Le réseau d'entreprise d'un entrepreneur militaire américain est compromis et des données sont volées.
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), le FBI et la NSA ont publié un rapport conjoint décrivant une intrusion dans le réseau d'un entrepreneur militaire américain qui a permis de voler des données sensibles.
On ignore encore comment les pirates se sont introduits dans le serveur Microsoft Exchange de l'organisation de défense. L'avertissement indique que les acteurs de la menace ont passé des heures à rechercher des boîtes aux lettres et à utiliser un compte administrateur compromis pour interroger Exchange via son API EWS.
Parmi les autres activités malveillantes menées par les pirates sur le réseau de l'entrepreneur militaire figurent l'exécution de commandes Windows pour en savoir plus sur la configuration informatique et la collecte d'autres fichiers dans des archives à l'aide de WinRAR, ainsi que l'utilisation de la boîte à outils réseau open source Impacket pour contrôler et déplacer à distance des machines sur le réseau.
Les attaquants ont ensuite utilisé un outil d'exfiltration de données personnalisé appelé CovalentStealer pour siphonner des données sensibles, notamment des informations relatives aux contrats, à partir de lecteurs partagés.
Les activités des attaquants n'ont été découvertes qu'après que quelqu'un se soit rendu compte que quelque chose n'allait pas. Au cours de l'enquête menée par la CISA et une société de sécurité "tierce partie de confiance", les responsables ont examiné l'activité malveillante du réseau et découvert que certaines équipes anonymes avaient obtenu un accès initial au serveur Exchange de l'organisation dès la mi-janvier 2021.
Les conclusions des chercheurs ont montré que les attaquants ont exploité plusieurs bogues Microsoft en 2021, notamment CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, pour installer 17 webshells China Chopper sur le serveur Exchange.
Dans certaines de leurs activités de menace observées, les attaquants utilisent Impacket, qui peut être utilisé à des fins légitimes et malveillantes. Selon Katie Nickels, responsable du renseignement chez Red Canary, les attaquants utilisent les scripts Python wmiexec.py et smbexec.py d'Impacket dès qu'ils sont sur le réseau pour contrôler à distance les machines sur les réseaux des victimes.
"Les adversaires préfèrent Impacket parce qu'il leur permet de mener diverses actions comme la récupération d'informations d'identification, l'émission de commandes, les déplacements latéraux et la diffusion de logiciels malveillants supplémentaires sur les systèmes", a déclaré M. Nickels.
Les sources de cette pièce incluent un article dans TheRegister.