Un acteur chinois sophistiqué de la menace persistante avancée (APT) a exploité une vulnérabilité de sécurité critique dans le pare-feu de Sophos qui a été révélée plus tôt cette année pour infiltrer une cible sud-asiatique anonyme dans le cadre d’une attaque très ciblée.

« L’attaquant met en œuvre[ed] une porte dérobée Web Shell intéressante, créer[d] une forme secondaire de persistance, et finalement lancer[ed] attaques contre le personnel du client, » Volexity a dit dans un rapport. « Ces attaques visaient à violer davantage les serveurs Web hébergés dans le cloud hébergeant les sites Web publics de l’organisation. »

La faille zero-day en question est identifiée comme CVE-2022-1040 (score CVSS : 9,8) et concerne une vulnérabilité de contournement d’authentification qui peut être armée pour exécuter du code arbitraire à distance. Cela affecte les versions 18.5 MR3 (18.5.3) et antérieures de Sophos Firewall.

La société de cybersécurité, qui a publié un correctif pour la faille le 25 mars 2022, a noté qu’elle avait été utilisée abusivement pour « cibler un petit ensemble d’organisations spécifiques principalement dans la région de l’Asie du Sud » et qu’elle avait directement informé les entités concernées.

Selon Volexity, les premières preuves de l’exploitation de la faille ont commencé le 5 mars 2022, lorsqu’il a détecté une activité réseau anormale provenant du pare-feu Sophos d’un client anonyme exécutant la version alors à jour, près de trois semaines avant la divulgation publique de la vulnérabilité.

« L’attaquant utilisait l’accès au pare-feu pour mener des attaques de type « man-in-the-middle » (MitM) », ont déclaré les chercheurs. « L’attaquant a utilisé les données collectées lors de ces attaques MitM pour compromettre des systèmes supplémentaires en dehors du réseau où résidait le pare-feu. »

La séquence d’infection après la violation du pare-feu impliquait en outre la porte dérobée d’un composant légitime du logiciel de sécurité avec le Derrière shell Web accessible à distance à partir de n’importe quelle URL choisie par l’auteur de la menace.

Il convient de noter que le shell Web Behinder a également été exploité plus tôt ce mois-ci par des groupes APT chinois dans un ensemble distinct d’intrusions exploitant une faille zero-day dans les systèmes Atlassian Confluence Server (CVE-2022-26134).

De plus, l’attaquant aurait créé des comptes d’utilisateurs VPN pour faciliter l’accès à distance, avant de passer à la modification des réponses DNS pour des sites Web spécialement ciblés – principalement le système de gestion de contenu (CMS) de la victime – dans le but d’intercepter les informations d’identification des utilisateurs et les cookies de session.

L’accès aux cookies de session a par la suite équipé le malveillant pour prendre le contrôle du site WordPress et installer un second shell web baptisé GlaceScorpionl’attaquant l’utilisant pour déployer trois implants open source sur le serveur Web, y compris PupyRAT, Panteganaet Mèche.

« DriftingCloud est un acteur de menace efficace, bien équipé et persistant ciblant cinq-poisons-cibles liées. Ils sont capables de développer ou d’acheter des exploits zero-day pour atteindre leurs objectifs, faisant pencher la balance en leur faveur lorsqu’il s’agit d’accéder aux réseaux cibles. »

Sophos, dans une enquête indépendante sur certaines des intrusions profitant de la faille, a pointé du doigt deux groupes de menaces persistantes avancées (APT) sans nom, qui ont tous deux conçu un exploit pour supprimer des outils d’accès à distance tels que GoMet et Gh0st RAT.

« Les attaquants ont utilisé le bogue pour placer des fichiers malveillants dans l’appareil, puis ont pris des mesures supplémentaires qui ont poussé l’appareil à arrêter, puis à redémarrer certains services », a déclaré Andrew Brandt, chercheur principal chez Sophos, a dit. « Cette étape a amené l’appareil à exécuter les fichiers qui y avaient été placés. »

« Nous sommes convaincus que les attaques étaient l’œuvre d’un attaquant au clavier dédié, tirant parti des connaissances importantes de quelqu’un qui avait procédé à la rétro-ingénierie du micrologiciel de l’appareil », a ajouté Brandt.