Barracuda full logo

Les dossiers du SOC : XDR neutralise un disque dur externe chargé de menaces ciblant les MSP

Thèmes:
13 déc. 2024
|

Résumé de l’incident

  • Un fournisseur de services gérés (MSP) basé aux États-Unis a été ciblé par un acteur de la menace bien équipé peu avant la fête de Thanksgiving.
  • Les pirates ont connecté un disque dur externe malicieux chargé d'outils de piratage avancés à un seul poste de travail.
  • En un peu plus d'une minute, la menace a été neutralisée : le SOC a identifié les outils non autorisés, les a mis en quarantaine et a isolé le terminal.

L'incident a été détecté, contenu et neutralisé par le Security Operations Center (SOC) de Barracuda, actif 24 heures sur 24, 7 jours sur 7. L’usage de notre SOC est inclus dans le service de XDR géré de Barracuda. Ce service de visibilité, de détection et de réponse étendues (XDR) fonctionne en continu pour nos clients et fournit des prestations de détection des menaces, d’analyse des réponses aux incidents et d’atténuation des risques. Il recourt à des méthodes basées aussi bien sur des interventions humaines que sur l'IA, afin de protéger nos utilisateurs contre les menaces sophistiquées.

Le déroulement de l'attaque

L'attaque a eu lieu la veille de Thanksgiving, une fête importante aux États-Unis.

  • Le matin du 27 novembre, les systèmes automatisés du SOC ont détecté une série d'outils de piratage avancés apparaissant successivement sur un seul poste de travail dans le réseau d'un MSP surveillé.
  • Tous les outils étaient en cours de chargement dans le même dossier Windows à partir d'un lecteur externe non autorisé connecté au poste de travail.

La tentative principale d'attaque

  • Le cœur de l'attaque tentée impliquait quatre outils de piratage connus.
  • Le premier de ceux-ci était un exécutable appelé SharpUp, qu'un pirate peut utiliser pour tenter d'escalader ses privilèges dans un compte compromis.
  • Le deuxième était un fichier malicieux appelé LaZagne. Il s'agit d'un outil de vol de mots de passe que les pirates ont probablement inclus au cas où ils ne pourraient pas élever les privilèges d'un compte compromis en utilisant SharpUp. Ils pourraient alors utiliser LaZagne pour tenter d'obtenir des identifiants pour des comptes existants avec des privilèges plus élevés.
  • Les rapports de renseignement sur les menaces indiquent que LaZagne a été utilisée dans des attaques récentes par des acteurs de menaces sophistiqués, y compris des menaces persistantes avancées (APT) basées en Chine.
  • La troisième menace était Mimikatz, un outil très courant utilisé par les acteurs de menace pour de nombreuses tâches, y compris l'extraction d'informations sensibles et le déplacement latéral.
  • Le quatrième outil trouvé par les analystes du SOC était le THOR APT Scanner. Cet outil est généralement utilisé par les professionnels de la sécurité pour identifier les activités malveillantes des acteurs de la menace, mais il peut également être utilisé par les pirates eux-mêmes pour diverses tâches, y compris le vol massif de noms d'utilisateur et de mots de passe.

Réponse et neutralisation des menaces

  • L'agent SentinelOne de XDR Endpoint Security a détecté avec succès les quatre outils de piratage, les a identifiés comme des menaces et les a neutralisés en conséquence.
  • Les règles personnalisées Storyline Active Response (STAR) développées par les ingénieurs SOC de Barracuda ont détecté efficacement la présence de Mimikatz et ont pris des mesures de réponse automatisées pour isoler le point de terminaison compromis.
  • En isolant le point de terminaison et en coupant la connectivité réseau, la menace a été contenue et éliminée avant que des processus malveillants ne puissent être lancés.
  • L'équipe SOC a analysé les événements, émis une alerte et contacté directement le MSP avec un résumé détaillé des détections et des actions de réponse correspondantes.
  • Le SOC a fourni des recommandations de sécurité critiques pour aider le MSP à renforcer la protection de leur environnement, y compris en restreignant l'accès aux lecteurs externes.
Dossiers de cas SOC, disque externe, étapes d'attaque MSP

Principaux enseignements clés

  • Les acteurs de la menace sont réputés pour mener des attaques autour des grandes fêtes, des moments où les équipes de sécurité classiques peuvent être en sous-effectif et les organisations peuvent être globalement moins vigilantes.
  • Les fournisseurs de services gérés deviennent une cible de plus en plus prisée par les acteurs malveillants qui savent que s'ils réussissent à compromettre un MSP, ils peuvent élargir la portée de l'attaque aux organisations dont l'infrastructure informatique est gérée par ce MSP.
  • Il est crucial de disposer d'un SOC qui fonctionne 24 h/24, 7 j/7 et 365 jours par an, comme l'équipe Barracuda Managed XDR SOC, pour fournir des capacités continues de détection et de réponse aux menaces.

Les principaux outils et techniques utilisés lors de l'attaque

Outils et techniques des dossiers SOC utilisés par les pirates

Indicateurs connus de compromission (IOCs) observés dans cette attaque

  • SharpUp SHA1 : 4791564cfaecd815ffb2f15fd8c85a473c239e31
  • LaZagne SHA1 : 0e62d10ff194e84ed8c6bd71620f56ef9e557072
  • Mimikatz SHA1 : d1f7832035c3e8a73cc78afd28cfd7f4cece6d20
  • THOR APT SHA1 : 5c154853c6c31e3bbee2876fe4ed018cebaca86f

La plateforme de XDR de Barracuda dispose de fonctionnalités qui apportent une protection complète contre les risques. Elles permettent de bloquer les activités malveillantes dans des délais très courts. Ces fonctionnalités comprennent la collecte et l’usage de renseignements sur les menaces, la réponse automatisée aux menaces ainsi que des intégrations avec des outils Barracuda XDR de plus large portée — comme nos outils de sécurisation des serveurs, de protection des réseaux et de sécurisation du cloud.

Pour plus d'informations sur la manière dont Barracuda Managed XDR et le centre d'opérations de sécurité peuvent vous aider, veuillez nous contacter.

Nous contacter
Billets associés :
Webinaires de septembre : Lutter contre le piratage de compte et optimiser la protection des terminaux avec des outils XDR
Webinaires de septembre : Lutter contre le piratage de compte et optimiser la protection des terminaux avec des outils XDR
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
 Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
 Tredion utilise Barracuda Managed XDR pour aider un groupe d'écoles des Pays-Bas à maîtriser les cybermenaces
Tredion utilise Barracuda Managed XDR pour aider un groupe d'écoles des Pays-Bas à maîtriser les cybermenaces
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.