Contenu de Chasse aux Menaces : Campagne d’Espionnage par le Groupe Sandworm

Unité de cyber-espionnage parrainée par l’État russe connue pour ses attaques destructrices, compromet activement les serveurs de messagerie Exim via une faille de sécurité critique (CVE-2019-10149). Fin mai, l’Agence de sécurité nationale a publié un avis de sécurité cybernétique qui alertait sur une campagne liée au groupe Sandworm. Ce groupe est surtout connu pour sa campagne BlackEnergy, l’ attaque Industroyer sur le réseau électrique ukrainien, et l’épidémie NotPetya, l’une des cyberattaques les plus dévastatrices de l’histoire.

Le groupe Sandworm attaque les victimes utilisant le logiciel Exim sur leurs MTA exposés au public en envoyant une commande dans le champ « MAIL FROM » d’un message SMTP (Simple Mail Transfer Protocol). Lorsque CVE-2019-10149 est exploité avec succès, les adversaires peuvent exécuter du code de leur choix. Une fois la vulnérabilité exploitée, la machine victime téléchargerait et exécuterait ensuite un script shell depuis un domaine détenu par les attaquants, qui tentera d’ajouter des utilisateurs privilégiés, de désactiver les paramètres de sécurité réseau et de mettre à jour les configurations SSH pour permettre un accès à distance supplémentaire. Au cours de l’attaque, le groupe Sandworm exploite également d’autres vulnérabilités dans les serveurs de messagerie Exim : CVE-2019-10149, CVE-2019-15846 et CVE-2019-16928. Le groupe exploite des serveurs de messagerie non corrigés de cette manière depuis au moins août 2019.

La règle de chasse aux menaces communautaire publiée par Osman Demir permet de détecter les attaques sur les serveurs Exim effectuées par le groupe Sandworm : https://tdm.socprime.com/tdm/info/ysGRM8W71hlN/CSH4g3IBjwDfaYjKJ8f-/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Accès Initial

Techniques : Exploitation d’application accessible au public (T1190)