Une société affiliée au rançongiciel ALPHV/BlackCat a été observée en train d’exploiter trois vulnérabilités affectant le produit Veritas Backup pour l’accès initial au réseau cible.

L’opération de rançongiciel ALPHV est apparue en décembre 2021 et est considérée comme étant dirigée par d’anciens membres des programmes Darkside et Blackmatter qui se sont arrêtés brusquement pour échapper à la pression des forces de l’ordre.

Mandiant suit l’affilié ALPHV sous le nom « UNC4466 » et note que la méthode est une déviation de l’intrusion typique qui repose sur des informations d’identification volées.

Défauts exploités
Mandiant rapporte avoir observé les premiers cas d’exploitation de failles Veritas dans la nature le 22 octobre 2022. Les failles de haute gravité ciblées par UNC4466 sont :

  • CVE-2021-27876 : faille d’accès arbitraire aux fichiers causée par une erreur dans le schéma d’authentification SHA, permettant à un attaquant distant d’obtenir un accès non autorisé à des terminaux vulnérables. (Note CVSS : 8,1)
  • CVE-2021-27877 : Accès à distance non autorisé et exécution de commandes privilégiées à l’agent BE via l’authentification SHA. (Note CVSS : 8,2)
  • CVE-2021-27878 : défaut d’exécution de commande arbitraire résultant d’une erreur dans le schéma d’authentification SHA, permettant à un attaquant distant d’obtenir un accès non autorisé à des terminaux vulnérables. (Note CVSS : 8,8)

Les trois failles affectent le logiciel Veritas Backup. Le fournisseur les a divulgués en mars 2021 et a publié un correctif avec la version 21.2. Cependant, bien que plus de deux ans se soient écoulés depuis lors, de nombreux terminaux restent vulnérables car ils n’ont pas été mis à jour vers une version sûre.

Mandiant indique qu’un service d’analyse commerciale a montré qu’il existe sur le Web public plus de 8 500 adresses IP qui annoncent le service « Symantec/Veritas Backup Exec ndmp » sur le port par défaut 10000 et sur les ports 9000 et 10001.

« Bien que ce résultat de recherche n’identifie pas directement les systèmes vulnérables, comme les versions d’application n’étaient pas identifiables, il démontre la prévalence des instances exposées à Internet qui pourraient potentiellement être sondées par des attaquants » – Mandiant

Un module Metasploit pour exploiter ces vulnérabilités a été rendu public le 23 septembre 2022. Le code permet aux attaquants de créer une session et d’interagir avec les terminaux piratés.

Selon Mandiant, UNC4466 a commencé à utiliser le module particulier un mois après sa disponibilité.

Détails de l’attaque
Selon les observations de Mandiant, UNC4466 compromet un serveur Windows exposé à Internet exécutant Veritas Backup Exec en utilisant le module Metasploit accessible au public et maintient un accès permanent à l’hôte.

Après la compromission initiale, l’auteur de la menace a utilisé les utilitaires Advanced IP Scanner et ADRecon pour recueillir des informations sur l’environnement de la victime.

Ensuite, ils ont téléchargé des outils supplémentaires sur l’hôte comme LAZAGNE, LIGOLO, WINSW, RCLONE et finalement le chiffreur de ransomware ALPHV via le service de transfert intelligent en arrière-plan (BITS).

L’auteur de la menace a utilisé le tunneling SOCKS5 pour communiquer avec le serveur de commande et de contrôle (C2).

Les chercheurs expliquent que l’UNC4466 a utilisé les transferts BITS pour télécharger les outils de tunneling SOCKS5 et a déployé la charge utile du ransomware en ajoutant des tâches immédiates à la politique de domaine par défaut, en désactivant le logiciel de sécurité et en exécutant le chiffreur.

Pour augmenter les privilèges, UNC4466 utilise Mimikatz, LaZagne et Nanodump pour voler les identifiants utilisateur valides.

Enfin, l’auteur de la menace échappe à la détection en effaçant les journaux d’événements et en désactivant la capacité de surveillance en temps réel de Microsoft Defender.

Le rapport de Mandiant fournit des conseils que les défenseurs peuvent suivre pour détecter les attaques UNC4466 en temps opportun et les atténuer avant que la charge utile ALPHV ne soit exécutée sur leurs systèmes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *