Des acteurs distincts ont exploité la même exposition, créant des intrusions superposées qui ont obscurci la détection et la réponse.
Ce qui a commencé comme une enquête de routine sur un ransomware a révélé la présence de deux attaquants indépendants opérant simultanément au sein du même réseau victime, chacun masquant l’activité de l’autre et compliquant la réponse.
La découverte a été faite lors d’un engagement de l’équipe de détection et de réponse Microsoft (DART) impliquant Storm-2603, un acteur menaçant associé au déploiement de ransomwares. Les enquêteurs ont d’abord cru suivre une seule intrusion avant d’identifier une chaîne d’attaque distincte impliquant un ensemble d’outils, d’infrastructures et d’objectifs différents.
« Cette affaire met en évidence une réalité croissante : les attaques modernes ne sont pas toujours des événements isolés. Parfois, elles se chevauchent entre des campagnes », a déclaré Microsoft dans son dernier rapport sur les cyberattaques.
La société a déclaré que l’activité liée à un acteur a initialement masqué les preuves associées à l’autre, compliquant les efforts visant à déterminer l’ampleur complète de la compromission et à reconstituer la chronologie de l’attaque.
« Ce n’est qu’en corrélant la télémétrie de l’identité, du point final et du cloud que la portée complète de l’attaque est devenue claire », ajoute le rapport.
L’enquête s’est finalement étendue au-delà de l’environnement d’origine et a conduit DART à identifier une deuxième organisation compromise connectée à la chaîne d’attaque plus large, selon Microsoft.
Deux attaquants, un environnement
L’enquête a débuté après que les attaquants ont exploité les vulnérabilités des serveurs SharePoint sur site et établi la persistance au sein de l’environnement de la victime.
Microsoft a attribué cette activité à Storm-2603, qui a utilisé Cloudflare Tunnel, Zoho Assist, Visual Studio Code Remote SSH et Velociraptor lors de l’intrusion. L’acteur a également créé des comptes d’administrateur non autorisés et utilisé un pilote vulnérable pour désactiver les contrôles de sécurité avant de déployer un ransomware, indique le rapport.
En reconstituant la chronologie de l’attaque, les enquêteurs ont identifié une activité qui ne correspondait pas aux tactiques, techniques et procédures de l’opérateur du ransomware.
Une analyse plus approfondie a révélé ce que Microsoft a décrit comme une intrusion distincte. Selon le rapport, le deuxième acteur a utilisé des techniques de chargement latéral de DLL, des portes dérobées personnalisées, un accès VPN via une infrastructure de serveur privé virtuel et a tenté d’accéder aux bases de données d’informations d’identification Active Directory.
Microsoft a déclaré que l’activité représentait une chaîne d’attaque distincte opérant dans le même environnement.
« Deux acteurs distincts de la menace opéraient simultanément dans le même environnement », a déclaré Microsoft dans son rapport, chacun masquant l’autre et obscurcissant toute la portée de l’intrusion.
Les intrusions superposées sont plus courantes que ne l’admettent les fournisseurs, a déclaré Vibhum Dubey, chercheur indépendant en cybersécurité et membre de l’équipe rouge.
« La plupart des intervenants hésitent à conclure que plusieurs acteurs indépendants opèrent dans le même environnement. Ils peuvent donc passer un temps considérable à essayer de construire une chaîne de destruction unique et cohérente à partir de ce qui sont en réalité des intrusions distinctes », a déclaré Dubey.
Deux groupes atterrissant sur le même serveur SharePoint exposé sont rarement coordonnés, a-t-il déclaré, mais « deux groupes distincts analysant les mêmes flux CVE et ayant de la chance autour de la même fenêtre ». Le résultat, a-t-il ajouté, est « le même environnement, aucune intention partagée ».
Ce chevauchement est également ce qui rend ces cas difficiles à démêler, a déclaré Dubey.
Comment la brèche s’est propagée
L’enquête s’est élargie lorsque des preuves médico-légales ont montré que les attaquants avaient dépassé le premier réseau. DART a contacté une deuxième organisation et a confirmé qu’elle avait été touchée par la même activité de ransomware Storm-2603, montrant que la portée de l’acteur s’étendait au-delà de la première victime.
Le confinement est l’endroit où les intrusions superposées sont les plus dures, a déclaré Dubey. L’expulsion d’un groupe et la rotation des informations d’identification peuvent alerter un deuxième acteur qui n’a jamais été pleinement identifié. « L’acteur B, que vous n’avez jamais complètement identifié, fait du bruit parce que vous venez de secouer son environnement », a-t-il déclaré. Ce que DART a réussi, a-t-il ajouté, c’est d’utiliser les renseignements sur les menaces pour séparer les groupes d’artefacts avant d’agir, « la discipline qui a fait la différence ».
DART a contenu les deux intrusions à l’aide d’un manuel de réponse structuré, indique le rapport, regroupant la télémétrie des identités, des points finaux et des services cloud dans une vue unique pour détecter les comportements anormaux, signaler l’utilisation abusive des informations d’identification et suivre les attaquants. L’entreprise a informé quotidiennement le client concerné et a travaillé avec Microsoft Threat Intelligence pour confirmer que les deux acteurs étaient actifs en parallèle. Ce n’est qu’en « corrélant la télémétrie de l’identité, du point de terminaison et du cloud », a déclaré Microsoft, que toute la portée de l’attaque est devenue claire.
Quelles entreprises devraient en retirer ?
Microsoft a exhorté les organisations à donner la priorité à l’application de correctifs pour les systèmes connectés à Internet, en particulier SharePoint sur site, et à traiter les identités privilégiées comme une surface d’attaque principale, avec des contrôles et une surveillance plus stricts.
Il recommande également de déployer largement la protection des points finaux, de centraliser la télémétrie, de restreindre l’accès à distance et les outils de développement dont les attaquants abusent, et de conserver des playbooks de réponse aux incidents testés prêts à isoler rapidement les comptes compromis.
Pour Dubey, la cause profonde est plus simple que les investigations qui ont suivi : « une boîte connectée à Internet est restée sans correctif assez longtemps pour que plus d’un acteur puisse franchir la porte ». Tout ce qui a suivi, a-t-il dit, « s’est déroulé en aval de cet échec unique ».
Microsoft n’a pas immédiatement répondu à une demande de commentaire.
