Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière des attaquants qui utilisent le Bumblebee Loader pour exploiter les services Active Directory, un groupe de menace iranien qui exploite Log4j dans une campagne contre Israël, une faille de Windows qui pourrait permettre aux attaquants de compromettre les contrôleurs de domaine, et bien plus encore.
Des attaquants utilisent le chargeur Bumblebee pour exploiter les services Active Directory
Les acteurs de la menace utilisent le chargeur Bumblebee pour procéder à une escalade des privilèges, à une reconnaissance et à un vol d'informations d'identification sur les réseaux cibles. Les cybercriminels utilisent ensuite les informations d'identification volées d'un utilisateur hautement privilégié pour accéder à Active Directory.
Le groupe de menace Nobelium utilise la capacité MagicWeb pour maintenir l'accès aux systèmes compromis
Le groupe de menace responsable de l'attaque de SolarWinds a conçu un moyen de maintenir la persistance dans les environnements compromis grâce à une capacité appelée MagicWeb. Après avoir obtenu l'accès à des informations d'identification hautement privilégiées et s'être déplacé latéralement pour obtenir des privilèges sur un système Active Directory Federated Services (ADFS), Nobelium utilise MagicWeb pour créer une porte dérobée. Les acteurs de la menace peuvent également utiliser MagicWeb pour infiltrer Azure AD.
Des attaquants iraniens exploitent Log4j dans une campagne contre Israël
Un groupe de menace iranien, connu sous les noms de MuddyWater et Mercury, exploite la vulnérabilité Log4j pour compromettre les réseaux d'entreprises israéliennes. Le groupe utilise les failles de Log4j pour accéder aux systèmes, puis élève les privilèges et utilise Mimikatz pour continuer à collecter des informations d'identification auprès des contrôleurs de domaine Active Directory.
Une faille dans Windows pourrait permettre à des pirates de prendre le contrôle de centres de données
Une vulnérabilité (CVE-2022-30216) dans les appels de procédure à distance (RPC) pour le service Windows Server pourrait permettre à des cybercriminels de prendre le contrôle des contrôleurs de domaine (DC) - y compris les services et les données - dans des configurations réseau spécifiques.
Un groupe de ransomware cible Active Directory pour déployer des logiciels malveillants
Le groupe Agenda, spécialisé dans les ransomwares, a ciblé des systèmes Windows lors d'attaques contre des organismes de santé et d'éducation en Indonésie, en Arabie Saoudite, en Afrique du Sud et en Thaïlande. Agenda utilise des informations d'identification falsifiées pour accéder à Active Directory, installer des outils d'analyse, créer des objets de stratégie de groupe et déployer des ransomwares sur les machines du réseau.
Un groupe APT chinois cible les organisations militaires et de recherche avec des attaques liées à l'identité
En ciblant des vulnérabilités connues et en utilisant des techniques d'évasion de détection connues, un groupe APT chinois a lancé des campagnes contre des organisations militaires et de recherche qui impliquent de compromettre des contrôleurs de domaine et de mener des attaques de type Kerberoasting sur Active Directory.
Un groupe APT russe cible les comptes Microsoft 365 pour compromettre Azure AD
Le groupe de menace russe CozyBear (alias APT29 et Nobelium) a ciblé les comptes Microsoft 365 dans le cadre de campagnes d'espionnage contre les pays de l'OTAN. Le groupe exploite le processus d'auto-enrôlement pour l'authentification multifactorielle (MFA) dans Azure Active Directory pour mener des attaques par force brute sur les noms d'utilisateur et les mots de passe.