Le groupe APT fonctionne sous une variété de noms, exploitant des vulnérabilités dans les applications Web, les serveurs et le matériel exposé à Internet sur des cibles allant des écoles aux gouvernements.
Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié un avis conjoint sur les activités d’un groupe de ransomware de Chine surnommé Ghost, qui a compromis les organisations dans plus de 70 pays au cours des quatre dernières années.
Le groupe fantôme a commencé ses activités au début de 2021, mais des attaques ont été observées aussi récemment que le mois dernier. Il semble que les attaquants modifient régulièrement leurs charges utiles de ransomware, leur texte de rançon, l’extension des fichiers cryptés ou les adresses e-mail utilisées pour les rançonneurs. Cela a conduit le groupe à être référé sous différents noms au fil des ans, notamment Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, Hsharad et Rapture.
Le groupe a principalement accès aux réseaux en exploitant les vulnérabilités connues dans les applications Web, les serveurs et les appareils matériels exposés à Internet et n’a pas été corrigé. Les victimes comprennent des infrastructures critiques, des écoles et des universités, des soins de santé, des réseaux gouvernementaux, des institutions religieuses, des sociétés de technologie et de fabrication et de nombreuses petites et moyennes entreprises, ont indiqué les agences.
Certaines des vulnérabilités ciblées par Ghost incluent une vulnérabilité de traversée de chemin dans le portail VPN SSL Fortinet Fortios (CVE-2018-13379), les défauts d’injection de traversée et d’injection XML dans les serveurs exécutant Adobe Coldfusion (CVE-2010-2861 et CVE-2009-3960) (CVE-2010-2861 et CVE-2009-3960)) (CVE-2010-2861 et CVE-2009-3960)) , un défaut d’exécution du code distant dans Microsoft SharePoint (CVE-2019-0604) et la chaîne d’attaque de code distant proxyshell dans l’échange Microsoft (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207).
Ghost utilise des obus Web et une grève de cobalt
Après un exploit réussi, les attaquants installent des shells Web – scripts de porte dérobée – sur les serveurs compromis et les utilisent pour exécuter l’invite de commande Windows et les scripts PowerShell qui déploient des charges utiles supplémentaires.
L’outil préféré du groupe est le Cobalt Strike Beacon, un implant d’une boîte à outils de test de pénétration commerciale du même nom qui a été abusée par de nombreux cybercriminels ces dernières années. Cobalt Strike utilise une architecture client-serveur, où la balise, ou client, communique avec un serveur d’équipe exploité par les attaquants.
Cobalt Strike est un cheval de Troie puissant avec de nombreuses fonctionnalités, y compris la possibilité de voler des jetons de processus en cours d’exécution avec des privilèges système, puis d’utiliser ces jetons pour dégénérer ses propres privilèges, la possibilité de vider les hachages de mot de passe Windows, ainsi que de découvrir des comptes de domaine et d’exfiltrer des données Retour aux serveurs d’équipe.
En plus de la frappe de Cobalt, les attaquants utilisent une variété d’autres outils open source pour effectuer la découverte de réseau et le mouvement latéral. Il s’agit notamment d’un proxy open source appelé IOX pour avoir caché leurs serveurs de négociation de rançon; Sharpshares.exe, un outil pour découvrir des partages de réseau; Sharpzerologon.exe, un outil qui exploite la connexion zéro (CVE-2020-1472) contre un contrôleur de domaine Windows; SharpGPPPass.exe, un outil qui exploite CVE-2014-1812; un scanner netbios appelé nbt.exe; un outil d’escalade du privilège appelé badpotato.exe; un outil appelé Ladon 911 qui scanne et exploite les vulnérabilités Windows SMB; L’outil de dumping d’identification Mimikatz, et plus encore.
« La persistance n’est pas un objectif majeur pour les acteurs fantômes, car ils ne dépensent généralement que quelques jours sur les réseaux de victimes », a déclaré CISA dans son avis. «Dans plusieurs cas, ils ont été observés en procédant du compromis initial au déploiement de ransomwares dans le même jour.»
Les attaques sont plus axées sur le chiffrement que l’exfiltration
Les attaquants fantômes ont parfois exfiltré des données à leurs serveurs d’équipe de grève de Cobalt ou au service de partage de fichiers Mega.nz, mais cela a été rare et la quantité d’informations volées a été limitée.
Selon les enquêtes du FBI, le groupe n’exfiltre pas régulièrement la propriété intellectuelle ou les informations personnellement identifiables (PII) qui causeraient des dommages importants aux victimes comme les autres groupes de ransomware. Ce manque de concentration sur le vol de données en tant que tactique à double extorsion explique pourquoi le groupe ne prend pas la peine de mettre en place des mécanismes de persistance de logiciels malveillants pour une présence à long terme sur les réseaux de victimes.
En ce qui concerne le chiffrement des données, le groupe a utilisé plusieurs exécutables de ransomware au fil du temps, notamment Cring.exe, Ghost.exe, Elysiumo.exe et Locker.exe. Ceux-ci ont des fonctionnalités similaires et leurs fonctionnalités sont contrôlées avec des arguments de ligne de commande lorsqu’ils sont exécutés.
En plus de chiffrer les fichiers, le ransomware Ghost effacera les journaux d’événements Windows, supprimera les copies d’ombre de volume qui pourraient permettre la restauration des fichiers et désactiver le service de copie d’ombre de volume. Les attaquants évalueront et désactiveront également les produits antivirus exécutés sur le système.
Les algorithmes de chiffrement utilisés sont forts et les données cryptées ne peuvent pas être récupérées sans la clé de décryptage détenue par les attaquants. Cependant, l’impact différera d’une victime à la victime parce que les attaquants fantômes ne passeront pas trop de temps à essayer de compromettre un grand nombre d’appareils sur les réseaux où il est trop difficile de le faire. « Les acteurs fantômes ont tendance à se déplacer vers d’autres cibles lorsqu’ils sont confrontés à des systèmes durcis, tels que ceux où la segmentation appropriée du réseau empêche le mouvement latéral vers d’autres appareils », a déclaré CISA.
L’avis conjoint FBI, CISA et MS-ISAC contient des indicateurs de compromis, y compris les noms de domaine, les hachages de fichiers, les adresses e-mail et les TTP ATT & CK, ainsi que les recommandations de sécurité pour que les organisations se protégent contre les attaques fantômes et les ransomwares en général.
