Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

ProxyShell, CobalStrike, Mimikatz, Rclone... : retour sur les techniques utilisées par le groupe derrière le rançongiciel Conti

07 sept. 2021 - 10:38,
Tribune - Charles Blanc-Rolin
  

Pour se défendre, il est toujours intéressant de connaître les méthodes utilisées par les attaquants.
Dans un récent article [1], Sophos Labs nous propose un retour détaillé sur une compromission ayant conduit au déploiement du rançongiciel Conti [2].

Pour rappel, le rançongiciel Conti est souvent présenté comme le « petit frère » de Ryuk [3]. Pas mal d’acteurs gravitent autour du déploiement de ces rançongiciels, tels que Grim Spider [4], Wizard Spider [5] ou encore UNC1878 [6].

Parmi les « portes d’entrées » utilisées récemment, on retrouve la chaîne de vulnérabilités affectant les serveurs messagerie Exchange, ProxyShell révélée par Orange Tsai le mois dernier et dont je vous parlais il y a une quinzaine de jours sur le site de l’APSSIS [7].

La signature des attaquants lors des opérations de reconnaissance serait l’utilisation du domaine fictif « evil.corp » dans l’url permettant de déterminer si un serveur Exchange est vulnérable à la CVE-2021-34473 (étape 1 de ProxyShell). En comparant les scans que j’observe et le rapport de Sophos Labs, il semblerait bien que nous voyions passer les mêmes personnes depuis près de quinze jours.

Alors sont-ils fans de la série Mr Robot ? Ont-ils des liens avec le groupe d’attaquant derrière le cheval de Troie Dridex [8] ? Ce qu’il faut surtout retenir, c’est qu’il vaut mieux ne pas avoir un serveur Exchane vulnérable exposé sur Internet.

Après quelques opérations de reconnaissance via des scripts PowerShell, les attaquants établissent une connexion vers un serveur C2, utilisent Minidump (Mimikatz) pour effectuer un dump du processus LSASS, arrivent à récupérer un accès à privilèges permettant de se connecter en RDP à un autre serveur depuis le serveur Exchange compromis, pour ensuite télécharger le logiciel de contrôle à distance AnyDesk (un concurrent de TeamViewer). D’autre outils de contrôle à distance tels que Splashtop, Atera ou Remote Utilities ont également été observés.

Après avoir poussé un beacon Cobalt Stricke au format DLL, ils utilisent ensuite ADFind pour requêter l’annuaire Active Directory. Sean Gallagher et Peter Mackenzie (Sophos) mentionnent également l’utilisation de l’utilitaire Windows wmic pour récupérer une copie de la base Active Directory (NTDS.dit), de psexec, ou encore beaucoup moins légitime sur un SI, le framework Metasploit. 

Il est également très intéressant de noter l’utilisation de l’utilitaire Rclone, que nous pouvons voir de plus en plus souvent utilisé par les attaquants souhaitant exfiltrer des données. Ici ils ont jeté leur dévolu sur le site de partage de fichiers Mega pour stocker les données exfiltrées.

Pour éviter d’être embêtés par des solutions Endpoint, les attaquants se sont également servis des outils de désinstallation pour Trend Micro, Sophos et BitDefender avant de déployer le rançongiciel Conti.

À conserver dans ses archives, le tableau publié par Sophos de l’ensemble des outils utilisés : 

Les attaquants derrière Conti ne feront pas de cadeaux à nos établissements de santé, ils ont déjà publié à plusieurs reprises des données dérobées à des établissements de santé après les avoir chiffrées à la source :

Soyons #TOUSCYBERVIGILANTS

[1] https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/ 

[2] https://malpedia.caad.fkie.fraunhofer.de/details/win.conti 

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk 

[4] https://malpedia.caad.fkie.fraunhofer.de/actor/grim_spider 

[5] https://malpedia.caad.fkie.fraunhofer.de/actor/wizard_spider 

[6] https://malpedia.caad.fkie.fraunhofer.de/actor/unc1878 

[7] https://www.apssis.com/actualite-ssi/532/serveurs-exchange-et-proxyshell-comment-eviter-de-laisser-rentrer-n-importe-qui-dans-son-si.htm 

[8] https://malpedia.caad.fkie.fraunhofer.de/actor/evil_corp 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration « Restons maîtres de notre destin » - La souveraineté, l’innovation et la résilience du système de santé comme thématiques clés de la matinée Horizon Santé 360

« Restons maîtres de notre destin » - La souveraineté, l’innovation et la résilience du système de santé comme thématiques clés de la matinée Horizon Santé 360

20 oct. 2025 - 15:51,

Actualité

- Par Pauline Nicolas, DSIH

La 3ème édition d’Horizon Santé 360 s’est ouverte le jeudi 9 octobre 2025 et a réuni plus de 550 acteurs du secteur de la santé (établissements de santé, industrie pharmaceutique, institutionnels, consultants, industriels, start-up). Cette journée a débuté par une conférence introductive de Dominiqu...

RGPD et cyber : l’ouverture de la chasse à la bécasse et à la galinette cendrée[1]

20 oct. 2025 - 13:47,

Tribune

-
Cédric Cartau

En l’espace d’une semaine, je tombe sur deux « news » de la planète RGPD/RSSI, à propos desquelles on se demande comment les organisations impliquées ont bien pu « en arriver là » – sans conséquences gravissimes, heureusement.

Illustration La combinaison Philips SpeechLive et Dragon Medical One fluidifie l’organisation au sein du Cabinet de Cardiologie SCP Cardiovasculaire de l’Est

La combinaison Philips SpeechLive et Dragon Medical One fluidifie l’organisation au sein du Cabinet de Cardiologie SCP Cardiovasculaire de l’Est

17 oct. 2025 - 15:01,

Communiqué

- Philips

La SCP Cardiovasculaire de l’Est constitue un groupement d’experts en cardiologie qui propose une offre complète de soins avec une forte présence à Nancy, Essey-lès-Nancy et Épinal. Elle réunit 12 cardiologues associés qui exercent en cabinet comme en clinique, avec une expertise allant du suivi méd...

Illustration L’IA en santé : la parole des usagers au cœur de la stratégie ministérielle

L’IA en santé : la parole des usagers au cœur de la stratégie ministérielle

13 oct. 2025 - 18:29,

Actualité

- Rédaction, DSIH

Alors que l’intelligence artificielle transforme le monde de la santé, France Assos Santé veille à ce que la voix des patients reste au centre des décisions. À travers une large consultation et des témoignages d’associations, l’organisation plaide pour une IA responsable, éthique et réellement au se...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.