Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met l'accent sur les actions visant à atténuer deux vulnérabilités d'Active Directory qui pourraient permettre aux attaquants de prendre le contrôle de domaines Windows, sur la vulnérabilité de Log4j et sur les nouvelles activités du groupe de ransomware Cuba.
Il est conseillé d'appliquer des correctifs et de prendre des mesures supplémentaires pour remédier aux vulnérabilités d'Active Directory
Après avoir publié des correctifs de sécurité pour deux vulnérabilités Active Directory lors du Patch Tuesday de novembre 2021, Microsoft a exhorté ses clients, le 20 décembre, à appliquer ces correctifs immédiatement afin d'empêcher les attaquants de prendre le contrôle des domaines Windows. Outre l'application des correctifs, les entreprises peuvent prendre des mesures supplémentaires pour empêcher la création non autorisée de comptes susceptibles de conduire à une escalade des privilèges et à une attaque.
Le ransomware Conti exploite la vulnérabilité de Log4j
Le groupe Conti, basé en Russie, a mis au point une chaîne d'attaque complète basée sur la vulnérabilité Log4j de la bibliothèque de journalisation Apache, découverte en décembre. La méthode d'attaque comprend le Kerberoasting, qui extrait les informations d'identification des comptes de service de l'Active Directory. La vulnérabilité Log4j est soupçonnée d'être à l'origine d'une attaque par ransomware contre Kronos, l'un des plus grands éditeurs de logiciels de gestion des ressources humaines, qui a perturbé les systèmes de paie d'organisations telles que la New York Metropolitan Transportation Authority (MTA) et de nombreux hôpitaux.
Le FBI met en garde contre l'activité d'un groupe de ransomware cubain ciblant les infrastructures critiques
Le Federal Bureau of Investigation (FBI) des États-Unis a découvert des tactiques, notamment des identifiants compromis, utilisées par le groupe de ransomwares de Cuba pour compromettre des dizaines d'infrastructures critiques dans les secteurs de la santé, d'ADministration publique et d'autres secteurs d'activité.
Les tactiques du ransomware ALPHV BlackCat incluent la configuration des identifiants de domaine.
Le groupe de recherche MalwareThreatHunter a découvert ALPHV BlackCat, un nouveau ransomware sophistiqué qui comprend un ensemble de fonctionnalités personnalisables permettant aux acteurs de la menace - entre autres tactiques - de configurer des identifiants de domaine pour diffuser des logiciels malveillants et crypter des appareils sur le réseau.
Plus de ressources
Vous souhaitez renforcer les défenses de votre Active Directory contre les cyberattaques ? Consultez nos dernières ressources.