Les cyberattaques ciblant Active Directory (AD) sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière de nouvelles informations sur des attaques récentes liées à l'identité, notamment les attaques HermeticWiper contre des organisations ukrainiennes, la campagne d'ingénierie sociale Lapsus$ (alias Dev-0537) et les attaques AvosLocker contre des cibles d'infrastructures critiques.
Des attaquants ont obtenu un accès AD et déployé HermeticWiper lors d'attaques contre des organisations ukrainiennes.
Dans le cadre d'une campagne planifiée depuis des mois, les acteurs de la menace ont accédé aux serveurs AD et ont déployé le logiciel malveillant HermeticWiper par le biais de la politique de domaine par défaut.
Lapsus$ alias Dev-0537 utilise l'ingénierie sociale et l'extorsion pour accéder aux systèmes d'information.
Par le biais de l'ingénierie sociale et de l'extorsion, le groupe de ransomware Lapsus$ (Dev-0537) a utilisé des identifiants compromis pour accéder aux systèmes d'information des organisations, y compris les fournisseurs d'identité tels que Azure Active Directory et Okta.
Le service de ransomware AvosLocker s'attaque à des infrastructures critiques
En utilisant diverses méthodes pour obtenir des privilèges d'administrateur de domaine sur les comptes AD des victimes, le groupe de ransomware-as-a-service AvosLocker a ciblé de nombreuses organisations dans des secteurs d'infrastructure critiques, notamment des organisations gouvernementales, des entreprises manufacturières et des services financiers.
LockBit 2.0 assume la responsabilité de l'attaque de Bridgestone
Le groupe LockBit 2.0, spécialisé dans les rançongiciels en tant que service, a récemment revendiqué des attaques contre le fournisseur automobile japonais Bridgestone. LockBit utilise diverses tactiques, techniques et procédures (TTP) pour compromettre les organisations victimes, notamment en abusant des stratégies de groupe AD pour chiffrer les appareils dans les domaines Windows.
La CISA renouvelle les avertissements concernant le correctif PrintNightmare et la configuration de l'AMF
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), dans un avis conjoint avec le FBI, a émis de nouveaux avertissements selon lesquels les pirates russes exploitent activement des failles non corrigées, telles que PrintNightmare, et des pratiques risquées, telles que des politiques d'AMF non appliquées, qui leur permettent d'accéder à des réseaux et de déployer des logiciels malveillants.