Les chercheurs en sécurité avertissent que les cybercriminels utilisent de plus en plus le logiciel d’accès à distance Action1 pour persister sur des réseaux compromis et pour exécuter des commandes, des scripts et des binaires.
Action1 est un produit de surveillance et de gestion à distance (RMM) couramment utilisé par les fournisseurs de services gérés (MSP) et l’entreprise pour gérer à distance les terminaux d’un réseau.
Le logiciel permet aux administrateurs d’automatiser la gestion des correctifs et le déploiement des mises à jour de sécurité, d’installer le logiciel à distance, de cataloguer les hôtes, de résoudre les problèmes sur les terminaux et d’obtenir des rapports en temps réel.
Bien que ces types d’outils soient extrêmement utiles pour les administrateurs, ils sont également précieux pour les acteurs de la menace qui peuvent les utiliser pour déployer des logiciels malveillants ou gagner en persistance sur les réseaux.
Exécuter des binaires en tant que système
Kostas, membre du groupe d’analystes bénévoles The DFIR Report, a remarqué que la plate-forme Action1 RMM était utilisée de manière abusive par plusieurs acteurs de la menace pour des activités de reconnaissance et pour exécuter du code avec des privilèges système sur les hôtes du réseau.
Le chercheur dit qu’après avoir installé l’agent Action1, les adversaires créent une politique pour automatiser l’exécution des binaires (par exemple, Process Monitor, PowerShell, Command Prompt) nécessaires à l’attaque.
Tsale souligne qu’en dehors des capacités d’accès à distance, Action1 est disponible gratuitement jusqu’à 100 points de terminaison, ce qui est la seule restriction de la version gratuite du produit.
Action1 abusée dans des attaques de ransomware
Breachtrace a tenté d’en savoir plus sur les incidents où la plate-forme Action1 RMM est abusée et a été informée par des sources qu’elle a été observée dans des attaques de ransomware de plusieurs acteurs de la menace.
Le produit a été exploité dans les phases initiales d’au moins trois attaques récentes de rançongiciels utilisant des souches de logiciels malveillants distinctes. Cependant, nous n’avons pas pu trouver le rançongiciel spécifique déployé lors des incidents.
Cependant, on nous a dit que les tactiques, techniques et procédures (TTP) font écho à une attaque sur laquelle l’équipe BlackBerry Incident Response a enquêté l’été dernier.
Les chercheurs sur la menace ont attribué l’attaque à un groupe appelé Monti, inconnu à l’époque. Les pirates ont violé l’environnement après avoir exploité la vulnérabilité Log4Shell.
L’analyse de BlackBerry a montré que la plupart des indicateurs de compromission (IoC) dans l’attaque Monti ont été observés dans des incidents de ransomware attribués au syndicat Conti. Un IoC qui s’est démarqué était l’utilisation de l’agent Action1 RMM.
Alors que les attaques Conti reposaient sur un logiciel d’accès à distance, les choix typiques étaient l’application AnyDesk et l’accès d’essai au RMM Atera – pour installer des agents sur le réseau compromis, obtenant ainsi un accès à distance à tous les hôtes.
Il existe également des cas où les courtiers ont vendu l’accès initial aux organisations via le logiciel ManageEngine Desktop Central de Zoho, un produit qui permet aux administrateurs de gérer les systèmes Windows, Linux et Mac sur le réseau.
Du point de vue des ransomwares, les logiciels RMM légitimes sont suffisamment polyvalents pour répondre à leurs besoins, offrent une large portée sur le réseau et garantissent une persistance continue, car les agents de sécurité de l’environnement ne signalent généralement pas les plates-formes comme une menace.
Filtrage basé sur l’IA
Alors qu’Action1 RMM est utilisé légitimement à travers le monde par des milliers d’administrateurs, le fournisseur est conscient que le produit est utilisé abusivement par des acteurs malveillants dans la phase post-compromis d’une attaque pour mouvement latéral.
Mike Walters, vice-président de Vulnerability and Threat Research et co-fondateur d’Action1 Corporation, a déclaré à Breachtrace que la société avait introduit l’année dernière un système basé sur l’intelligence artificielle pour détecter les comportements anormaux des utilisateurs et empêcher les pirates d’utiliser la plate-forme à des fins malveillantes.
« L’année dernière, nous avons déployé un système de filtrage des acteurs menaçants qui analyse l’activité des utilisateurs à la recherche de comportements suspects, suspend automatiquement les comptes potentiellement malveillants et alerte l’équipe de sécurité dédiée d’Action1 pour enquêter sur le problème » – Mike Walters
Action1 travaille sur l’inclusion de nouvelles mesures pour mettre fin à l’utilisation abusive de la plateforme, a déclaré le chercheur, ajoutant que l’entreprise est « pleinement ouverte à la coopération avec les victimes et les autorités judiciaires » sur les cas où Action1 a été exploitée pour des cyberattaques.