UNC3944 (aka Scattered Spider, 0ktapus, Octo Tempest ou encore Scatter Swine) a plus d'un tour malveillant dans son sac. Suivi par Mandiant depuis mai 2022, ce groupe de cybercriminels a fait des attaques SIM swapping et d'ingénierie sociale visant des services clients d'entreprises de télécommunications et d'externalisation des processus métier ses grandes spécialités. Dans un dernier rapport, la filiale de Google Cloud spécialisée en cybersécurité a mis en lumière les attaques de ce cybergang visant des applications SaaS sur les 10 derniers mois, et donné un aperçu de l'évolution de ses tactiques, techniques et procédures (TTP) selon ses objectifs visés. 

"Un aspect de ces intrusions implique une méthode de persistance plus agressive qui se produit par la création de nouvelles machines virtuelles", explique le fournisseur. "Dans plusieurs cas, Mandiant a observé UNC3944 accéder à vSphere et Azure, en utilisant des applications d'authentification unique, pour créer de nouvelles machines virtuelles à partir desquelles ils ont mené toutes les activités de suivi. Ce qui est important ici, c'est l'observation de l'utilisation abusive des groupes admin ou des autorisations normales des administrateurs liées aux applications SSO pour créer ensuite cette méthode de persistance." Une fois créées, ces nouvelles VM sont reconfigurées avec différents outils tels que MAS_AIO et privacy-script.bat pour désactiver certains garde fous de protection de vie privée et de sécurité dont Microsoft Defender. 

Le ransomware ALPHV déployé sur les hyperviseurs ESXI

Ce faisant, le cybergang télécharge ensuite des outils tels que Mimikatz, ADRecon et divers outils de tunnelisation clandestine comme NGROK, RSOCX et Localtonet. Objectif ? Accéder à un système sans avoir à utiliser de VPN ou de MFA. D'autres outils ont également servi à leur activité de compromission incluant l'installation de bibliothèques Python, telles que IMPACKET. Pour contourner les contrôles d'authentification, UNC3944 recourt à un fichier ISO (PCUnlocker) qui est attaché à des machines virtuelles existantes via l'appliance vCenter pour réinitialiser les mots de passe des administrateurs locaux, ce qui permet de contourner les contrôles de domaine normaux. "Cette ISO nécessite un redémarrage et une modification des paramètres du BIOS pour démarrer dans cette image montable afin de contourner efficacement les contrôles de domaine. La surveillance du temps de fonctionnement des machines virtuelles, voire de brefs impacts, permettrait d'éventuelles possibilités de détection", explique Mandiant.

Dans le cadre de son enquête, la société de cybersécurité a aussi trouvé que le cybergang déployait le ransomware ALPHV contre les systèmes de fichiers des machines virtuelles, sur les hyperviseurs ESXI eux-mêmes, afin de provoquer des actions destructrices au sein d'un environnement. "En conséquence, les machines virtuelles déployées par l'attaquant sont généralement cryptées et les preuves d'activités au sein du réseau sont détruites", prévient Mandiant. Depuis le début de l'année, la filiale de Google n'a cependant pas observé d'exploit exploitant ce vecteur d'attaque ce qui n'empêche pas d'appeler à la vigilance : "des preuves ont montré que l'activité observée dans les environnements des victimes visait principalement à découvrir l'infrastructure clé et les cibles potentielles d'exfiltration, telles que les bases de données et le contenu web. Une fois localisées, les données ont été exfiltrées via ces machines virtuelles vers diverses ressources à haute réputation telles que Google Cloud Platform  et Amazon Web Services", poursuit Mandiant.

Des authentifiants volés pour accéder à des applications SaaS

Dans son rapport, la filiale de Google Cloud indique aussi avoir trouvé qu'UNC3944 a utilisé des authentifiants volés pour accéder à des applications SaaS protégés par des fournisseurs SSO. Avec à la clé des accès illégitimes à de nombreuses applications AWS, Azure, Crowdstrike, CyberArk, GCP, Salesforce, vCenter ou encore Workday. Mandiant a observé l'utilisation d'outils de détection et de réponse pour tester l'accès à l'environnement et une exfiltration de données via des utilitaires de synchronisation cloud, tels qu'Airbyte et Fivetran pour les déplacer par exemple sur des buckets S3 contrôlés par le cybergang.

Face aux évolutions des modes opératoires du cybergang UNC3944, les entreprises ne sont toutefois pas totalement démunies. Mandiant pousse ainsi quelques actions pour atténuer la persistance et les capacités d'accès de ses attaques sur un environnement cible. La société recommande ainsi d'utiliser à la fois des certificats basés sur l'hôte et une authentification multifactorielle pour tout accès VPN. "En outre, la création de politiques d'accès conditionnel plus strictes pour contrôler ce qui est visible à l'intérieur d'une instance cloud peut limiter l'impact global", assure Mandiant. Parmi les autres préconisations : "une surveillance accrue des applications SaaS, afin de centraliser les journaux des applications SaaS importantes, les réenregistrements MFA et l'infrastructure des machines virtuelles, en particulier en ce qui concerne le temps de fonctionnement et la création de nouveaux systèmes [...] Pour les applications contenant des informations propriétaires ou protégées, s'assurer que les entreprises disposent d'une solide capacité de journalisation que leurs équipes de sécurité peuvent examiner pour détecter des signes d'intention malveillante."