Certains articles de veille peuvent faire l'objet de traduction automatique.
Moins de deux il y a quelques semaines, la Cybersecurity & Infrastructure Security Agency des États-Unis et le FBI ont publié un conseil conjoint sur la menace d’attaques de rançongiciels par un gang qui se fait appeler « Cuba ». Le groupe, qui, selon les chercheurs, est en fait basé en Russie, s’est déchaîné au cours de l’année écoulée ciblant un nombre croissant d’entreprises et d’autres institutions aux États-Unis et à l’étranger. Nouvelle recherche publié aujourd’hui indique que Cuba a utilisé des logiciels malveillants dans ses attaques qui ont été certifiés ou approuvés par Microsoft.
Cuba a utilisé ces « pilotes » signés cryptographiquement après avoir compromis les systèmes d’une cible dans le cadre des efforts visant à désactiver les outils d’analyse de sécurité et à modifier les paramètres. L’activité était censée passer inaperçue, mais elle a été signalée par les outils de surveillance de la société de sécurité Sophos. Des chercheurs de l’unité 42 de Palo Alto Networks ont précédemment observé Cuba signant un logiciel privilégié connu sous le nom de « pilote du noyau » avec un certificat NVIDIA qui a été divulgué plus tôt cette année par le groupe de piratage Lapsus$. Et Sophos dit avoir également vu le groupe utiliser la stratégie avec des certificats compromis d’au moins une autre société technologique chinoise, que la société de sécurité Mandiant a identifiée comme étant Zhuhai Liancheng Technology Co.
« Microsoft a récemment été informé que des pilotes certifiés par le programme de développement de matériel Windows de Microsoft étaient utilisés de manière malveillante dans des activités de post-exploitation », a déclaré la société dans un communiqué. conseil en sécurité aujourd’hui. « Plusieurs comptes de développeurs pour le Microsoft Partner Center ont été engagés dans la soumission de pilotes malveillants pour obtenir une signature Microsoft… Les pilotes malveillants signés ont probablement été utilisés pour faciliter les activités d’intrusion post-exploitation telles que le déploiement de ransomwares. »
Sophos a informé Microsoft de l’activité le 19 octobre avec Mandiant et société de sécurité SentinelleUn. Microsoft affirme avoir suspendu les comptes de l’Espace partenaires qui faisaient l’objet d’abus, révoqué les certificats malveillants et publié des mises à jour de sécurité pour Windows liées à la situation. La société ajoute qu’elle n’a identifié aucun compromis de ses systèmes au-delà de l’abus de compte partenaire.
Microsoft a refusé la demande de WIRED de commenter au-delà de l’avis.
« Ces attaquants, très probablement des affiliés du groupe Cuba ransomware, savent ce qu’ils font et ils sont persistants », déclare Christopher Budd, directeur de la recherche sur les menaces chez Sophos. « Nous avons trouvé un total de 10 pilotes malveillants, toutes les variantes de la découverte initiale. Ces pilotes montrent un effort concerté pour remonter la chaîne de confiance, à partir au moins de juillet dernier. Il est difficile de créer un pilote malveillant à partir de zéro et de le faire signer par une autorité légitime. Cependant, c’est incroyablement efficace, car le conducteur peut essentiellement effectuer n’importe quel processus sans poser de questions. »
Voir aussi :
Poster un commentaire