Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

ProxyShell, CobalStrike, Mimikatz, Rclone... : retour sur les techniques utilisées par le groupe derrière le rançongiciel Conti

07 sept. 2021 - 10:38,
Tribune - Charles Blanc-Rolin
  

Pour se défendre, il est toujours intéressant de connaître les méthodes utilisées par les attaquants.
Dans un récent article [1], Sophos Labs nous propose un retour détaillé sur une compromission ayant conduit au déploiement du rançongiciel Conti [2].

Pour rappel, le rançongiciel Conti est souvent présenté comme le « petit frère » de Ryuk [3]. Pas mal d’acteurs gravitent autour du déploiement de ces rançongiciels, tels que Grim Spider [4], Wizard Spider [5] ou encore UNC1878 [6].

Parmi les « portes d’entrées » utilisées récemment, on retrouve la chaîne de vulnérabilités affectant les serveurs messagerie Exchange, ProxyShell révélée par Orange Tsai le mois dernier et dont je vous parlais il y a une quinzaine de jours sur le site de l’APSSIS [7].

La signature des attaquants lors des opérations de reconnaissance serait l’utilisation du domaine fictif « evil.corp » dans l’url permettant de déterminer si un serveur Exchange est vulnérable à la CVE-2021-34473 (étape 1 de ProxyShell). En comparant les scans que j’observe et le rapport de Sophos Labs, il semblerait bien que nous voyions passer les mêmes personnes depuis près de quinze jours.

Alors sont-ils fans de la série Mr Robot ? Ont-ils des liens avec le groupe d’attaquant derrière le cheval de Troie Dridex [8] ? Ce qu’il faut surtout retenir, c’est qu’il vaut mieux ne pas avoir un serveur Exchane vulnérable exposé sur Internet.

Après quelques opérations de reconnaissance via des scripts PowerShell, les attaquants établissent une connexion vers un serveur C2, utilisent Minidump (Mimikatz) pour effectuer un dump du processus LSASS, arrivent à récupérer un accès à privilèges permettant de se connecter en RDP à un autre serveur depuis le serveur Exchange compromis, pour ensuite télécharger le logiciel de contrôle à distance AnyDesk (un concurrent de TeamViewer). D’autre outils de contrôle à distance tels que Splashtop, Atera ou Remote Utilities ont également été observés.

Après avoir poussé un beacon Cobalt Stricke au format DLL, ils utilisent ensuite ADFind pour requêter l’annuaire Active Directory. Sean Gallagher et Peter Mackenzie (Sophos) mentionnent également l’utilisation de l’utilitaire Windows wmic pour récupérer une copie de la base Active Directory (NTDS.dit), de psexec, ou encore beaucoup moins légitime sur un SI, le framework Metasploit. 

Il est également très intéressant de noter l’utilisation de l’utilitaire Rclone, que nous pouvons voir de plus en plus souvent utilisé par les attaquants souhaitant exfiltrer des données. Ici ils ont jeté leur dévolu sur le site de partage de fichiers Mega pour stocker les données exfiltrées.

Pour éviter d’être embêtés par des solutions Endpoint, les attaquants se sont également servis des outils de désinstallation pour Trend Micro, Sophos et BitDefender avant de déployer le rançongiciel Conti.

À conserver dans ses archives, le tableau publié par Sophos de l’ensemble des outils utilisés : 

Les attaquants derrière Conti ne feront pas de cadeaux à nos établissements de santé, ils ont déjà publié à plusieurs reprises des données dérobées à des établissements de santé après les avoir chiffrées à la source :

Soyons #TOUSCYBERVIGILANTS

[1] https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/ 

[2] https://malpedia.caad.fkie.fraunhofer.de/details/win.conti 

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk 

[4] https://malpedia.caad.fkie.fraunhofer.de/actor/grim_spider 

[5] https://malpedia.caad.fkie.fraunhofer.de/actor/wizard_spider 

[6] https://malpedia.caad.fkie.fraunhofer.de/actor/unc1878 

[7] https://www.apssis.com/actualite-ssi/532/serveurs-exchange-et-proxyshell-comment-eviter-de-laisser-rentrer-n-importe-qui-dans-son-si.htm 

[8] https://malpedia.caad.fkie.fraunhofer.de/actor/evil_corp 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.