Vulnérabilité Microsoft SharePoint et shell Web China Chopper utilisés dans les attaques de ransomware

  • FrançaisFrançais


  • Microsoft a publié l’avis sur la vulnérabilité SharePoint (CVE-2019-0604) et a corrigé l’écart en 2019 (Photo de Jeenah Moon / Getty Images)

    Les chercheurs ont découvert mardi que le groupe de rançongiciels Hello (alias WickrMe) utilisait une vulnérabilité Microsoft SharePoint et un shell Web China Chopper pour lancer des attaques de ransomwares.

    Dans un blog publié par Trend Micro, les chercheurs ont rapporté que pour déclencher une charge utile de ransomware, les attaquants abusaient d’une balise Cobalt Strike. Les chercheurs pensent que le shell Web China Chopper a été utilisé dans une tentative probable de contourner la détection avec des échantillons connus.

    Microsoft a publié l’avis sur la vulnérabilité SharePoint (CVE-2019-0604) et a corrigé l’écart en 2019. Depuis son premier abus et attaque importante en 2020, l’abus notable de la vulnérabilité a continué de faire l’actualité.

    Les chercheurs ont déclaré que l’utilisation conjointe des coquilles Web exploit et China Chopper a été observée pour différentes routines d’attaque et soulève la question de savoir si la combinaison des deux outils indique un certain niveau d’accès parmi les cybercriminels qui les utilisent, ou s’il y en a plus de parties impliquées et capables d’acheter l’accès à plusieurs personnes?

    «Il convient également de noter que deux ans plus tard, l’abus continu de la vulnérabilité implique fortement qu’un grand nombre d’entreprises n’ont toujours pas comblé l’écart», ont déclaré les chercheurs.

    Chris Morales, responsable de la sécurité de l’information chez Netenrich, a trouvé étonnant que pour toutes les technologies de comportement d’apprentissage automatique et les cadres d’attaque dont l’industrie de la sécurité aime parler, les attaquants peuvent toujours gagner en utilisant un simple petit shell Web de ligne de commande qui existe presque. une décennie.

    «China Chopper a été utilisé dans la brèche d’Equifax des années après qu’il s’agissait d’une technique connue», a déclaré Morales. «Je suis sûr que les vendeurs apparaîtront en prétendant être en mesure d’arrêter l’utilisation de China Chopper. C’est peut-être vrai, mais nous voici avec des variantes toujours utilisées. »

    Bien qu’il s’agisse d’un nouveau vecteur d’attaque, le mécanisme de livraison utilisé par les attaquants ne l’est pas, a déclaré Charles Everette, directeur du succès client chez Deep Instinct.

    Everette a déclaré que la technique exploite l’exécution de code arbitraire (ACE), une forme d’injection de code à distance, qui tombe alors généralement vers des moyens plus «normaux» et archaïques d’utiliser des scripts. «Dans notre expérience, nous avons vu que le shell Web est un moyen glorifié d’exécuter un script (généralement PowerShell) qui tente de supprimer l’autre code malveillant comme la balise CobaltStrike», a déclaré Everette.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *