Forefront Aperçu : Attaques d'États-nations et nouveaux vecteurs d'attaque

Bienvenue dans cette nouvelle édition de Forefront Insights. Suite aux réactions de nos lecteurs, nous avons décidé de publier ces articles tous les lundis, au lieu des vendredis, étant donné que les événements évoluent souvent de manière significative au cours du week-end ! Nous sommes aujourd'hui le 22 avril, et voici quelques-unes des dernières nouvelles du monde de la cybersécurité !

Violation de la MITRE Corporation par un État-nation

Cette semaine, la communauté de la cybersécurité a été alertée d'une violation sophistiquée de la MITRE Corporation, perpétrée par un acteur étatique. MITRE fait partie intégrante de la sécurité nationale des États-Unis et gère plusieurs centres de recherche et de développement financés par le gouvernement fédéral. L'intrusion a impliqué l'exploitation de deux vulnérabilités critiques : CVE-2023-46805, avec un score CVSS de 8,2, et CVE-2024-21887, avec un score CVSS de 9,1. Ces vulnérabilités ont permis aux attaquants de contourner les mécanismes d'authentification et d'exécuter des commandes arbitraires sur les systèmes compromis.

Les attaquants ont commencé leur campagne par des courriels de spear-phishing, qui ont conduit à l'installation d'une porte dérobée pour l'accès initial. Par la suite, ils ont exploité les CVE mentionnés ci-dessus pour obtenir un accès et un contrôle plus profonds sur les systèmes de MITRE. Après la compromission initiale, les attaquants se sont déplacés latéralement au sein du réseau, ciblant et violant son infrastructure VMware à l'aide d'un compte administrateur compromis. Ce déplacement latéral a permis de déployer d'autres portes dérobées et shells web, ce qui a facilité la persistance dans le réseau et la collecte d'informations d'identification.

Il est toutefois important de noter que MITRE a indiqué que son réseau d'entreprise central, connu sous le nom de NERVE - un réseau collaboratif non classifié fournissant des ressources de stockage, de calcul et de mise en réseau - n'a pas été touché par cette violation. Cela suggère que si les attaquants ont pu infiltrer certains aspects des systèmes de MITRE, l'infrastructure opérationnelle de base reste sécurisée et il n'y a aucune preuve que les systèmes des partenaires aient été affectés.

Pour nos clients, cela souligne l'importance de sécuriser les périmètres organisationnels contre des menaces sophistiquées similaires. Le renforcement de la sécurité des terminaux, l'amélioration des processus d'authentification des utilisateurs et la surveillance accrue du réseau sont des mesures essentielles pour protéger les données sensibles contre ces intrusions de haut niveau.

Pour en savoir plus sur cet incident : MITRE Corporation Breached by Nation-State Hackers Exploiting Ivanti Flaws (thehackernews.com)

Attaques d'identité sans réseau

Avec l'escalade des attaques basées sur l'identité, nous assistons à un changement significatif dans le paysage de la cybersécurité. Le dernier rapport mondial de CrowdStrike sur les menaces indique que 75 % des attaques liées à l'accès ne contenaient pas de logiciels malveillants, mais s'appuyaient sur des techniques plus discrètes telles que le vol d'informations d'identification et la manipulation des processus d'authentification standard. Ces chiffres reflètent une tendance croissante aux attaques visant le "cloud", qui ont connu une augmentation spectaculaire de 110 %. Ces attaques sont des tentatives délibérées de cibler les services en nuage, visant à compromettre des fonctionnalités spécifiques plutôt que d'exploiter des vulnérabilités de manière opportuniste.

En outre, Microsoft fait état d'environ 4 000 attaques par mot de passe par seconde ciblant les identités dans le nuage. Google a également indiqué que les attaques visant à voler les cookies de session pour contourner l'authentification multifactorielle (MFA) se produisent à une fréquence alarmante, presque aussi élevée que les attaques basées sur les mots de passe.

Les attaques très médiatisées menées par des groupes comme APT29 (également connu sous le nom de Cozy Bear ou The Dukes) et Scattered Spider (également connu sous le nom de 0ktapus), ciblant les services de fournisseurs d'identité (IdP), les applications SaaS (Software as a Service) et les mécanismes d'authentification unique/OAuth, démontrent l'orientation stratégique des acteurs de la menace moderne. Ces atteintes à des plateformes majeures telles que Microsoft et Okta mettent en évidence le besoin critique de stratégies robustes de protection de l'identité.

En réponse à ces développements, il est essentiel que les organisations améliorent leurs mesures de protection de l'identité. Il peut s'agir de renforcer les processus d'authentification des utilisateurs, de mettre en œuvre des cadres de confiance zéro et d'accroître la sensibilisation et la formation des employés afin qu'ils reconnaissent et atténuent les risques associés aux attaques basées sur l'identité. Nous travaillons en étroite collaboration avec nos partenaires pour sécuriser leurs applications SaaS et leur infrastructure au sens large en utilisant les solutions avancées Zero Trust de Cloudflare et Duo.

Pour en savoir plus sur ce vecteur d'attaque : Comment les attaquants peuvent s'approprier une entreprise sans toucher au site Endpoint (thehackernews.com)

Les commentaires GitHub sont utilisés pour diffuser des logiciels malveillants

Une nouvelle méthode de distribution de logiciels malveillants a été signalée, impliquant l'utilisation abusive des commentaires GitHub. Les attaquants intègrent des URL malveillantes dans les commentaires de dépôts populaires, qui redirigent ensuite vers des sites chargés de logiciels malveillants lorsqu'ils sont cliqués par des utilisateurs peu méfiants. Cette technique met en évidence un nouveau vecteur d'attaque : l'utilisation abusive de la confiance et de l'utilité de plateformes telles que GitHub pour diffuser des logiciels malveillants.

Les organisations doivent sensibiliser leurs développeurs aux risques liés à l'interaction avec des liens inconnus et veiller à ce que des mesures de sécurité adéquates soient mises en place, notamment l'utilisation de solutions de filtrage du web et de lutte contre les logiciels malveillants, afin d'empêcher ces menaces de compromettre les systèmes.

En savoir plus sur cette vulnérabilité : GitHub comments abused to push malware via Microsoft repo URLs (bleepingcomputer.com)

En conclusion

Alors que le paysage des menaces numériques continue d'évoluer, il est primordial de rester informé des dernières méthodologies d'attaque et d'améliorer nos stratégies défensives. Sur Forefront, nous nous engageons à vous fournir les informations et les outils nécessaires pour protéger votre infrastructure et vos données sensibles contre des cyber-menaces de plus en plus sophistiquées.

Jusqu'à la semaine prochaine,

Ilyas Esmail
CEO, Forefront