Détection de l’attaque par ransomware de l’équipe ELPACO: les hackers exploitent une vulnérabilité d’Atlassian Confluence (CVE-2023-22527) pour accéder à RDP et activer l’exécution de code à distance
Table des matières :
Dans le paysage en évolution rapide des ransomwares d’aujourd’hui, les acteurs de la menace accélèrent leurs tactiques pour accéder et déployer des charges utiles à une vitesse alarmante. De plus en plus, les attaquants exploitent des vulnérabilités connues comme points d’entrée, comme on l’a vu dans une attaque récente où des adversaires ont exploité CVE-2023-22527, une faille d’injection de modèle de gravité maximale dans Atlassian Confluence, pour compromettre un système exposé à Internet. Seulement 62 heures plus tard, les adversaires ont exécuté l’étape suivante : déployer le ransomware de l’équipe ELPACO ELPACO, une variante de Mimic, qui ciblait les serveurs de sauvegarde et de fichiers critiques via RDP et les partages SMB.
Détecter l’exploitation de CVE-2023-22527 pour déployer le ransomware de l’équipe ELPACO
Selon Sophos, le coût moyen de récupération des ransomwares a grimpé à 2,73 millions de dollars en 2024, soit une augmentation stupéfiante de 500 % par rapport à l’année précédente. Cette forte augmentation souligne l’impact financier croissant des cyberattaques et le besoin urgent de stratégies de défense plus proactives. Pour anticiper les menaces comme l’incident récent du ransomware de l’équipe ELPACO, les défenseurs du cyberspace ont besoin d’une CTI fiable, opportune et de contenus de détection exploitables pour toujours garder une longueur d’avance sur les attaquants.
S’inscrire sur la plateforme SOC Prime et accéder à un ensemble dédié de règles Sigma traitant de la campagne récente exploitant la vulnérabilité d’Atlassian Confluence (CVE-2023-22527) pour la distribution du ransomware de l’équipe ELPACO. Le contenu de détection sélectionné est soutenu par une suite de produits complète pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée, et la détection avancée des menaces. Il suffit de cliquer sur Explorer les détections ci-dessous et de plonger immédiatement dans un ensemble de contenus pertinents.
De plus, les professionnels de la sécurité peuvent localiser du contenu de détection spécifique à l’exploitation de CVE-2023-22527 en parcourant le Marché de la Détection des Menaces à l’aide du tag CVE ID. Les défenseurs peuvent également explorer l’ensemble de la collection de règles de détection pour l’exploitation des vulnérabilités en recherchant avec le tag plus large «CVE» ou appliquer le tag «Ransomware» pour accéder à un ensemble de règles de détection couvrant les attaques de ransomwares dans le monde entier.
Toutes les règles de la plateforme SOC Prime sont compatibles avec de multiples solutions SIEM, EDR, et Data Lake et sont mappées au cadre MITRE ATT&CK®. De plus, chaque règle est accompagnée de métadonnées détaillées, y compris des références de renseignement sur les menaces , des chronologies d’attaques, des recommandations de triage, et bien plus.
En plus, les experts en sécurité peuvent rationaliser l’enquête sur les menaces en utilisant Uncoder AI – un IDE privé et co-pilote pour l’ingénierie de détection informée par les menaces – maintenant entièrement gratuit et disponible sans limites de jeton sur les fonctionnalités de l’IA. Générez des algorithmes de détection à partir de rapports de menaces bruts, permettez des balayages rapides d’IOC avec des requêtes optimisées pour les performances, prédisez des tags ATT&CK, optimisez le code de requête avec des conseils d’IA, et traduisez-le dans plusieurs langues SIEM, EDR, et Data Lake.
Analyse CVE-2023-22527 : Attaques par le ransomware de l’équipe ELPACO
Les défenseurs ont récemment identifié une campagne d’attaque sophistiquée dans laquelle des acteurs de la menace ont armé une vulnérabilité connue dans un serveur Confluence non corrigé exposé à Internet pour lancer une opération de ransomware.
La violation, qui a eu lieu au début de l’été 2024, impliquait l’exploitation de CVE-2023-22527, une vulnérabilité d’injection de modèle avec un score CVSS atteignant 10,0. La faille affecte les versions plus anciennes de Confluence Data Center et Server (de 8.0.x à 8.4.x, ainsi que de 8.5.0 à 8.5.3), facilitant le RCE et l’accès non autorisé. Notamment, les attaquants ont attendu environ 62 heures après la compromission initiale avant de déployer le ransomware, indiquant une approche délibérée et furtive.
La chaîne d’infection a commencé avec l’exploitation de CVE-2023-22527 sur un serveur Confluence. L’analyse du trafic réseau a montré la technique utilisée, les attaquants ayant initialement exécuté une commande « whoami » pour tester l’accès avant de délivrer des charges utiles plus nocives. Selon les recherches du DFIR Report, une fois à l’intérieur, les adversaires ont exécuté à plusieurs reprises un ensemble d’actions, telles que le déploiement de charges utiles Metasploit , l’établissement de connexions C2 et l’installation de AnyDesk pour maintenir un accès persistant. Ils ont ensuite escaladé les privilèges, extrait des informations d’identification à l’aide d’outils comme Mimikatz, activé l’accès RDP, et se sont déplacés latéralement à travers le réseau. Aux dernières étapes de la chaîne d’attaque, les attaquants ont déployé le ransomware de l’équipe ELPACO, une variante connue du ransomware Mimic. Bien que les attaquants aient supprimé certains journaux d’événements, il n’y avait aucune preuve d’exfiltration significative de données pendant l’attaque.
Un détail clé de la campagne était la réutilisation d’une seule adresse IP (45.227.254.124) pour à la fois scanner les vulnérabilités et ensuite servir de serveur AnyDesk auto-hébergé, pointant vers une infrastructure malveillante délibérément préparée.
Tout au long de l’attaque, un exécutable malveillant a été placé dans un répertoire inhabituel au sein du dossier temporaire du profil NetworkService. Il avait un minimum d’importations de fonction (seulement VirtualAlloc and ExitProcess) et utilisait le hachage pour obscurcir et résoudre les fonctions de l’API Windows pendant l’exécution, une technique souvent observée dans les charges utiles Metasploit.
Notamment, les attaquants ont démontré des stratégies de persistance avancées en déployant plusieurs portes dérobées pour maintenir un accès continu. Immédiatement après avoir compromis le système, ils ont installé le logiciel d’accès à distance AnyDesk sur le serveur Confluence, enregistrant l’exécutable dans le répertoire d’installation et le configurant pour un accès sans surveillance avec le mot de passe “P@ssword1,” permettant la réentrée sans action utilisateur.
Pour renforcer leur position, les adversaires ont créé un compte administrateur local nommé “noname” avec le mot de passe “Slepoy_123” via un script batch automatisé (u1.bat). Le script utilisait WMIC pour identifier les utilisateurs, ajouter le compte au groupe des administrateurs, et définir le mot de passe comme ne devant jamais expirer. Le compte a été créé trois fois pendant l’attaque, indiquant un effort méthodique pour assurer un accès persistant même si une porte dérobée était supprimée. De plus, les hackers ont activé le RDP en modifiant les paramètres du registre et en ajustant les règles du pare-feu. Cela leur a permis de contourner les méthodes d’authentification standard et de maintenir plusieurs voies d’accès, même si la vulnérabilité initiale était finalement corrigée.
Notamment, les dernières versions prises en charge de Confluence Data Center et Server ne sont pas impactées par cette vulnérabilité, car elle a été corrigée avec des mises à jour de versions régulières. Néanmoins, le fournisseur recommande fortement à tous les clients de mettre à jour rapidement vers la version la plus récente pour protéger leurs instances contre d’autres problèmes non critiques soulignés dans le Bulletin de sécurité de janvier.
L’augmentation de la sophistication des méthodes des adversaires utilisées dans cette campagne, allant de l’exploitation d’un serveur Confluence non corrigé au déploiement de ransomware après un mouvement latéral furtif soutenu par l’utilisation de techniques avancées d’évasion de défense, nécessite une ultra-réactivité de la part des défenseurs. Les mesures potentielles de mitigation pour CVE-2023-22527 impliquent des correctifs en temps opportun, une surveillance continue de l’activité système inhabituelle, et le renforcement des outils d’accès à distance comme AnyDesk pour se défendre de manière proactive contre des attaques similaires à fort impact. La plateforme SOC Prime curates une suite complète de produits soutenue par l’IA, l’automatisation, et le renseignement sur les menaces actionnables pour permettre aux équipes de sécurité de surmonter les attaques de haut profil et les menaces les plus complexes lorsque chaque seconde compte.
