Attaque de la chaîne d’approvisionnement de Passwordstate expose 29K entreprises au risque de compromission

[post-views]
avril 28, 2021 · 4 min de lecture
Attaque de la chaîne d’approvisionnement de Passwordstate expose 29K entreprises au risque de compromission

Le producteur de logiciels australien Click Studios a été victime d’une violation de sécurité qui a abouti à une attaque de la chaîne d’approvisionnement. En avril 2020, des adversaires ont réussi à compromettre le mécanisme de mise à jour de l’application de gestion des mots de passe Passwordstate de Click Studios pour livrer le malware Moserpass sur les appareils des utilisateurs. Le nombre de clients affectés est actuellement inconnu, cependant, le fournisseur affirme que le taux d’infection est très bas. L’enquête est toujours en cours, et le nombre de victimes pourrait augmenter. À ce jour, plus de 29 000 entreprises dans le monde comptent sur Passwordstate pour gérer leurs processus quotidiens, y compris des entreprises du Fortune-500, des institutions gouvernementales et des agences de défense.

Détails de l’attaque de la chaîne d’approvisionnement

La déclaration officielle de Click Studios révèle que la violation de sécurité s’est produite entre le 20 avril 2021 à 20:33 UTC et le 22 avril 2021 à 00:30 UTC. Tout client ayant mis à jour le service pendant cette période pourrait avoir ses systèmes d’entreprise en danger.

Selon la recherche du CSIS Group, une entreprise de sécurité qui enquête sur l’attaque, les acteurs malveillants ont réussi à compromettre un fichier directeur situé sur le site Web de Click Studios et à interférer avec le mécanisme de mise à jour de l’application Passwordstate. En particulier, les hackers ont modifié la mise à jour avec une « Moserware.SecretSplitter.dll » bibliothèque malveillante qui a été insérée à l’aide d’un petit morceau de code surnommé « Loader. » En conséquence, la mise à jour régulière a livré le malware Moserpass aux victimes sous la forme d’un fichier “Passwordstate_upgrade.zip” . Notamment, le DLL de fortune reposait sur un réseau de diffusion de contenu (CND) qui a été fermé le 22 avril 2021 à 7h00 UTC.

Fonctionnalités malveillantes de Moserpass

Une fois infecté, le malware Moserpass est capable de collecter des données sensibles du système et de Passwordstate, qui sont ensuite envoyées au serveur de commande et de contrôle (C&C) sous le contrôle de l’attaquant. Plus précisément, ce logiciel malveillant extrait des détails tels que le nom de l’ordinateur, le nom de l’utilisateur, le nom de domaine, le nom du processus en cours, l’ID du processus en cours, tous les noms de services en cours d’exécution, l’adresse du serveur proxy de l’installation de Passwordstate, les identifiants Passwordstate, et plus encore. Cependant, le nom de domaine et le nom d’hôte ne sont pas collectés dans le cadre de ce processus malveillant. De plus, il n’y a aucune preuve de transfert de clés de chiffrement ou de chaînes de connexion à la base de données vers le C&C de l’attaquant. Après avoir collecté et téléchargé des données, le malware Moserpass se met en sommeil pendant 24 heures et redémarre son activité malveillante.

Il est à noter que les clients ayant leurs identifiants Passwordstate chiffrés sont considérés comme en sécurité car Moserpass n’a pas la capacité de récolter ces données.

Détection et atténuation

Click Studios exhorte ses clients à initier un changement de mot de passe dès que possible. De plus, le fournisseur a émis un avis détaillé fournissant les étapes d’atténuation pertinentes. 

Pour détecter une éventuelle activité malveillante et protéger votre infrastructure organisationnelle, les clients de SOC Prime peuvent télécharger un ensemble des dernières règles de détection publiées sur Marketplace de Détection de Menaces. Tout le contenu est directement mappé au cadre MITRE ATT&CK® et contient les références et descriptions correspondantes :

Abonnez-vous à la Marketplace de Détection de Menaces gratuitement pour renforcer vos capacités de défense cybernétique. Notre bibliothèque de contenu SOC contient plus de 100 000 règles de détection et de réponse, parseurs, requêtes de recherche et d’autres contenus SOC pertinents pour vous permettre de résister au nombre croissant de cyberattaques. Vous surveillez de près les dernières tendances en cybersécurité et souhaitez participer à des activités de chasse aux menaces ? Saisissez l’occasion de contribuer à la sécurité mondiale en rejoignant notre Programme de Prime de Menaces.

Aller à la plateforme Rejoindre Prime de Menaces

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Blog, Dernières Menaces — 5 min de lecture
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Veronika Telychko
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Blog, Dernières Menaces — 6 min de lecture
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Veronika Telychko