CrowdStrike a publié un article sur la campagne StellarParticle détaillant les principales observations à son sujet.

Cette campagne est liée à l’attaque de la chaîne d’approvisionnement via SolarWinds survenue en décembre 2020, que les gouvernements américain et britannique ont attribuée au groupe cybercriminel COZY BEAR ou APT29.

Dans ce cas, StellarParticle est le nom par lequel l’équipe de CrowdStrike a nommé la nouvelle campagne, caractérisée par l’utilisation de nouvelles techniques décrites dans le rapport, ou l’utilisation dans ces scénarios particuliers de techniques existantes. Parmi les techniques mises en avant, on trouve le fameux « credential hopping », caractérisé par l’utilisation d’informations d’identification différentes à chaque étape afin d’obtenir un déplacement latéral dans le réseau. Elle minimise les chances de détection de l’attaquant et, du point de vue de l’analyste, implique d’attribuer une plus grande sophistication à l’attaquant, si le reste des techniques accompagne cette perception, comme c’est le cas.

En particulier, l’un des points intéressants du rapport est la manière dont les attaquants parviennent à s’authentifier sur les comptes O365 des victimes, même si l’authentification multifactorielle (MFA) est activée pour ces comptes. Même avec des informations d’identification d’administrateur, ils devraient contourner le MFA. Dans ce cas, les attaquants s’appuient sur le vol de cookies du navigateur Chrome. Le compte administrateur leur permet d’accéder aux ordinateurs des utilisateurs et de voler les données des sessions. Les cookies sont décryptés et si les données de connexion sont récentes, ils pourraient utiliser les cookies pour contourner le MFA. Un certain nombre de conditions sont le signe que l’attaque est exécutée avec la connaissance du système cible.

Ce type d’analyse permet également de déterminer les points d’amélioration possibles, comme l’importance d’établir différents rôles administratifs, et comment, bien qu’une solution particulière puisse offrir cette possibilité (O365), combinée à d’autres solutions, elle peut faire en sorte que cela ne soit pas possible.

L’article est également une lecture intéressante pour ceux qui sont curieux de l’analyse forensique. Les ShellBags, une fonctionnalité du système Windows dont le but est de mémoriser les préférences de l’utilisateur lorsqu’il navigue dans différents répertoires, servent dans ce cas à permettre aux analystes de visualiser le comportement du malware lorsqu’il tente d’obtenir les données de Chrome. Une autre fonctionnalité native de Windows Server 2012 et des versions ultérieures est l’UAL (User Access Login), qui stocke des informations sur les différentes connexions de l’utilisateur, et permet aux analystes d’obtenir des preuves sur les traces de l’activité des attaquants sur le système compromis. D’après les journaux analysés, certaines preuves permettent de dater les accès des attaquants deux ans avant leur découverte.

Une fois que les attaquants ont obtenu l’accès, surtout si l’attaque se prolonge dans le temps, ils peuvent laisser des logiciels malveillants derrière eux pour des opérations ou des accès futurs. Dans ce cas, deux familles sont liées à l’activité de StellarParticle : TrailBlazer et GoldMax.

La première, TailBlazer, comme les autres familles, se caractérise par une fonctionnalité modulaire, parfaite pour la rendre viable dans de multiples scénarios. Il est intéressant de noter qu’il masque les commandes C2 comme des requêtes HTTP provenant des notifications de Google. L’obscurcissement du trafic C2 n’est pas nouveau, mais il est intéressant de voir comment l’attaque est à nouveau adaptée à ce stade à l’environnement, où l’on suppose ou l’on s’attend à ce que des comptes Chrome soient présents, et où le trafic Google est courant, précisément en raison de l’utilisation de Chrome.

GoldMax est utilisé dans sa variante Linux. Il est apparu pour la première fois dans la campagne qui a conduit à l’attaque de la chaîne d’approvisionnement de SolarWinds, et pour les systèmes Windows. L’objectif de cette variante de StellarParticle ne semble être autre que de permettre la persistance sur des plateformes autres que Windows. Ce n’est qu’un autre exemple d’adaptation opportune de logiciels malveillants qui ont été déployés dès la mi-2019.

Les chercheurs soulignent que dans la plupart des cas, l’enquête commence à partir d’un environnement Office 365 compromis (O635) et que, de fait, les attaquants ont une connaissance approfondie des systèmes d’exploitation Windows et Linux, de Microsoft Azure, d’Office 365 et d’Active Directory. Il ne pouvait en être autrement, conformément aux conclusions longuement décrites dans le rapport publié le 27 janvier sur le blog de CrowdStrike, où je vous renvoie pour une lecture complète.

Plus d’information:
https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/