Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière les logiciels malveillants de type "data wiper" utilisés dans les cyberattaques qui ont détruit les sites web du gouvernement ukrainien et des banques, les erreurs commises par la NOAA qui ont facilité les attaques de Colonial Pipeline et d'autres, et l'acquisition par Conti des talents de TrickBot afin d'étendre les techniques d'attaque.
Des cyberattaquants ciblant l'Ukraine prennent le contrôle d'Active Directory pour diffuser un logiciel malveillant d'effacement de données
Au cours des premières heures de l'attaque russe contre l'Ukraine, les cyberattaquants ont mis hors ligne les agences gouvernementales et les banques ukrainiennes en diffusant des logiciels malveillants d'effacement de données. Dans un cas au moins, les cyberattaquants ont pris le contrôle du serveur Active Directory avant de diffuser le logiciel malveillant par l'intermédiaire d'un GPO de stratégie de domaine.
Audit : La NOAA a géré Active Directory de manière inadéquate, ce qui a conduit à Colonial Pipeline et à d'autres exploits.
Selon un audit du Bureau de l'inspecteur général des États-Unis, la National Oceanic and Atmospheric Administration (NOAA) a géré Active Directory de manière "inadéquate" et n'a pas sécurisé les cibles principales telles que les informations d'identification des utilisateurs - des vulnérabilités qui ont été exploitées dans l'attaque de Colonial Pipeline ainsi que dans d'autres attaques qui ont permis aux groupes de ransomware DarkSide et REvil d'obtenir un accès à distance à des entités américaines.
Conti acquiert le talent de TrickBot pour développer les exploits Active Directory
Le groupe Conti, spécialisé dans les ransomwares, a embauché d'anciens spécialistes de la pénétration de TrickBot afin d'accroître sa capacité à obtenir les identifiants des administrateurs de domaine Active Directory dans les systèmes des organisations victimes avant de déployer des ransomwares. Les cybercriminels ont récemment utilisé une campagne d'hameçonnage sur les clients du service postal américain pour les inciter à installer le logiciel malveillant TrickBot.
Les attaques de la Croix-Rouge exploitent une faille dans un logiciel tiers pour compromettre l'Active Directory
Des acteurs malveillants ont utilisé une faille dans Zoho ManageEngine ADSelfService Plus pour attaquer le Comité international de la Croix-Rouge (CICR), compromettant les données de plus de 515 000 personnes. La faille non corrigée a permis aux attaquants de compromettre des comptes administratifs, de se déplacer latéralement dans le système et d'exfiltrer des ruches de registre Windows et des fichiers AD.
Le FBI met en garde contre les attaques LockBit 2.0
Le Federal Bureau of Investigation (FBI) des États-Unis a publié des indicateurs de compromission (IOC) associés au ransomware LockBit 2.0, qui utilise diverses tactiques, techniques et procédures (TTP) pour compromettre les organisations victimes, notamment en abusant des stratégies de groupe AD pour crypter les appareils dans les domaines Windows.