Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met l'accent sur les avertissements de Microsoft concernant la nouvelle campagne de ransomware Prestige, l'activité accrue de Hive et les nouvelles attaques zero-day d'Exchange Server.
Microsoft met en garde contre le ransomware Prestige
Le Microsoft Threat Intelligence Center (MSTIC) a mis en garde contre une nouvelle campagne de ransomware visant des organisations de transport et de logistique en Ukraine et en Pologne. Les attaquants s'appuient sur l'accès à des informations d'identification hautement privilégiées, telles que l'administrateur de domaine, pour propager le logiciel malveillant par le biais de tactiques telles que la copie de la charge utile du ransomware sur un contrôleur de domaine Active Directory et le déploiement par le biais de l'objet de stratégie de groupe du domaine par défaut.
Le groupe de ransomwares Hive frappe l'entreprise énergétique indienne Tata Power
Le groupe de ransomware Hive a revendiqué la responsabilité d'une cyberattaque contre l'entreprise énergétique indienne Tata Power, qui a compromis les systèmes informatiques et divulgué des données volées à des employés. Entre autres tactiques, Hive, qui a également revendiqué la récente attaque contre le gouvernement du Costa Rica, utilise un logiciel d'administration à distance pour infiltrer les systèmes et établir une persistance, puis déploie des outils tels qu'ADRecon pour cartographier l'environnement AD.
Microsoft met en garde contre de nouvelles attaques de type "zero-day" contre Exchange Server
Les attaquants utilisent de nouveaux exploits de type "zero-day" pour compromettre des réseaux et voler des données en accédant à des services internes et en exécutant du code à distance. Les vulnérabilités permettent aux attaquants d'avoir un "accès direct au clavier", qu'ils utilisent pour effectuer une reconnaissance de l'Active Directory.
Le groupe de ransomware LockBit cible le concessionnaire automobile britannique Pendragon
Le gang du ransomware LockBit s'est introduit dans le groupe Pendragon, qui possède 200 concessionnaires automobiles au Royaume-Uni, et aurait volé certaines données sans parvenir à obtenir une rançon de Pendragon. Le groupe LockBit utilise diverses tactiques, techniques et procédures (TTP) pour compromettre les organisations victimes, notamment en abusant des politiques de groupe AD pour chiffrer les appareils dans les domaines Windows.