars 2022, lorsqu’il a détecté une activité réseau anormale provenant du pare-feu Sophos d’un client anonyme exécutant la version alors à jour, près de trois semaines avant la divulgation publique de la vulnérabilité. « L’attaquant utilisait l’accès au pare-feu pour mener des attaques de type « man-in-the-middle » (MitM) », ont déclaré les chercheurs. « L’attaquant a utilisé les données collectées lors de ces attaques MitM pour compromettre des systèmes supplémentaires en dehors du réseau où résidait le pare-feu. »

La séquence d’infection après la violation du pare-feu impliquait en outre la porte dérobée d’un composant légitime du logiciel de sécurité avec le shell Web Behinder qui pouvait être accessible à distance à partir de n’importe quelle URL choisie par l’auteur de la menace. Il convient de noter que le shell Web Behinder a également été exploité plus tôt ce mois-ci par des groupes APT chinois dans un ensemble distinct d’intrusions exploitant une faille zero-day dans les systèmes Atlassian Confluence Server (CVE-2022-26134). De plus, l’attaquant aurait créé des comptes d’utilisateurs VPN pour faciliter l’accès à distance, avant de passer à la modification des réponses DNS pour des sites Web spécialement ciblés – principalement le système de gestion de contenu (CMS) de la victime – dans le but d’intercepter les informations d’identification des utilisateurs et les cookies de session. L’accès aux cookies de session a ensuite permis à la partie malveillante de prendre le contrôle du site WordPress et d’installer un deuxième shell Web baptisé IceScorpion, l’attaquant l’utilisant pour déployer trois implants open source sur le serveur Web, notamment PupyRAT, Pantegana et Sliver. . « DriftingCloud est un acteur de menace efficace, bien équipé et persistant ciblant des cibles liées à cinq poisons. Ils sont capables de développer ou d’acheter des exploits zero-day pour atteindre leurs objectifs, faisant pencher la balance en leur faveur lorsqu’il s’agit d’accéder à réseaux cibles. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *