Les adversaires soutenus par l’État russe ciblent les contractants du gouvernement américain : Avertissement de la CISA
Table des matières :
Le 16 février 2022, la Cybersecurity and Infrastructure Security Agency (CISA) a révélé les dernières informations de renseignement sur les cyberattaques liées à la Russie visant les entrepreneurs de défense agréés américains (CDCs) qui sont en opération depuis au moins deux ans maintenant. Les CDC ciblés avaient accès à une variété de sources de données sensibles, y compris le développement d’armes, les données de surveillance, les lignes de communication et les spécifications logicielles. Les victimes connues incluent l’armée américaine, l’armée de l’air américaine, la marine américaine, la Force spatiale américaine, ainsi que des programmes du ministère de la Défense et des services de renseignement.
Le FBI, la CISA et la NSA soulignent l’importance de protéger les réseaux des entrepreneurs de défense agréés contre les potentielles cyberattaques russes. Nous avons rassemblé le dernier contenu de détection disponible sur la plateforme SOC Prime pour vous permettre de garantir l’atténuation rapide des attaques susmentionnées dans votre organisation.
Campagne de cyberespionnage liée à la Russie : Aperçus et Risques
Selon la CISA, l’objectif principal de l’activité cyber malveillante parrainée par l’État russe est d’accéder aux plans et priorités militaires du gouvernement américain. En conséquence, ils peuvent améliorer leurs propres efforts de développement technologique ou même tenter de recruter les victimes qu’ils ciblent.
L’accès persistant présumé à une multitude de réseaux de CDC a été maintenu depuis au moins janvier 2020, avec une exfiltration régulière des données sensibles provenant de la documentation et des emails. La suite de services Microsoft 365, couramment utilisée, a été la cible la plus fréquente. Les adversaires exploitent principalement les vulnérabilités connues pour récupérer des identifiants, mener des attaques par force brute et des spear phishing. Bien que les TTP appliquées par les attaquants ne soient pas rares, le fait alarmant est que les hackers utilisent une grande variété de souches de logiciels malveillants qui ne peuvent être identifiées qu’en déployant continuellement les dernières règles de détection.
Les agences gouvernementales américaines supposent que les acteurs de la menace parrainés par l’État russe continueront leurs tentatives d’intrusion pour cibler les réseaux des entrepreneurs de défense dans un avenir très proche. Par conséquent, il est conseillé aux CDC d’appliquer les mesures de cyberdéfense les plus avancées pour résister aux attaques possiblement en cours ainsi qu’aux tentatives futures.
Détecter et atténuer les cyberattaques russes potentielles
Pour détecter l’activité malveillante associée aux acteurs parrainés par l’État russe et accroître la sensibilisation aux menaces potentiels, vous pouvez exploiter le contenu de détection organisé déjà disponible sur la plateforme SOC Prime. Le tableau ci-dessous (fourni par la CISA) répertorie les tactiques, techniques et procédures communes (TTP) utilisées par les acteurs financés par l’État russe au cours des attaques contre les entrepreneurs américains et offre un ensemble de règles Sigma traitant des TTP des adversaires.
Tactic | Technique | Procedure | Detection Content from SOC Prime’s Platform |
Reconnaissance (TA0043) Credential Access (TA0006) | Gather Victim Identity Information: Credentials (T1589.001) Brute Force (T1110) | Adversaries have applied brute force to identify legitimate account credentials for domain and Microsoft 365 accounts. Compromised credentials have enabled threat actors to get initial access to target networks. | |
Initial Access (TA0001) | External Remote Services (T1133) | Multiple nation-state APT groups have scanned for vulnerabilities in Fortinet’s Fortigate® VPN devices, conducting brute force attacks and weaponizing CVE-2018-13379 to receive credentials and gain access to compromised networks. | |
Initial Access (TA0001) Privilege Escalation (TA0004) | Valid Accounts (T1078) Exploit Public-Facing Application (T1190) | Attackers have taken advantage of identified account credentials and exploited vulnerabilities (CVE-2020-0688 and CVE-2020-17144) on VPNs and Microsoft Exchange servers to gain remote code execution and acquire further network access. | |
Initial Access (TA0001)
| Phishing: Spearphishing Link (T1566.002) Obfuscated Files or Information (T1027) | Cybercriminals have conducted targeted spear-phishing email campaigns through publicly accessible URL shortening tools. Leveraging this common obfuscation technique enabled threat actors to bypass malware and spam scanning tools while encouraging users to click the shortened link. | |
Initial Access (TA0001)
| OS Credential Dumping: NTDS (T1003.003) Valid Accounts: Domain Accounts (T1078.002) | Nation-state cybercriminals have obtained or abused credentials to access the targeted VPN server and obtain privileged access to the domain controller. Once compromised, threat actors may attempt to dump credentials from the targeted domain controller and make a copy of the Active Directory domain database leveraging the NTDS file (NTDS.dit). | |
Initial Access (TA0001) Privilege Escalation (TA0004) Collection (TA0009) | Valid Accounts: Cloud Accounts (T1078.004) Data from Information Repositories: SharePoint (T1213.002) | Adversaries have leveraged legitimate credentials of a global Microsoft 365 admin account to access the administrative portal and update permissions providing read access to all SharePoint pages within the tenant, as well as tenant user profiles and email inboxes. | |
Initial Access (TA0001) Collection (TA0009) | Valid Accounts: Domain Accounts (T1078.002) Email Collection (T1114) | For instance, in one of the cases, cybercriminals have applied valid credentials to exfiltrate mailboxes from the victims’ accounts. In another case, attackers have gained access to email credentials in order to collect sensitive data. | |
Persistence (TA0003) Lateral Movement (TA0008) | Valid Accounts (T1078) | Attackers have abused legitimate credentials to maintain persistent access to compromised accounts. Once some account passwords have been changed by the users, adversaries have pivoted across other accounts in the system to compromise them. | |
Discovery (TA0007) | File and Network Discovery (T1083) | Threat actors have accessed the targeted network and leveraged the BloodHound tool to map out relationships to the Active Directory domain. | |
Command and Control (TA0011) | Proxy: Multi-hop Proxy (T1090.003) | Attackers have applied multiple nodes to route traffic to the target. |
Rejoignez notre plateforme de Détection en tant que Code de SOC Prime dès maintenant et profitez de la collaboration mondiale des professionnels de la cybersécurité pour rester en avance sur les menaces émergentes. Si vous êtes un développeur de contenu, appliquez pour rejoindre le programme Threat Bounty de SOC Prime, soumettez vos règles Sigma et Yara originales, passez la vérification de qualité pour que votre contenu soit publié via la plateforme de SOC Prime, et recevez des paiements répétés.
