APT35 utilise les vulnérabilités ProxyShell pour déployer plusieurs WebShells
Table des matières :
Une nouvelle vague d’attaques APT35 parrainées par l’État iranien a été observée par les chercheurs au cours des derniers mois. Une nouvelle étude montre que APT35 (alias TA453, COBALT ILLUSION, Charming Kitten, ITG18, Phosphorus, Newscaster) a de plus en plus exploité les vulnérabilités Microsoft Exchange ProxyShell pour un accès initial et exploite de nombreux vecteurs d’attaque différents une fois qu’ils ont accédé aux réseaux des victimes.
Faites défiler vers le bas pour voir nos dernières règles de détection qui aideront les équipes SOC à identifier les dernières activités d’APT35 pendant et après l’exploitation de ProxyShell.
Détection des attaques APT35 impliquant ProxyShell
APT35 ne s’arrête pas simplement à l’exploitation des vulnérabilités Microsoft Exchange ProxyShell après leurs campagnes d’accès initial. Découvrez ci-dessous les règles créées par nos développeurs Threat Bounty Furkan Celik, Osman Demir, Nattatorn Chuensangarun, et Aytek Aytemur pour repérer l’exécution d’un Webshell, la persistance des acteurs de la menace et l’accès aux identifiants. Connectez-vous à votre compte sur notre plateforme pour accéder immédiatement aux règles Sigma ainsi qu’à plus de 20 traductions en formats spécifiques aux vendeurs pour un déploiement facile.
Ces règles couvrent les techniques suivantes du cadre MITRE ATT&CK® v.10 : Exploit Public-Facing Application, Tâche/Emploi Planifié, Découverte d’Informations Système, Exploitation pour Accès aux Identifiants, et Vidage d’Identifiants Système.
De plus, les règles ci-dessous vous aideront à détecter l’exploitation des vulnérabilités ProxyShell avant que les tactiques post-exploitation ne soient déclenchées :
Attaque ProxyShell Exchange réussie
CVE-2021-34473 Exchange Server RCE (Proxyshell)
Appuyez sur le bouton ci-dessous pour vérifier le contenu de détection le plus récent associé à la dernière évolution des tactiques d’APT35. Et si vous avez des découvertes supplémentaires que vous souhaitez partager, nous vous encourageons à participer à notre initiative de crowdsourcing en soumettant vos propres règles de détection.
Voir les Détections Rejoindre Threat Bounty
Exploitation des vulnérabilités ProxyShell
Vulnérabilités ProxyShell (CVE-2021-31207,CVE-2021-34523,CVE-2021-34473) permettent l’exécution de code à distance dans Microsoft Exchange. Elles ont été détaillées par le chercheur en sécurité Orange Tsai et révélées pour la première fois en avril 2021 lors du concours de piratage Pwn2Own à Vancouver.
Récemment, des hackers d’APT35 ont été repérés utilisant les exploits ProxyShell pour atteindre leurs fins malveillantes. En particulier, les chercheurs suggèrent qu’APT35 utilise des scripts automatisés pour l’accès initial et d’autres activités, car la même séquence et nature de commandes ont été répétées dans différents cas sur une courte période.
Aux étapes initiales de l’attaque, les adversaires téléchargent un webshell et désactivent tout logiciel antivirus. Ensuite, ils suivent deux méthodes de persistance : tâches planifiées et un compte nouvellement créé. Ce dernier est ajouté aux groupes d’administrateurs locaux et aux utilisateurs distants.
Juste après cela, les attaquants ont dressé un inventaire de l’environnement à l’aide de programmes natifs de Windows tels que net et ipconfig, désactivant la protection LSA, activant WDigest, vidant la mémoire du processus LSASS, et téléchargeant les résultats à l’aide du webshell.
Pour continuer à anticiper les nouvelles menaces émergentes, les organisations se tournent vers une approche de défense collaborative. Exploitez la puissance de l’expertise fournie par la communauté mondiale des esprits les plus brillants en cybersécurité en vous inscrivant à la plateforme Detection as Code de SOC Prime . Rationalisez vos opérations SOC et rendez la détection des menaces plus rapide, plus facile et plus efficace.
