Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé des brèches dans les systèmes d'identité pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en évidence le lien entre Active Directory et l'attaque Microsoft Exchange Hanium ainsi que d'autres attaques liées à l'identité, notamment le vol du code source de Mimecast, une violation de la plateforme vidéo Verdaka et une attaque par ransomware contre le détaillant FatFace.
La faille dans Microsoft Exchange a entraîné le vol de copies de bases de données AD
Selon Volexity, la violation de Microsoft Exchange par Hafnium a ciblé les serveurs Exchange sur site des entreprises victimes et a permis aux attaquants de compromettre Active Directory. En plus de mener des opérations de vidage d'identifiants et d'ajout de comptes utilisateurs, l'attaquant a pu voler des copies des bases de données Active Directory et se déplacer latéralement vers d'autres systèmes et environnements.
Les attaquants de SolarWinds ont ciblé les systèmes AD de Mimecast pour accéder au code source.
Les attaquants responsables de la violation de SolarWinds ont également ciblé Mimecast, en volant un certificat utilisé pour authentifier les clients et en téléchargeant le code source. L'acteur de la menace a accédé à l'environnement Windows de Mimecast et a utilisé les informations d'identification du compte de service pour pénétrer dans les systèmes sur site et les services en nuage de Mimecast, y compris Azure Active Directory.
Des pirates ont utilisé des identifiants d'administrateur pour pénétrer dans le réseau vidéo de Verdaka
Le groupe APT-69420 Arson Cats a accédé à des identifiants de super administrateur pour pénétrer dans plus de 150 000 caméras de surveillance gérées par Verdaka, une plateforme logicielle qui intègre des caméras de sécurité vidéo, des solutions de contrôle d'accès et d'autres technologies. Après avoir trouvé des informations d'identification sur un plugin exposé publiquement sur le serveur Verdaka, les attaquants se sont connectés à l'application web de l'entreprise avec des privilèges élevés et ont navigué dans les flux vidéo en direct de milliers de caméras.
Un groupe d'attaquants conseille à la victime FatFace de revoir ses politiques AD
Après avoir demandé une rançon de 2 millions de dollars, le groupe d'attaque Conti a conseillé à sa victime, le détaillant de mode FatFace, de revoir sa politique de mots de passe Active Directory. Conti a également conseillé à FatFace de mettre en œuvre d'autres mesures préventives telles que le filtrage des courriels, des tests d'hameçonnage pour les employés, l'investissement dans une meilleure technologie de détection et de réponse des points finaux, et la mise en œuvre d'un stockage hors ligne et d'une sauvegarde sur bande magnétique. Le groupe a accédé au réseau de FatFace par le biais d'une attaque de phishing, a obtenu des droits d'administration généraux et a extrait des données des serveurs de sauvegarde et des dispositifs de stockage.
Plus de ressources
Vous souhaitez renforcer les défenses de votre Active Directory contre les cyberattaques ? Consultez nos dernières ressources.
