Kaseya: une fausse mise à jour de sécurité dépose Cobalt Strike

0

Une campagne de spam de logiciels malveillants exploite les attaques de ransomware ciblant Kaseya et sa plate-forme Virtual System/Server Administrator (VSA) pour diffuser un lien prétendant être une mise à jour de sécurité Microsoft, ainsi qu’un fichier exécutable qui propage Cobalt Strike, avertissent les chercheurs.

La semaine dernière, Malwarebytes Threat Intelligence a tweeté une capture d’écran de l’e-mail d’hameçonnage, qui incluait une pièce jointe nommée « SecurityUpdates.exe » et un message recommandant aux destinataires à « installer la mise à jour de Microsoft pour se protéger contre les ransomwares dès que possible. Il s’agit de résoudre une vulnérabilité de Kaseya. »

Les attaquants cherchent à obtenir un accès à distance persistant aux systèmes des victimes ciblées qui tombent dans le piège et exécutent l’exécutable malveillant, ou téléchargent et lancent la fausse mise à jour de sécurité Microsoft, sur leurs appareils.

kaseya vsa
Exemple d’e-mail d’hameçonnage. Source : Malwarebytes Threat Intelligence.

Jerome Segura, analyste principal du renseignement sur les logiciels malveillants chez Malwarebytes, a déclaré qu’à ce jour, il s’agissait de la première attaque repérée se superposant à l’attaque de Kaseya.

Bien que Malwarebytes n’ait pas déterminé quels pirates informatiques se cachent derrière la campagne de spam malveillant sur le thème de Kaseya, Segura a déclaré que la fausse mise à jour de sécurité – la charge utile Cobalt Strike – est, assez intéressante et hébergée sur la même adresse IP utilisée pour une autre campagne propageant le cheval de Troie bancaire Dridex.

« Dans le passé, nous avons vu le même acteur menaçant derrière Dridex utiliser Cobalt Strike », a déclaré Segura.

Des problèmes déclenchent le correctif SaaS authentique de Kaseya

Pendant ce temps, alors que Kaseya s’empresse de restaurer la version SaaS (Software-as-a-Service) de son VSA ciblé par les ransomwares, la société de logiciels de gestion informatique a déclaré que le déploiement SaaS ainsi que le correctif pour la version sur site a rencontré un problème. Les clients sur site sont les principales cibles des attaques de ransomware.

Cela retardera la sortie du correctif pour la version auto-hébergée de VSA, a-t-il déclaré dans l’une des mises à jour régulières qu’il fournit depuis la découverte des attaques menées par le gang de ransomware REvil. La campagne a conduit au cryptage des fichiers d’environ 60 clients de Kaseya qui utilisent la version sur site de la plate-forme, dont beaucoup sont des fournisseurs de services gérés qui utilisent VSA pour gérer les réseaux d’autres entreprises.

Cobalt Strike

Cobalt Strike est un outil légitime et disponible dans le commerce utilisé par les testeurs de pénétration de réseau. Son utilisation par les cyber-escrocs a explosé, selon les chercheurs de Proofpoint, qui ont récemment déclaré que l’outil était désormais « pleinement intégré dans le monde des logiciels criminels ».

L’objectif final de son utilisation est d’obtenir un accès initial et de se déplacer latéralement à travers un réseau, afin de permettre aux cyber attaquants d’arracher plus facilement des données sensibles ou de fournir des charges utiles de logiciels malveillants de deuxième étape. Il est extrêmement populaire parmi les attaques de ransomware, selon les chercheurs.

« Il est intéressant de noter que 66% de toutes les attaques de ransomware ce trimestre impliquaient le framework Cobalt Strike, ce qui suggère que les acteurs de ransomware s’appuient de plus en plus sur l’outil alors qu’ils abandonnent les chevaux de Troie », a déclaré l’équipe Cisco Talos Incident Response (CTIR) dans un rapport trimestriel du mois de Septembre.

Les chercheurs de Proofpoint ont quant à eux observé une augmentation de 161 % d’une année sur l’autre du nombre d’attaques dans le monde réel où Cobalt Strike s’est manifesté. Ils ont été témoins de l’utilisation de l’outil pour cibler des dizaines de milliers d’organisations, utilisées à la fois par des opérateurs de logiciels malveillants généraux et des acteurs de menaces persistantes avancées (APT).

Cobalt Strike envoie des balises pour détecter les vulnérabilités du réseau. Lorsqu’il est utilisé comme prévu, il simule une attaque. Mais les pirates informatiques ont trouvé comment se retourner contre les réseaux pour exfiltrer des données, diffuser des logiciels malveillants et créer de faux profils de commande et de contrôle (C2) qui semblent légitimes et échappent à la détection.

Cisco Talos et Proofpoint ne sont pas les seules entités de sécurité à avoir détecté une croissance galopante de la subversion de Cobalt Strike en un outil d’attaque, une évolution qui s’est accentuée suite à la fuite du code source de l’outil de GitHub en Novembre. Deux mois après cette fuite, en Janvier, des chercheurs de Recorded Future ont documenté un pic d’utilisation de versions crackées ou d’essai de Cobalt Strike, en grande partie par des groupes APT notables, notamment APT41, FIN7, Mustang Panda et Ocean Lotus.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire