Les Courtiers en Accès Initial Visent Désormais des Victimes de Grande Valeur et Imposent des Tarifs Premium

Résumé

L’examen par Rapid7 des listings de la deuxième moitié de 2025 sur cinq forums de cybercriminalité suggère que les brokers d’accès initial se tournent vers de plus grandes entreprises et facturent plus pour obtenir des points d’ancrage avec des privilèges plus élevés. L’accès privilégié au VPN et au RDWeb dans les environnements réglementés est annoncé aux prix les plus élevés. Les annonces mettent encore l’accent sur le RDP, le VPN et le RDWeb, mais elles promeuvent de plus en plus des identifiants élévés jusqu’à Admin de Domaine. Les nouveaux marchés tels que DarkForums et RAMP animent désormais une grande partie de l’activité, aux côtés des ventes d’un exploit pour CVE-2025-61882 dans Oracle E-Business Suite.

Investigation

Le rapport a analysé six mois de publications sur Exploit, XSS, DarkForums, BreachForums et RAMP, en suivant le type d’accès, le niveau de privilège, le secteur et la géographie. Les conclusions incluent l’augmentation des prix, une focalisation sur les cibles gouvernementales, de détail et informatiques, et des références à un exploit zero-day lié à l’activité Cl0p.

Atténuation

Appliquez le principe du moindre privilège, exigez une MFA pour l’accès à distance, et alertez sur les connexions anormales et les changements de privilège. Supprimez l’exposition à Internet pour RDP/VPN/RDWeb dans la mesure du possible, et invalidez rapidement les identifiants volés.

Réponse

Si un accès suspect est détecté, isolez le compte, changez les identifiants, confirmez la MFA, et recherchez un déplacement latéral. Partagez les IOCs via le renseignement sur les menaces et surveillez les forums pour des listings connexes.

Exécution de la simulation

Condition préalable : La vérification préalable de télémétrie et de base doit avoir été réussie.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

• Narratif d’attaque & Commandes :
  L’adversaire a identifié que Oracle E‑Business Suite sur le serveur web cible est vulnérable à CVE‑2025‑61882. Pour l’exploiter, ils concoctent une requête HTTP GET visant un point de terminaison vulnérable, insérant la chaîne de caractères littérale « CVE-2025-61882 » dans l’URI. Comme la règle Sigma surveille cette chaîne exacte, la requête générera une entrée de journal correspondante, provoquant une alerte. L’attaquant utilise curl pour éviter tout outil côté client qui pourrait être signalé.

• Script de test de régression :

  #!/usr/bin/env bash
  #
  # Simule une tentative d'exploitation de CVE-2025-61882 sur un serveur Apache local.
  # Génère la télémétrie exacte requise pour la règle Sigma.
  
  set -euo pipefail
  
  TARGET="http://localhost"
  VULN_PATH="/OA_HTML/CVE-2025-61882/exploit"
  
  echo "[*] Envoi de la requête d'exploitation à ${TARGET}${VULN_PATH}"
  curl -s -o /dev/null "${TARGET}${VULN_PATH}"
  
  echo "[+] Requête envoyée. Vérifiez Splunk pour l'alerte."

• Commandes de nettoyage :

  # Aucun changement persistant n'a été fait au système cible.
  # Facultativement, effacez l'entrée de test du journal Apache pour garder la base propre.
  
  sudo truncate -s 0 /var/log/apache2/access.log
  echo "[+] Journal d'accès Apache effacé."