Des chercheurs en sécurité signalent des attaques de pirates informatiques sur des cibles sensibles

Des chercheurs en sécurité de Palo Alto Networks ont rapporté des découvertes troublantes concernant les efforts de pirates informatiques pour violer des entités cibles travaillant dans des secteurs sensibles tels que la défense, les soins de santé et l'énergie. L'enquête menée par la société de sécurité a été soutenue par la US Cybersecurity and Infrastructure Security Agency.

Selon les informations que Palo Alto a partagées pour la première fois avec CNN, au moins neuf entités distinctes travaillant dans ces secteurs sensibles ont été ciblées à travers le monde, "au moins" l'une de ces entités étant située aux États-Unis.

La préparation des attaques a commencé à la mi-septembre 2021, avec des acteurs malveillants utilisant une « infrastructure louée » située aux États-Unis pour analyser un grand nombre de réseaux d'entreprise à la recherche de vulnérabilités. Sur les centaines d'entités analysées, Palo Alto pense qu'au moins neuf ont été violées avec succès, et au moins une des violations réussies était contre une organisation américaine.

Les attaquants ont utilisé une vulnérabilité désormais corrigée dans le logiciel ManageEngine de Zoho Corporation. La vulnérabilité a été suivie sous l'indicateur CVE-2021-40539.

Étant donné que le vecteur d'attaque et la charge utile utilisés étaient les mêmes dans toutes les organisations ciblées, il semblerait que tout cela ait été effectué par le même acteur de la menace. Le webshell Godzilla a été téléchargé sur les réseaux compromis. Dans un nombre limité de cibles, une porte dérobée a également été installée.

Une fois les outils déployés, les acteurs de la menace les ont utilisés pour le déplacement latéral et l'exfiltration de fichiers. Lorsque l'accès au contrôleur de domaine a été obtenu par les pirates, ils ont également installé un outil leur permettant de voler les identifiants de connexion.

Il n'y a pas d'informations précises sur l'identité des attaquants, mais selon Palo Alto, certaines des tactiques utilisées pour infiltrer les réseaux correspondent aux méthodes d'un acteur chinois. Le shell Web Godzilla utilisé dans les attaques était également la version chinoise de l'outil. Le cyberespionnage reste une menace importante, comme le montre cette dernière découverte conjointe de Palo Alto et de la CISA américaine. Les organisations doivent se prémunir à la fois contre les ransomwares assoiffés d'argent et contre les attaques d'espionnage similaires à cette dernière brèche.

November 9, 2021

Cyclonis Backup

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.