Sécurité : comment des groupes APT entravent le travail des MSP
(2023/05/08)
- Reference: 2023-05-08T02_30_00Z
- News link: https://www.toolinux.com/?les-msp-qui-ne-se-considerent-pas-comme-des
- Source link:
Sécurité : comment des groupes APT entravent le travail des MSP
lundi 8 mai 2023
Les MSP qui ne se considèrent pas comme des cibles devraient y réfléchir à deux fois. Certains ATP ont visiblement jeté leur dévolu sur les fournisseurs de services gérés dans l’optique de cibler finalement leurs clients, apprend-on dans une étude.
Au quatrième trimestre 2022, la télémétrie ESET a [1]enregistré le début d’une nouvelle campagne de MuddyWater , un groupe de cyber-espionnage lié au ministère iranien du renseignement et de la sécurité (MOIS), actif depuis 2017.
Son groupe cible se trouve au Moyen-Orient, en Asie, Afrique, Europe et Amérique du Nord. Il est principalement composé d’entreprises de télécom, d’organisations gouvernementales et de marchés verticaux en énergie (pétrole, gaz).
La campagne d’octobre 2022 a fait ressortir quatre victimes, trois en Égypte et une en Arabie Saoudite, compromises par SimpleHelp, outil légitime d’accès à distance (Remote Access Control - RAT), et un logiciel d’assistance à distance utilisé par les MSP.
Cette évolution signale l’importance de la visibilité pour les MSP . Lors du déploiement de centaines, voire de milliers de types de logiciels, ils n’ont d’autre choix que d’utiliser l’automatisation et de s’assurer que les équipes SOC (les administrateurs de sécurité en contact avec les clients) et les processus de détection et de réponse soient à niveau et en amélioration constante.
De bons outils pour les méchants ?
Si SimpleHelp se trouvait sur le disque d’une victime, les opérateurs de MuddyWater déployaient Ligolo, un tunnel inversé, pour connecter le système de la victime à leurs serveurs de commande et de contrôle (C&C). Comment et quand MuddyWater est-il entré en possession de l’outillage du MSP ou est entré dans l’environnement du MSP reste inconnu.
Alors que cette campagne se poursuit, l’utilisation de SimpleHelp par MuddyWater a, jusqu’à présent, réussi à obscurcir les serveurs C&C de MuddyWater - les commandes pour lancer Ligolo à partir de SimpleHelp n’ont pas encore été trouvées. Quoi qu’il en soit, on sait déjà que les opérateurs de MuddyWater utilisent aussi MiniDump (un dumper lsass.exe), CredNinja et une nouvelle version du dumper de mots de passe du groupe MKL64.
Fin octobre 2022, ESET a détecté que MuddyWater déployait un outil de tunnellisation inversée, personnalisé pour la même victime en Arabie Saoudite. Bien que l’objectif ne soit pas apparent immédiatement, l’analyse se poursuit et les progrès peuvent être suivis dans les rapports APT privés d’ESET.
Appel à l’action pour MSP et entreprises
Les administrateurs MSP, configurant les principaux outils de productivité tels que Microsoft Word/Office 365/Outlook, gèrent les vecteurs qui menacent les réseaux qu’ils gèrent (en raison notamment des macros). Les solutions open source comme Nextcloud ne sont pas concernées .
Simultanément, les membres de l’équipe SOC peuvent ou non avoir leurs propres outils EDR/XDR bien configurés pour voir si des APT comme MuddyWater ou des entités criminelles tentent d’exploiter des techniques, y compris la stéganographie, pour accéder à leurs propres systèmes ou à ceux de leurs clients.
Les MSP ont besoin et d’une connectivité réseau fiable et d’un accès privilégié (trusted network connectivity and privileged access) aux systèmes clients pour fournir leurs services. Cela signifie qu’ils accumulent les risques et la responsabilité pour un grand nombre de clients. Les clients peuvent également hériter des risques liés à l’activité et à l’environnement du MSP qu’ils ont choisi. On a vu que XDR était un outil essentiel pour fournir une visibilité à la fois sur leurs propres environnements et les terminaux, les appareils et les réseaux des clients afin de garantir que les menaces émergentes, les comportements à risque des employés et les applis indésirables ne compromettent pas leurs profits ou leur réputation. Le fonctionnement mature des outils XDR par les MSP communique également leur rôle actif dans la fourniture d’une couche de sécurité spécifique pour l’accès privilégié qui leur est accordé par les clients.
Si des MSP matures gèrent le XDR, ils sont dans une bien meilleure position pour contrer une diversité de menaces, y compris les groupes APT qui peuvent chercher à tirer parti de la position de leurs clients dans les chaînes d’approvisionnement physiques et numériques. Comme défenseurs, les équipes SOC et les administrateurs MSP portent [2]un double fardeau : maintenir la visibilité interne et la visibilité sur les réseaux des clients. Ces derniers doivent se préoccuper de la position de sécurité de leurs MSP et comprendre les menaces auxquelles ils sont confrontés , de peur qu’une compromission de leur fournisseur ne conduise à leur compromission.
[3]
[1] https://www.welivesecurity.com/2023/05/02/apt-groups-muddying-waters-msps/
[2] https://www.welivesecurity.com/videos/apts-msp-access-customer-networks-week-security-tony-anscombe/
[3] https://www.toolinux.com/?les-msp-qui-ne-se-considerent-pas-comme-des#forum
lundi 8 mai 2023
Les MSP qui ne se considèrent pas comme des cibles devraient y réfléchir à deux fois. Certains ATP ont visiblement jeté leur dévolu sur les fournisseurs de services gérés dans l’optique de cibler finalement leurs clients, apprend-on dans une étude.
Au quatrième trimestre 2022, la télémétrie ESET a [1]enregistré le début d’une nouvelle campagne de MuddyWater , un groupe de cyber-espionnage lié au ministère iranien du renseignement et de la sécurité (MOIS), actif depuis 2017.
Son groupe cible se trouve au Moyen-Orient, en Asie, Afrique, Europe et Amérique du Nord. Il est principalement composé d’entreprises de télécom, d’organisations gouvernementales et de marchés verticaux en énergie (pétrole, gaz).
La campagne d’octobre 2022 a fait ressortir quatre victimes, trois en Égypte et une en Arabie Saoudite, compromises par SimpleHelp, outil légitime d’accès à distance (Remote Access Control - RAT), et un logiciel d’assistance à distance utilisé par les MSP.
Cette évolution signale l’importance de la visibilité pour les MSP . Lors du déploiement de centaines, voire de milliers de types de logiciels, ils n’ont d’autre choix que d’utiliser l’automatisation et de s’assurer que les équipes SOC (les administrateurs de sécurité en contact avec les clients) et les processus de détection et de réponse soient à niveau et en amélioration constante.
De bons outils pour les méchants ?
Si SimpleHelp se trouvait sur le disque d’une victime, les opérateurs de MuddyWater déployaient Ligolo, un tunnel inversé, pour connecter le système de la victime à leurs serveurs de commande et de contrôle (C&C). Comment et quand MuddyWater est-il entré en possession de l’outillage du MSP ou est entré dans l’environnement du MSP reste inconnu.
Alors que cette campagne se poursuit, l’utilisation de SimpleHelp par MuddyWater a, jusqu’à présent, réussi à obscurcir les serveurs C&C de MuddyWater - les commandes pour lancer Ligolo à partir de SimpleHelp n’ont pas encore été trouvées. Quoi qu’il en soit, on sait déjà que les opérateurs de MuddyWater utilisent aussi MiniDump (un dumper lsass.exe), CredNinja et une nouvelle version du dumper de mots de passe du groupe MKL64.
Fin octobre 2022, ESET a détecté que MuddyWater déployait un outil de tunnellisation inversée, personnalisé pour la même victime en Arabie Saoudite. Bien que l’objectif ne soit pas apparent immédiatement, l’analyse se poursuit et les progrès peuvent être suivis dans les rapports APT privés d’ESET.
Appel à l’action pour MSP et entreprises
Les administrateurs MSP, configurant les principaux outils de productivité tels que Microsoft Word/Office 365/Outlook, gèrent les vecteurs qui menacent les réseaux qu’ils gèrent (en raison notamment des macros). Les solutions open source comme Nextcloud ne sont pas concernées .
Simultanément, les membres de l’équipe SOC peuvent ou non avoir leurs propres outils EDR/XDR bien configurés pour voir si des APT comme MuddyWater ou des entités criminelles tentent d’exploiter des techniques, y compris la stéganographie, pour accéder à leurs propres systèmes ou à ceux de leurs clients.
Les MSP ont besoin et d’une connectivité réseau fiable et d’un accès privilégié (trusted network connectivity and privileged access) aux systèmes clients pour fournir leurs services. Cela signifie qu’ils accumulent les risques et la responsabilité pour un grand nombre de clients. Les clients peuvent également hériter des risques liés à l’activité et à l’environnement du MSP qu’ils ont choisi. On a vu que XDR était un outil essentiel pour fournir une visibilité à la fois sur leurs propres environnements et les terminaux, les appareils et les réseaux des clients afin de garantir que les menaces émergentes, les comportements à risque des employés et les applis indésirables ne compromettent pas leurs profits ou leur réputation. Le fonctionnement mature des outils XDR par les MSP communique également leur rôle actif dans la fourniture d’une couche de sécurité spécifique pour l’accès privilégié qui leur est accordé par les clients.
Si des MSP matures gèrent le XDR, ils sont dans une bien meilleure position pour contrer une diversité de menaces, y compris les groupes APT qui peuvent chercher à tirer parti de la position de leurs clients dans les chaînes d’approvisionnement physiques et numériques. Comme défenseurs, les équipes SOC et les administrateurs MSP portent [2]un double fardeau : maintenir la visibilité interne et la visibilité sur les réseaux des clients. Ces derniers doivent se préoccuper de la position de sécurité de leurs MSP et comprendre les menaces auxquelles ils sont confrontés , de peur qu’une compromission de leur fournisseur ne conduise à leur compromission.
[3]
[1] https://www.welivesecurity.com/2023/05/02/apt-groups-muddying-waters-msps/
[2] https://www.welivesecurity.com/videos/apts-msp-access-customer-networks-week-security-tony-anscombe/
[3] https://www.toolinux.com/?les-msp-qui-ne-se-considerent-pas-comme-des#forum