Depuis août 2023, Microsoft a observé une intensification des attaques de pirates ciblant les comptes Azure en utilisant la technique de pulvérisation de mots de passe (brute force).
Ces attaques furtives, souvent couronnées de succès, sont associées au botnet CovertNetwork-1658, connu également sous les noms de xlogin et Quad7 (7777). Ce botnet est principalement composé de routeurs TP-Link SOHO infectés par des portes dérobées et fonctionnant comme relais.
La durée moyenne d’activité des nœuds de ce botnet est d’environ 90 jours. Les attaques par ‘brute force’, pulvérisation de mots de passe est un terme amusant pour traduire brute force, impliquent simultanément environ 8 000 adresses IP, et dans 80 % des cas, chaque adresse effectue une tentative de piratage par jour.
Pour installer une porte dérobée, les attaquants exploitent des vulnérabilités dont la nature exacte reste incertaine. Une fois l’exploit réalisé, l’appareil est configuré pour fonctionner comme proxy.
Les informations d’identification compromises par CovertNetwork-1658 sont ensuite utilisées pour lancer des attaques ciblées. Le piratage des comptes cloud Azure permet aux cybercriminels de progresser plus en profondeur dans le réseau, d’établir des points d’ancrage à l’aide de RAT (Remote Access Trojans) et de commencer à voler des données.
Cette activité est particulièrement prisée par un groupe de cybercriminels opérant en Amérique du Nord et en Europe, surveillé par Microsoft sous le nom de Storm-0940.
L’activité de CovertNetwork-1658 a toutefois diminué ces derniers mois, probablement en raison de l’attention accrue de la communauté de la sécurité de l’information, notamment à travers les publications Sekoia, par exemple, consacrées à Quad7.
Les opérateurs du botnet auraient décidé de mettre à jour leur infrastructure en modifiant leurs empreintes numériques pour échapper à la détection et revenir à une activité plus discrète.
Pendant ce temps, avec l’IA, chasse au 0Day
Les experts de GreyNoise ont identifié deux vulnérabilités zero-day dans les caméras réseau PTZ (panoramique/inclinable/zoom).
Ils ont été aidés en cela par un outil d’IA spécialement créé pour les besoins de la cyberintelligence. L’assistant intelligent intégré au système Honeypot de chasse aux menaces répondait clairement au trafic suspect. L’analyse a révélé qu’il s’agissait d’une tentative d’exploitation automatisée.
La vulnérabilité critique CVE-2024-8956 est causée par une mise en œuvre incorrecte des mécanismes d’authentification et permet l’accès aux noms d’utilisateur, aux mots de passe hachés (MD5), aux données de configuration et à d’autres informations confidentielles. La vulnérabilité CVE-2024-8957 ouvre la possibilité d’injection de commandes. Lorsqu’il est utilisé conjointement avec CVE-2024-8956, il vous permet de prendre le contrôle de la caméra à distance et sans authentification, de visualiser et d’arrêter le flux vidéo en temps réel, d’apporter des modifications et également de connecter l’appareil à un botnet DDoS.
Les problèmes concernent les caméras PTZ haute résolution avec des versions de micrologiciel inférieures à 6.3.40, en particulier pour les appareils de PTZOptics, Multicam Systems SAS et SMTAV Corporation basés sur des processeurs SoC Hisilicon Hi3516A. Ils sont souvent utilisés dans des installations critiques : production robotique, établissements médicaux, agences gouvernementales (par exemple, dans les salles d’audience), ainsi que pour des présentations en ligne et des vidéoconférences. (Greynoise)