Le cyber command US alerte à propos des pirates informatiques qui exploitent une faille d’Outlook

by chebbi abir

Le Cyber ​​Command US a publié aujourd’hui une alerte via Twitter au sujet d’acteurs malveillants abusant d’une vulnérabilité Outlook pour installer un logiciel malveillant sur des réseaux gouvernementaux.

La vulnérabilité est CVE-2017-11774, un bug de sécurité que Microsoft a corrigé dans Outlook dans le correctif d’octobre 2017 mardi.

Le bug Outlook, découvert et détaillé par les chercheurs en sécurité de SensePost, permet à un acteur malveillant d’échapper à la sandbox Outlook et d’exécuter du code malveillant sur le système d’exploitation sous-jacent.

Une vulnérabilité déjà utilisée

Les chercheurs de SensePost ont signalé en privé le bug à l’automne 2017, mais dès 2018, il était utilisé par un groupe de cybercriminels parrainé par l’État iranien et connu sous le nom de APT33 (ou Elfin). Ce groupe est principalement connu pour avoir développé le malware Shamoon.

À la fin du mois de décembre 2018, les pirates informatiques d’ATP33 utilisaient cette vulnérabilité pour déployer des portes dérobées sur des serveurs web, qu’ils utilisaient par la suite pour pousser l’exploit CVE-2017-11774 dans la boîte de réception des utilisateurs, afin d’infecter leurs systèmes avec des logiciels malveillants.

“Une fois que l’attaquant a des informations d’identification légitimes, il identifie des instances Outlook Web Access (OWA) ou Office 365 accessibles au public et qui ne sont pas protégées par une authentification multifactorielle. L’attaquant tire parti des informations d’identification volées et d’un outil comme RULER pour exploiter la faille [CVE-2017-11774 ] via les fonctionnalités légitimes d’Exchange “, indique le rapport FireEye.

Les attaques exploitant la vulnérabilité CVE-2017-11774 sont survenues au moment même où des rapports faisaient état de nouvelles observations concernant le programme malveillant Shamoon – un autre outil de piratage développé par le groupe APT33 qui prend la forme d’un “wiper”, un malware effaçant les données.

À ce moment-là, aucune connexion n’avait été établie concernant les liens entre le rapport APT33 de FireEye et les déploiements de Shamoon.

Cependant, Brandon Levene, chercheur à Chronicle Security, a déclaré à ZDNet dans un courrier électronique aujourd’hui que les échantillons de logiciels malveillants téléchargés par US Cyber ​​Command semblaient être liés à l’activité de Shamoon, qui a eu lieu vers janvier 2017.

Trois des cinq échantillons de programmes malveillants sont des outils utilisés pour la manipulation de serveurs web exploités, a précisé Levene, tandis que les deux autres sont des téléchargeurs qui ont utilisé PowerShell pour charger le fichier PUPY RAT, très probablement sur des systèmes infectés.

Levene a déclaré à ZDNet que si l’observation de CVE-2017-11774 avec ces échantillons de logiciels malveillants était vérifiée, cela permettrait de mieux comprendre comment les attaquants de APT33 / Shamoon ont pu compromettre leurs cibles.

Lorsque les attaques de Shamoon se sont produites par le passé, Levene a déclaré que de nombreux chercheurs évoquaient une infection via spear-phsihing, mais peu d’informations sur les vecteurs d’infection initiaux ont été publiées. Seul le rapport de FireEye abordait ce sujet, mais sans apporter de preuve concrète.

Augmentation de l’activité de piratage iranien

Le compte Twitter du Cyber ​​Command US n’évoque pas les attaquants motivés par des raisons financières et qui ciblent les États-Unis. Il se concentre uniquement sur les adversaires soutenus par des États-nations. Au total, les échantillons de logiciels malveillants partagés par le Cyber ​​Command US aujourd’hui fait le lien entre les nouvelles attaques repérées par l’agence et les anciens échantillons de logiciels malveillants APT33, très probablement déployés lors de nouvelles attaques contre des entités américaines.

Bien que le Cyber ​​Command US n’ait pas nommé APT33, Symantec a publié un avertissement concernant une activité accrue de APT33 au cours des mois précédents.

En outre, il y a deux semaines, CISA, l’agence de cybersécurité du département de la Sécurité intérieure, a également lancé un avertissement similaire au sujet de l’activité accrue d’acteurs malveillants iraniens, et en particulier de l’utilisation de programmes malveillants tels que Shamoon, la principale arme du groupe APT33.

En plus d’analyser les logiciels malveillants qui atteignent le réseau du gouvernement des États-Unis, le Cyber ​​Command des États-Unis est également responsable des cyber-opérations offensives. Il y a deux semaines, l’agence a lancé une cyberattaque visant le système de roquettes et de missiles iranien après que l’armée iranienne a abattu un coûteux drone de surveillance américain. Alors que les pirates iraniens ciblent les réseaux gouvernementaux et que les États-Unis réagissent, on peut dire que les deux pays sont au cœur d’une cyberguerre silencieuse et non officielle.

Levene a également souligné que c’était la première fois que l’US Cyber ​​Command partageait des échantillons de logiciels malveillants non russes via son compte Twitter. L’agence a commencé à publier des échantillons sur VirusTotal et à émettre des alertes Twitter l’automne dernier, estimant que c’était un moyen plus rapide de diffuser des alertes de sécurité concernant les cyberattaques en cours et de mettre en garde le secteur privé américain.

 

Pour en savoir plus:

https://www.zdnet.fr/actualites/le-cyber-command-us-alerte-a-propos-des-pirates-informatiques-qui-exploitent-une-faille-d-outlook-39887041.htm

Top

Interdit de copier  ce contenu