Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

ProxyShell, CobalStrike, Mimikatz, Rclone... : retour sur les techniques utilisées par le groupe derrière le rançongiciel Conti

07 sept. 2021 - 10:38,
Tribune - Charles Blanc-Rolin
  

Pour se défendre, il est toujours intéressant de connaître les méthodes utilisées par les attaquants.
Dans un récent article [1], Sophos Labs nous propose un retour détaillé sur une compromission ayant conduit au déploiement du rançongiciel Conti [2].

Pour rappel, le rançongiciel Conti est souvent présenté comme le « petit frère » de Ryuk [3]. Pas mal d’acteurs gravitent autour du déploiement de ces rançongiciels, tels que Grim Spider [4], Wizard Spider [5] ou encore UNC1878 [6].

Parmi les « portes d’entrées » utilisées récemment, on retrouve la chaîne de vulnérabilités affectant les serveurs messagerie Exchange, ProxyShell révélée par Orange Tsai le mois dernier et dont je vous parlais il y a une quinzaine de jours sur le site de l’APSSIS [7].

La signature des attaquants lors des opérations de reconnaissance serait l’utilisation du domaine fictif « evil.corp » dans l’url permettant de déterminer si un serveur Exchange est vulnérable à la CVE-2021-34473 (étape 1 de ProxyShell). En comparant les scans que j’observe et le rapport de Sophos Labs, il semblerait bien que nous voyions passer les mêmes personnes depuis près de quinze jours.

Alors sont-ils fans de la série Mr Robot ? Ont-ils des liens avec le groupe d’attaquant derrière le cheval de Troie Dridex [8] ? Ce qu’il faut surtout retenir, c’est qu’il vaut mieux ne pas avoir un serveur Exchane vulnérable exposé sur Internet.

Après quelques opérations de reconnaissance via des scripts PowerShell, les attaquants établissent une connexion vers un serveur C2, utilisent Minidump (Mimikatz) pour effectuer un dump du processus LSASS, arrivent à récupérer un accès à privilèges permettant de se connecter en RDP à un autre serveur depuis le serveur Exchange compromis, pour ensuite télécharger le logiciel de contrôle à distance AnyDesk (un concurrent de TeamViewer). D’autre outils de contrôle à distance tels que Splashtop, Atera ou Remote Utilities ont également été observés.

Après avoir poussé un beacon Cobalt Stricke au format DLL, ils utilisent ensuite ADFind pour requêter l’annuaire Active Directory. Sean Gallagher et Peter Mackenzie (Sophos) mentionnent également l’utilisation de l’utilitaire Windows wmic pour récupérer une copie de la base Active Directory (NTDS.dit), de psexec, ou encore beaucoup moins légitime sur un SI, le framework Metasploit. 

Il est également très intéressant de noter l’utilisation de l’utilitaire Rclone, que nous pouvons voir de plus en plus souvent utilisé par les attaquants souhaitant exfiltrer des données. Ici ils ont jeté leur dévolu sur le site de partage de fichiers Mega pour stocker les données exfiltrées.

Pour éviter d’être embêtés par des solutions Endpoint, les attaquants se sont également servis des outils de désinstallation pour Trend Micro, Sophos et BitDefender avant de déployer le rançongiciel Conti.

À conserver dans ses archives, le tableau publié par Sophos de l’ensemble des outils utilisés : 

Les attaquants derrière Conti ne feront pas de cadeaux à nos établissements de santé, ils ont déjà publié à plusieurs reprises des données dérobées à des établissements de santé après les avoir chiffrées à la source :

Soyons #TOUSCYBERVIGILANTS

[1] https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/ 

[2] https://malpedia.caad.fkie.fraunhofer.de/details/win.conti 

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk 

[4] https://malpedia.caad.fkie.fraunhofer.de/actor/grim_spider 

[5] https://malpedia.caad.fkie.fraunhofer.de/actor/wizard_spider 

[6] https://malpedia.caad.fkie.fraunhofer.de/actor/unc1878 

[7] https://www.apssis.com/actualite-ssi/532/serveurs-exchange-et-proxyshell-comment-eviter-de-laisser-rentrer-n-importe-qui-dans-son-si.htm 

[8] https://malpedia.caad.fkie.fraunhofer.de/actor/evil_corp 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dedalus et les Hospices Civils de Lyon s’associent pour transformer l’imagerie médicale avec la solution DeepUnity

Dedalus et les Hospices Civils de Lyon s’associent pour transformer l’imagerie médicale avec la solution DeepUnity

02 oct. 2025 - 10:04,

Communiqué

- Dedalus

Siège social Dedalus France, le 29 septembre 2025 - Le groupe Dedalus, acteur européen majeur de solutions logicielles en santé, et les Hospices Civils de Lyon (HCL) scellent un partenariat stratégique de plus de dix ans pour le déploiement du PACS (Picture Archiving and Communcation System) étendu ...

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Illustration « Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

29 sept. 2025 - 20:33,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.