Le groupe APT Dark Halo est derrière le piratage de SolarWinds et la violation de Malwarebytes
Table des matières :
Un nouveau groupe APT sophistiqué, surnommé Dark Halo (UNC2452, SolarStrom), a récemment émergé dans le domaine de la cybersécurité, faisant la une des journaux au cours des derniers mois. Les chercheurs pensent que cet acteur avancé pourrait être derrière l’historique piratage de SolarWinds ainsi que l’attaque contre le fournisseur de sécurité Malwarebytes.
Qui est Dark Halo ?
Les experts en sécurité de Volexity estiment que Dark Halo a commencé ses opérations malveillantes fin 2019. Le groupe a lancé plusieurs attaques contre un groupe de réflexion américain dont le nom n’a pas été révélé pour voler les e-mails de ses hauts dirigeants. On suppose que Dark Halo recherchait des données précieuses pour améliorer ses opérations de reconnaissance contre les principaux fournisseurs et organisations gouvernementales américains. Notamment, les acteurs de la menace ont appliqué un riche ensemble d’outils malveillants, y compris des outils de Red Team et des échantillons sophistiqués de logiciels malveillants. Cependant, de tels instruments ont été utilisés occasionnellement et uniquement au cas où d’autres opportunités resteraient bloquées. La sélectivité dans les méthodes s’explique par l’intention de l’APT de rester sous le radar lors de leurs activités de vol de données.
Volexity décrit trois attaques séquentielles contre le groupe de réflexion américain qui ont eu lieu au cours du troisième trimestre 2019 – deuxième trimestre 2020. Initialement, les membres de Dark Halo ont utilisé des implants sophistiqués et des chevaux de Troie avec porte dérobée pour pénétrer l’organisation et rester inaperçus. Après avoir été découverts et bloqués, les adversaires ont exploité une faille d’exécution à distance dans Microsoft Exchange Control Panel (CVE-2020-0688) pour restaurer leur accès aux actifs de l’organisation. Finalement, Dark Halo a compromis le fournisseur pour la troisième fois via des mises à jour SolarWinds Orion malicieusement modifiées.
La recherche de Volexity résonne étroitement avec les conclusionsde FireEye, permettant aux chercheurs d’estimer que Dark Halo est le même groupe UNC2452 responsable de l’attaque de SolarWinds. Bien que l’origine des hackers soit encore incertaine, les renseignements américains soupçonnent que Dark Halo travaille pour le compte du gouvernement russe.
Routine d’attaque de Dark Halo
Les chercheurs en sécurité détaillent certaines approches malveillantes que Dark Halo a appliquées pour atteindre ses objectifs. Notamment, les adversaires ont utilisé une méthode intéressante pour extraire les données des e-mails de l’application Outlook Web App (OWA) lors de leurs campagnes. Bien que les boîtes aux lettres ciblées étaient protégées par l’authentification multi-facteurs Duo, les cybercriminels ont réussi à compromettre les comptes de messagerie simplement en entrant les identifiants de connexion volés. Le deuxième facteur n’a pas été déclenché dans ce cas, et le serveur d’authentification Duo n’a enregistré aucune tentative d’authentification. L’enquête a révélé que Dark Halo avait réussi à saisir la clé secrète d’intégration Duo (akey) du serveur OWA. Ensuite, ils ont utilisé cette clé pour maîtriser le cookie duo-sid et le présenter au serveur comme une instance valide.
Quant aux activités de reconnaissance, Dark Halo s’est apparemment appuyé sur les serveurs Exchange. Plus précisément, les experts en sécurité ont identifié que les hackers ont utilisé Exchange pour récupérer une liste d’utilisateurs sur le serveur, vérifier leur rôle actuel et obtenir des données précieuses sur le répertoire virtuel configuré. De plus, les hackers ont utilisé l’outil en ligne de commande AdFind pour saisir des données de l’Active Directory.
Les experts en sécurité notent que les hackers ont porté une grande attention à dissimuler leurs actions malveillantes. Il est rapporté que les adversaires ont supprimé tous les journaux affiliés des applications ciblées et ont effacé toute trace de leurs commandes. Un tel comportement prouve à nouveau l’intention des hackers de faire de la reconnaissance, et non de la destruction, et leur désir de rester sous le radar tout en recherchant des informations précieuses.
Piratage de SolarWinds
Les chercheurs affirment avec confiance que le groupe APT Dark Halo est responsable de l’attaque historique de SolarWinds. Le groupe a compromis des dizaines d’institutions publiques et privées à travers le monde via des mises à jour SolarWinds Orion infectées par des chevaux de Troie. Comme dans les campagnes précédemment décrites, les attaquants ont utilisé plusieurs outils pour camoufler leurs activités. Par exemple, les chercheurs ont identifié deux souches malveillantes, surnommées Teardrop et epoch-making attack. The group compromised dozens of public and private institutions around the globe via Trojanized SolarWinds Orion updates. As in previously described campaigns, attackers used multiple tools to camouflage their activities. For instance, researchers identified two malicious strains, dubbed Teardrop and Raindrop, qui ont livré le Cobalt Strike Beacon aux environnements compromis et renforcé la capacité des attaquants à se déplacer latéralement à travers le réseau. L’enquête est toujours en cours, avec de nouveaux détails qui émergent constamment. Cependant, tous les experts s’accordent à dire que Dark Halo est un groupe de menace avancé, probablement parrainé par un État. Les hackers peuvent prendre en charge une routine d’attaque complexe pour voler des données sensibles des organisations qui les intéressent.
Violation de Malwarebytes
Le 19 janvier 2021, une autre entreprise de sécurité, Malwarebytes, a annoncé qu’elle avait été victime de l’attaque de Dark Halo. Selon le communiqué officiel du PDG de Malwarebytes, les hackers ont réussi à pénétrer dans plusieurs comptes de messagerie d’employés de l’entreprise. Il est rapporté que les adversaires se sont appuyés sur une faille de sécurité dans l’Azure Active Directory et une application de sécurité Office 365 dormante pour saisir les données des e-mails. Malwarebytes affirme que cette violation n’est pas liée au piratage de SolarWinds puisque l’entreprise ne s’appuie sur aucun logiciel SolarWinds dans sa routine quotidienne. De plus, la société indique que les hackers n’ont pas accédé à aucun de ses environnements, donc tous les produits restent sûrs à utiliser.
La compromission de Malwarebytes fait passer le nombre de fournisseurs de sécurité compromis par Dark Halo à quatre, avec FireEye, Microsoft, et CrowdStrike déjà sur cette liste.
Détection de Dark Halo
Pour détecter une éventuelle activité de Dark Halo, l’équipe SOC Prime d’ingénieurs de chasse aux menaces a publié une règle Sigma dédiée :
https://tdm.socprime.com/tdm/info/FYiZuTI6GcQ2/fyKSZHYBR-lx4sDxgRZ7/
La règle a des traductions vers les plateformes suivantes :
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK :
Tactiques : Découverte
Techniques : Découverte de comptes (T1087)
De plus, vous pouvez télécharger un pack de règles de notre équipe contenant des règles de corrélation en temps réel pour QRadar afin de détecter la présence de Dark Halo (UNC2452) dans votre réseau :
https://tdm.socprime.com/tdm/info/nDm8Ct8egXfC/gScmbHYBR-lx4sDxOBVC/
Plus de règles liées à l’activité malveillante de Dark Halo peuvent être trouvées dans nos articles de blog dédiés à la violation de FireEye , l’analyse du cheval de Troie SUNBURST , et Raindrop l’aperçu des logiciels malveillants. Des détails supplémentaires sur l’incident SolarWinds sont disponibles dans nos publications consacrées à l’attaque Golden SAML et la porte dérobée SUPERNOVA .
Vous cherchez le meilleur contenu SOC pour améliorer vos capacités de détection des menaces ? Abonnez-vous au Threat Detection Marketplace, une plateforme de contenu de détection des menaces en tant que service (CaaS) leader dans l’industrie qui aide les équipes SecOps à améliorer leurs analyses de sécurité. Vous souhaitez produire vos propres règles Sigma et créer un contenu de détection dédié ? Rejoignez notre programme Threat Bounty pour partager vos idées avec la communauté SOC Prime !
