Barracuda full logo

Un cheval de Troie bien connu utilise une nouvelle tactique : le vol des données d’Active Directory

Thèmes:
8 avr. 2025
|
Tony Burgess

Le cheval de Troie TrickBot existe déjà depuis un certain temps puisqu’il a été identifié pour la première fois en 2016. Une fois qu’il est dans un système cible, il utilise divers modules qu’il peut télécharger pour obtenir des capacités spécifiques. Un chercheur en sécurité a récemment découvert qu’un nouveau module TrickBot, appelé « ADll », permettait au cheval de Troie de trouver, de consulter et d’exfiltrer des bases de données d’Active Directory stockées sur des contrôleurs de domaine Windows. 

Cela ajoute une capacité pernicieuse, avec des risques accrus, à une cybermenace déjà très performante.

Un malware avec de multiples capacités

TrickBot (également connu sous les noms de TrickLoader et de Trickster) est le résultat de plus d’une décennie d’évolution des menaces. Il a été conçu à l’origine pour voler des données bancaires en ligne, avec une liste de sites bancaires en ligne à attaquer qui change constamment. Mais au fur et à mesure de son évolution, sa nature modulaire lui a conféré de plus en plus de fonctionnalités, et il est utilisé pour cibler des victimes dans de nombreux secteurs. Il est fréquemment utilisé pour infiltrer le ransomware Ryuk, mais ses capacités vont bien au-delà.

Comme le signale un rapport technique détaillé de l’Agence américaine CISA (Cybersécurité and Infrastructure Security Agency) : 

« Les opérateurs de TrickBot disposent d’un ensemble d’outils capables de couvrir l’intégralité du cadre MITRE ATT&CK, allant de la collecte active ou passive d’informations pouvant servir à cibler des victimes (Reconnaissance [TA0043]), à la tentative de manipulation, d’interruption ou de destruction des systèmes et des données (Impact [TA0040]). »

Voici quelques-unes de ses nombreuses capacités :

  • Vol de données des e-mails et des navigateurs

  • Vol de cryptomonnaie ciblant coinbase.com 

  • Exploitation d’EternalBlue pour le mouvement latéral

  • Configuration en temps réel via le serveur de commande et de contrôle (C2) 

  • Désactivation des contrôles de sécurité

  • Chiffrement des données (malware Ryuk) 

Atténuer les risques liés aux données d'Active Directory

L’utilisation du module ADll pour identifier et exfiltrer et/ou détruire des données d’Active Directory comporte de nombreux risques spécifiques. 

Tout d’abord, cela permet aux pirates d’utiliser des identifiants volés pour étendre beaucoup plus rapidement l’accès et découvrir des cibles au sein de votre réseau. Cela signifie que vous avez beaucoup moins de temps pour détecter et bloquer cette activité avant qu’une charge utile comme un ransomware ne soit déclenchée.

En outre, cette tactique permet l’usurpation d’identité, le piratage des e-mails professionnels, le détournement des conversations et d’autres types d’attaques qui peuvent conduire à des fraudes coûteuses et à des pertes de données. 

En cas de destruction (et de vol) des données d’Active Directory, l’interruption des activités de votre organisation serait grave et coûteuse, et il faudrait probablement des jours ou des semaines pour y remédier complètement.

Enfin, cela s’ajoute au marché clandestin déjà florissant des identifiants de réseau volés et d’autres données d’identification. Comme nous l’avons déjà mentionné dans cet espace, on parle parfois de l’ère « post-violation » en raison du nombre incroyablement élevé de données volées (y compris les « fullz ») qui circulent déjà et qui sont mises à la disposition du plus offrant. 

La meilleure façon d’atténuer ces risques est de mettre en place une solution de sécurité complète et multicouche qui combine les éléments suivants :

  • Une architecture « zero trust » pour réduire le risque d’accès non autorisé au réseau à l’aide d’identifiants volés. Cette méthode est nettement plus efficace que l’authentification multifacteur (MFA).

  • Une surveillance avancée des données intra-réseau et du trafic des communications, en tirant parti de la puissance de l’apprentissage automatique et de l’IA pour détecter les anomalies et les menaces potentielles.  

  • Un backup moderne dans le cloud qui protège les données d’Active Directory et permet de récupérer et de restaurer les données rapidement et en toute fiabilité.

Explorez les avantages de Barracuda Email Protection et découvrez comment profiter de ces fonctionnalités et d’autres capacités dans une plateforme unique, intégrée et facile à utiliser.

 

Découvrez Barracuda Email Protection.

 

 

Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.